Felttilknytning for CEF og CommonSecurityLog

I følgende tabeller knyttes CEF-feltnavne (Common Event Format) til de navne, de bruger i Microsoft Sentinel CommonSecurityLog, og det kan være nyttigt, når du arbejder med en CEF-datakilde i Microsoft Sentinel. Du kan få flere oplysninger under Indfødning af syslog og CEF-meddelelser til Microsoft Sentinel med Azure Monitor Agent.

A - C

Navn på CEF-nøgle Feltnavn i CommonSecurityLog Beskrivelse
Handle DeviceAction Den handling, der er nævnt i hændelsen.
App ApplicationProtocol Den protokol, der bruges i programmet, f.eks. HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS osv.
Kat DeviceEventCategory Repræsenterer den kategori, der er tildelt af den oprindelige enhed. Enheder bruger ofte deres eget kategoriseringsskema til at klassificere hændelsen. For eksempel: /Monitor/Disk/Read.
Cnt EventCount Et antal, der er knyttet til hændelsen, og som viser, hvor mange gange den samme hændelse blev observeret.

D

Navn på CEF-nøgle CommonSecurityLog-navn Beskrivelse
Enhedsleverandør DeviceVendor Streng, der sammen med enhedsprodukt- og versionsdefinitioner entydigt identificerer typen af afsendende enhed.
Enhedsprodukt DeviceProduct Streng, der sammen med enhedsleverandør- og versionsdefinitioner entydigt identificerer typen af afsendende enhed.
Enhedsversion DeviceVersion Streng, der sammen med enhedsprodukt- og leverandørdefinitioner entydigt identificerer typen af afsendende enhed.
destinationDnsDomain DestinationsDnsDomain DNS-delen af det fuldt kvalificerede domænenavn (FQDN).
destinationServiceName Destinationstjenestenavn Den tjeneste, der er målrettet af hændelsen. Det kunne f.eks. være sshd.
destinationTranslatedAddress Destinationsoversat adresse Identificerer den oversatte destination, som hændelsen henviser til i et IP-netværk, som en IPv4 IP-adresse.
destinationTranslatedPort Destinationsoversættelsesport Port efter oversættelse, f.eks. en firewall.
Gyldige portnumre: 0 - 65535
deviceDirection CommunicationDirection Alle oplysninger om den retning, den observerede kommunikation har taget. Gyldige værdier:
- 0 = Indgående
- 1 = Udgående
deviceDnsDomain DeviceDnsDomain DNS-domænedelen af det fulde kvalificerede domænenavn (FQDN)
DeviceEventClassID DeviceEventClassID Streng eller heltal, der fungerer som et entydigt id pr. hændelsestype.
deviceExternalId deviceExternalId Et navn, der entydigt identificerer den enhed, der genererer hændelsen.
deviceFacility Enhedsfaciliteter Den facilitet, der genererer hændelsen.
deviceInboundInterface DeviceInboundInterface Den grænseflade, som pakken eller dataene indtastede enheden på.
deviceNtDomain DeviceNtDomain Windows-domænet for enhedsadressen
deviceOutboundInterface DeviceOutboundInterface Grænseflade, hvor pakken eller dataene forlod enheden.
devicePayloadId DevicePayloadId Entydigt id for den nyttedata, der er knyttet til hændelsen.
deviceProcessName Procesnavn Procesnavn, der er knyttet til hændelsen.

Det kan f.eks. være den proces, der genererer posten syslog i UNIX.
deviceTranslatedAddress DeviceTranslatedAddress Identificerer den oversatte enhedsadresse, som hændelsen henviser til, i et IP-netværk.

Formatet er en Ipv4-adresse.
dhost Destinationshostnavn Den destination, som hændelsen henviser til i et IP-netværk.
Formatet skal være et FQDN, der er knyttet til destinationsnoden, når en node er tilgængelig. For eksempel host.domain.com eller host.
dmac DestinationMacAddress Destinations-MAC-adressen (FQDN)
dntdom DestinationsNTDomain Windows-domænenavnet på destinationsadressen.
dpid Destinationsproces-id Id'et for den destinationsproces, der er knyttet til hændelsen.
dpriv DestinationUserPrivileges Definerer destinationens brugsrettigheder.
Gyldige værdier: Administrator, User, Guest
dproc Navn på destinationsproces Navnet på hændelsens destinationsproces, f.eks telnetd . eller sshd.
Dpt Destinationsport Destinationsport.
Gyldige værdier: *0 - 65535
Dst Destinations-IP Destinationens IpV4-adresse, som hændelsen henviser til i et IP-netværk.
dtz DeviceTimeZone Tidszone for den enhed, der genererer hændelsen
duid Destinationsbruger-id Identificerer destinationsbrugeren efter id.
duser Destinationsbrugernavn Identificerer destinationsbrugeren efter navn.
Dvc DeviceAddress IPv4-adressen på den enhed, der genererer hændelsen.
dvchost DeviceName Det FQDN, der er knyttet til enhedsnoden, når en node er tilgængelig. For eksempel host.domain.com eller host.
dvcmac DeviceMacAddress MAC-adressen på den enhed, der genererer hændelsen.
dvcpid Proces-id Definerer id'et for processen på den enhed, der genererer hændelsen.

E - I

Navn på CEF-nøgle CommonSecurityLog-navn Beskrivelse
externalId Eksternt id Et id, der bruges af den oprindelige enhed. Disse værdier har typisk stigende værdier, der hver især er knyttet til en hændelse.
fileCreateTime FileCreateTime Tidspunkt for oprettelse af filen.
fileHash FileHash Hash for en fil.
fileId Fil-id Et id, der er knyttet til en fil, f.eks. inode.
fileModificationTime FileModificationTime Tidspunkt for seneste ændring af filen.
filePath FilePath Fuldstændig sti til filen, herunder filnavnet. For eksempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip.
filePermission Filpermission Filens tilladelser.
Filtype Filtype Filtype, f.eks. pipe, socket osv.
fname Filnavn Filens navn uden stien.
fsize Filstørrelse Filens størrelse.
Vært Computer Vært, fra Syslog
I ReceivedBytes Antal byte, der er overført indgående.

M - P

Navn på CEF-nøgle CommonSecurityLog-navn Beskrivelse
Msg Meddelelse En meddelelse, der giver flere oplysninger om hændelsen.
Navn Aktivitet En streng, der repræsenterer en læsbar og forståelig beskrivelse af hændelsen.
oldFileCreateTime OldFileCreateTime Tidspunkt for oprettelse af den gamle fil.
oldFileHash OldFileHash Hash for den gamle fil.
oldFileId OldFileId Og id, der er knyttet til den gamle fil, f.eks. inode.
oldFileModificationTime OldFileModificationTime Tidspunkt for seneste ændring af den gamle fil.
oldFileName OldFileName Navnet på den gamle fil.
oldFilePath OldFilePath Fuldstændig sti til den gamle fil, herunder filnavnet.
For eksempel C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip.
oldFilePermission OldFilePermission Tilladelser til den gamle fil.
oldFileSize OldFileSize Størrelsen på den gamle fil.
oldFileType OldFileType Filtypen for den gamle fil, f.eks. en pipe, en socket osv.
Ud SentBytes Antal byte, der er overført udgående.
Resultatet EventOutcome Resultatet af hændelsen, f.eks success . eller failure.
Proto Protokollen Transportprotokol, der identificerer den anvendte Layer-4-protokol.

Mulige værdier omfatter protokolnavne, f.eks TCP . eller UDP.

R - T

Navn på CEF-nøgle CommonSecurityLog-navn Beskrivelse
Grund Grund Årsagen til, at der blev genereret en overvågningshændelse. For eksempel badd password eller unknown user. Dette kan også være en fejl eller en returkode. For eksempel: 0x1234.
Anmodning RequestURL Den URL-adresse, der blev åbnet for en HTTP-anmodning, herunder protokollen. Det kan f.eks. http://www/secure.com
requestClientApplication RequestClientApplication Den brugeragent, der er knyttet til anmodningen.
requestContext RequestContext Beskriver det indhold, som anmodningen stammer fra, f.eks. HTTP Referrer.
requestCookies Anmodningscookies Cookies, der er knyttet til anmodningen.
requestMethod RequestMethod Den metode, der bruges til at få adgang til en URL-adresse.

Gyldige værdier omfatter metoder som POST, GETosv.
Rt Kvitteringstime Det tidspunkt, hvor hændelsen relateret til aktiviteten blev modtaget.
Sværhedsgraden LogSeverity En streng eller et heltal, der beskriver hændelsens vigtighed.

Gyldige strengværdier: Unknown , Low, Medium, , HighVery-High

Gyldige heltalsværdier er:
- 0 - 3 = Lav
- 4 - 6 = mellem
- 7 - 8 = Høj
- 9 - 10 = Very-High
shost SourceHostName Identificerer den kilde, som hændelsen henviser til i et IP-netværk. Formatet skal være et fuldt kvalificeret domænenavn (FQDN), der er knyttet til kildenoden, når en node er tilgængelig. For eksempel host eller host.domain.com.
Smac SourceMacAddress Kilde-MAC-adresse.
sntdom SourceNTDomain Windows-domænenavnet for kildeadressen.
sourceDnsDomain SourceDnsDomain DNS-domænedelen af det komplette FQDN.
sourceServiceName SourceServiceName Tjenesten, der er ansvarlig for at generere hændelsen.
sourceTranslatedAddress Kildeoversat adresse Identificerer den oversatte kilde, som hændelsen henviser til i et IP-netværk.
sourceTranslatedPort Kildeoversatport Kildeport efter oversættelse, f.eks. en firewall.
Gyldige portnumre er 0 - 65535.
Spid Kildeproces-id Id'et for den kildeproces, der er knyttet til hændelsen.
spriv SourceUserPrivileges Kildebrugerens rettigheder.

Gyldige værdier omfatter: Administrator, User, Guest
sproc Kildeprocesnavn Navnet på hændelsens kildeproces.
Spt Kildeport Kildeportnummeret.
Gyldige portnumre er 0 - 65535.
Src SourceIP Den kilde, som en hændelse henviser til i et IP-netværk, som en IPv4-adresse.
suid Kildebruger-id Identificerer kildebrugeren efter id.
suser Kildebrugernavn Identificerer kildebrugeren efter navn.
Type EventType Hændelsestype. Værdiværdier omfatter:
- 0: basishændelse
- 1:Aggregerede
- 2, korrelationshændelse
- 3: handlingshændelse

Bemærk! Denne hændelse kan udelades for basishændelser.

Brugerdefinerede felter

I følgende tabeller tilknyttes navnene på CEF-nøgler og CommonSecurityLog-felter, der er tilgængelige for kunder at bruge til data, der ikke gælder for nogen af de indbyggede felter.

Brugerdefinerede IPv6-adressefelter

I følgende tabel tilknyttes navne på CEF-nøgle og CommonSecurityLog for de IPv6-adressefelter , der er tilgængelige for brugerdefinerede data.

Navn på CEF-nøgle CommonSecurityLog-navn
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
fælles fiskeripolitik1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
fælles fiskeripolitik2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
fælles fiskeripolitik3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
fælles fiskeripolitik4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Brugerdefinerede talfelter

I følgende tabel tilknyttes CEF-nøgle- og CommonSecurityLog-navne for de talfelter , der er tilgængelige for brugerdefinerede data.

Navn på CEF-nøgle CommonSecurityLog-navn
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Brugerdefinerede strengfelter

I følgende tabel tilknyttes CEF-nøgle og CommonSecurityLog-navne for de strengfelter , der er tilgængelige for brugerdefinerede data.

Navn på CEF-nøgle CommonSecurityLog-navn
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
Cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
Cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tip

1 Vi anbefaler, at du bruger felterne DeviceCustomString sparsomt og bruger mere specifikke, indbyggede felter, når det er muligt.

Brugerdefinerede tidsstempelfelter

I følgende tabel tilknyttes CEF-nøgle- og CommonSecurityLog-navne for de tidsstempelfelter, der er tilgængelige for brugerdefinerede data.

Navn på CEF-nøgle CommonSecurityLog-navn
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 Fleksdato1
flexDate1Label FlexDate1Label

Brugerdefinerede heltalsdatafelter

I følgende tabel tilknyttes CEF-nøgle- og CommonSecurityLog-navne for de heltalsfelter , der er tilgængelige for brugerdefinerede data.

Navn på CEF-nøgle CommonSecurityLog-navn
flexNumber1 Fleksnummer1
flexNumber1Label FlexNumber1Label
flexNumber2 Fleksnummer2
flexNumber2Label FlexNumber2Label

Berigelsesfelter

Følgende CommonSecurityLog-felter tilføjes af Microsoft Sentinel for at forbedre de oprindelige hændelser, der modtages fra kildeenhederne, og har ikke tilknytninger i CEF-nøgler:

Trusselsintelligensfelter

Feltnavn i CommonSecurityLog Beskrivelse
IndicatorThreatType OndsindetIP-trusselstypen ifølge threat intelligence-feedet.
OndsindetIP Viser eventuelle IP-adresser i meddelelsen, der korrelerer med det aktuelle trusselsintelligensfeed.
MaliciousIPCountry Landet/området Ondsindetip i henhold til de geografiske oplysninger på tidspunktet for postindtagelse.
MaliciousIPLatitude Længdegraden for OndsindetIP i henhold til de geografiske oplysninger på tidspunktet for postindtagelse.
OndsindetIPLongitude Længdegraden for OndsindetIP i henhold til de geografiske oplysninger på tidspunktet for postindtagelse.
Referencelink for rapport Link til rapporten over trusselsintelligens.
ThreatConfidence OndsindetIP trussel tillid, ifølge threat intelligence feed.
ThreatDescription Beskrivelsen af OndsindetIP-trussel ifølge trusselsintelligensfeedet.
ThreatSeverity Alvorsgraden af truslen for MaliciousIP ifølge threat intelligence-feedet på tidspunktet for registreringens indtagelse.

Andre berigelsesfelter

Feltnavn i CommonSecurityLog Beskrivelse
OriginalLogSeverity Altid tom, understøttes til integration med CiscoASA.
Du kan finde flere oplysninger om værdier for log alvorsgrad i feltet LogSeverity .
RemoteIP Fjern-IP-adressen.
Denne værdi er baseret på feltet CommunicationDirection , hvis det er muligt.
Fjernport Fjernporten.
Denne værdi er baseret på feltet CommunicationDirection , hvis det er muligt.
SimplifiedDeviceAction Forenkler Værdien for DeviceAction til et statisk værdisæt, samtidig med at den oprindelige værdi bevares i feltet DeviceAction .
For eksempel: Denied>Deny.
Kildesystem Altid defineret som OpsManager.

Relateret indhold

  • Last updated on