CEF- en CommonSecurityLog-veldtoewijzing

In de volgende tabellen worden CEF-veldnamen (Common Event Format) toegewezen aan de namen die ze gebruiken in het CommonSecurityLog van Microsoft Sentinel. Dit kan handig zijn wanneer u werkt met een CEF-gegevensbron in Microsoft Sentinel. Zie Syslog- en CEF-berichten opnemen om te Microsoft Sentinel met de Azure Monitor-agent voor meer informatie.

A - C

CEF-sleutelnaam	CommonSecurityLog-veldnaam	Beschrijving
Handelen	DeviceAction	De actie die in de gebeurtenis wordt vermeld.
App	ApplicationProtocol	Het protocol dat wordt gebruikt in de toepassing, zoals HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, enzovoort.
Cat	DeviceEventCategory	Vertegenwoordigt de categorie die is toegewezen door het oorspronkelijke apparaat. Apparaten gebruiken vaak hun eigen categorisatieschema om gebeurtenissen te classificeren. Bijvoorbeeld: `/Monitor/Disk/Read`.
Cnt	EventCount	Een telling die is gekoppeld aan de gebeurtenis, waarin wordt aangegeven hoe vaak dezelfde gebeurtenis is waargenomen.

D

CEF-sleutelnaam	CommonSecurityLog-naam	Beschrijving
Apparaatleverancier	DeviceVendor	Tekenreeks die, samen met product- en versiedefinities van apparaten, het type verzendende apparaat uniek identificeert.
Apparaatproduct	DeviceProduct	Tekenreeks die, samen met apparaatleverancier- en versiedefinities, het type verzendende apparaat uniek identificeert.
Apparaatversie	DeviceVersion	Tekenreeks die, samen met product- en leverancierdefinities van apparaten, het type verzendende apparaat uniek identificeert.
destinationDnsDomain	DestinationDnsDomain	Het DNS-gedeelte van de FQDN (Fully Qualified Domain Name).
destinationServiceName	DestinationServiceName	De service waarop de gebeurtenis is gericht. Bijvoorbeeld `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identificeert de vertaalde bestemming waarnaar wordt verwezen door de gebeurtenis in een IP-netwerk, als een IPv4-IP-adres.
destinationTranslatedPort	DestinationTranslatedPort	Poort, na vertaling, zoals een firewall. Geldige poortnummers: `0` - `65535`
deviceDirection	CommunicationDirection	Alle informatie over de richting die de waargenomen communicatie heeft ingeslagen. Geldige waarden: - `0` = Inkomend - `1` = Uitgaand
deviceDnsDomain	DeviceDnsDomain	Het DNS-domeingedeelte van de FQDN (Full Qualified Domain Name)
DeviceEventClassID	DeviceEventClassID	Tekenreeks of geheel getal dat fungeert als een unieke id per gebeurtenistype.
deviceExternalId	deviceExternalId	Een naam die het apparaat dat de gebeurtenis genereert, uniek identificeert.
deviceFacility	DeviceFacility	De faciliteit die de gebeurtenis genereert.
deviceInboundInterface	DeviceInboundInterface	De interface waarop het pakket of de gegevens het apparaat zijn binnengekomen.
deviceNtDomain	DeviceNtDomain	Het Windows-domein van het apparaatadres
deviceOutboundInterface	DeviceOutboundInterface	Interface waarop het pakket of de gegevens het apparaat hebben verlaten.
devicePayloadId	DevicePayloadId	Unieke id voor de nettolading die is gekoppeld aan de gebeurtenis.
deviceProcessName	ProcessName	Procesnaam die is gekoppeld aan de gebeurtenis. In UNIX bijvoorbeeld het proces dat de syslog-vermelding genereert.
deviceTranslatedAddress	DeviceTranslatedAddress	Identificeert het vertaalde apparaatadres waarnaar de gebeurtenis verwijst, in een IP-netwerk. De indeling is een Ipv4-adres.
dhost	DestinationHostName	De bestemming waarnaar de gebeurtenis verwijst in een IP-netwerk. De indeling moet een FQDN zijn die is gekoppeld aan het doelknooppunt, wanneer er een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` , of `host`.
dmac	DestinationMacAddress	Het doel-MAC-adres (FQDN)
dntdom	DestinationNTDomain	De Windows-domeinnaam van het doeladres.
dpid	DestinationProcessId	De id van het doelproces dat is gekoppeld aan de gebeurtenis.
dpriv	DestinationUserPrivileges	Definieert de bevoegdheden van het doelgebruik. Geldige waarden: `Administrator`, `User`, `Guest`
dproc	DestinationProcessName	De naam van het doelproces van de gebeurtenis, zoals `telnetd` of `sshd.`
dpt	DestinationPort	Doelpoort. Geldige waarden: `*0` - `65535`
Dst	DestinationIP	Het ipV4-doeladres waarnaar de gebeurtenis verwijst in een IP-netwerk.
dtz	DeviceTimeZone	Tijdzone van het apparaat dat de gebeurtenis genereert
duid	DestinationUserId	Identificeert de doelgebruiker op id.
schemer	DestinationUserName	Identificeert de doelgebruiker op naam.
dvc	DeviceAddress	Het IPv4-adres van het apparaat dat de gebeurtenis genereert.
dvchost	DeviceName	De FQDN die is gekoppeld aan het apparaatknooppunt, wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host.domain.com` , of `host`.
dvcmac	DeviceMacAddress	Het MAC-adres van het apparaat dat de gebeurtenis genereert.
dvcpid	Proces-id	Definieert de id van het proces op het apparaat dat de gebeurtenis genereert.

E - I

CEF-sleutelnaam	CommonSecurityLog-naam	Beschrijving
externalId	ExternalID	Een id die wordt gebruikt door het oorspronkelijke apparaat. Deze waarden hebben doorgaans stijgende waarden die elk zijn gekoppeld aan een gebeurtenis.
fileCreateTime	FileCreateTime	Tijdstip waarop het bestand is gemaakt.
fileHash	FileHash	Hash van een bestand.
fileId	FileID	Een id die is gekoppeld aan een bestand, zoals de inode.
fileModificationTime	FileModificationTime	Tijdstip waarop het bestand voor het laatst is gewijzigd.
Filepath	Filepath	Volledig pad naar het bestand, inclusief de bestandsnaam. Bijvoorbeeld: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` of `/usr/bin/zip`.
filePermission	FilePermission	De machtigingen van het bestand.
Bestandstype	Bestandstype	Bestandstype, zoals pijp, socket, enzovoort.
Fname	Bestandsnaam	De naam van het bestand, zonder het pad.
fsize	Bestandsgrootte	De grootte van het bestand.
Host	Computer	Host, van Syslog
Inch	ReceivedBytes	Aantal binnenkomende bytes.

M - P

CEF-sleutelnaam	CommonSecurityLog-naam	Beschrijving
msg	Bericht	Een bericht met meer informatie over de gebeurtenis.
Naam	Activiteit	Een tekenreeks die een door mensen leesbare en begrijpelijke beschrijving van de gebeurtenis vertegenwoordigt.
oldFileCreateTime	OldFileCreateTime	Tijdstip waarop het oude bestand is gemaakt.
oldFileHash	OldFileHash	Hash van het oude bestand.
oldFileId	OldFileId	En id die is gekoppeld aan het oude bestand, zoals de inode.
oldFileModificationTime	OldFileModificationTime	Tijdstip waarop het oude bestand voor het laatst is gewijzigd.
oldFileName	OldFileName	Naam van het oude bestand.
oldFilePath	OldFilePath	Volledig pad naar het oude bestand, inclusief de bestandsnaam. Bijvoorbeeld `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` , of `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Machtigingen van het oude bestand.
oldFileSize	OldFileSize	Grootte van het oude bestand.
oldFileType	OldFileType	Bestandstype van het oude bestand, zoals een pijp, socket, enzovoort.
uit	Verzondenbytes	Aantal uitgaande bytes.
Resultaat	EventOutcome	Resultaat van de gebeurtenis, zoals `success` of `failure`.
Proto	Protocol	Transportprotocol dat het gebruikte Layer-4-protocol identificeert. Mogelijke waarden zijn protocolnamen, zoals `TCP` of `UDP`.

R - T

CEF-sleutelnaam	CommonSecurityLog-naam	Beschrijving
reason	Reden	De reden waarom er een controlegebeurtenis is gegenereerd. Bijvoorbeeld `badd password` , of `unknown user`. Dit kan ook een fout of retourcode zijn. Bijvoorbeeld: `0x1234`.
Verzoek	RequestURL	De URL die wordt geopend voor een HTTP-aanvraag, inclusief het protocol. Bijvoorbeeld `http://www/secure.com`
requestClientApplication	RequestClientApplication	De gebruikersagent die is gekoppeld aan de aanvraag.
requestContext	RequestContext	Beschrijft de inhoud waaruit de aanvraag afkomstig is, zoals de HTTP-verwijzer.
requestCookies	RequestCookies	Cookies die aan de aanvraag zijn gekoppeld.
requestMethod	RequestMethod	De methode die wordt gebruikt voor toegang tot een URL. Geldige waarden zijn methoden zoals `POST`, `GET`, enzovoort.
Rt	ReceiptTime	Het tijdstip waarop de gebeurtenis met betrekking tot de activiteit is ontvangen.
Ernst	LogSeverity	Een tekenreeks of geheel getal dat het belang van de gebeurtenis beschrijft. Geldige tekenreekswaarden: `Unknown` , `Low`, `Medium`, `High`, `Very-High` Geldige waarden voor gehele getallen zijn: - `0` - `3` = Laag - `4` - `6` = Gemiddeld - `7` - `8` = Hoog - `9` - `10` = Very-High
shost	SourceHostName	Identificeert de bron waarnaar de gebeurtenis verwijst in een IP-netwerk. De indeling moet een FQDN (Fully Qualified Domain Name) zijn die is gekoppeld aan het bronknooppunt, wanneer een knooppunt beschikbaar is. Bijvoorbeeld `host` , of `host.domain.com`.
smac	SourceMacAddress	Mac-bronadres.
sntdom	SourceNTDomain	De Windows-domeinnaam voor het bronadres.
sourceDnsDomain	SourceDnsDomain	Het DNS-domeingedeelte van de volledige FQDN.
sourceServiceName	SourceServiceName	De service die verantwoordelijk is voor het genereren van de gebeurtenis.
sourceTranslatedAddress	SourceTranslatedAddress	Identificeert de vertaalde bron waarnaar de gebeurtenis verwijst in een IP-netwerk.
sourceTranslatedPort	SourceTranslatedPort	Bronpoort na vertaling, zoals een firewall. Geldige poortnummers zijn `0` - `65535`.
Spid	SourceProcessId	De id van het bronproces dat is gekoppeld aan de gebeurtenis.
spriv	SourceUserPrivileges	De bevoegdheden van de brongebruiker. Geldige waarden zijn: `Administrator`, `User`, `Guest`
sproc	SourceProcessName	De naam van het bronproces van de gebeurtenis.
Spt	SourcePort	Het bronpoortnummer. Geldige poortnummers zijn `0` - `65535`.
Src	SourceIP	De bron waarnaar een gebeurtenis verwijst in een IP-netwerk, als een IPv4-adres.
Suid	SourceUserID	Identificeert de brongebruiker op id.
suser	SourceUserName	Identificeert de brongebruiker op naam.
Type	EventType	Gebeurtenistype. Waardewaarden zijn onder andere: - `0`: basisgebeurtenis - `1`:Geaggregeerde - `2`: correlatie-gebeurtenis - `3`: actie-gebeurtenis Opmerking: deze gebeurtenis kan worden weggelaten voor basisgebeurtenissen.

Aangepaste velden

In de volgende tabellen worden de namen van CEF-sleutels en CommonSecurityLog-velden weergegeven die klanten kunnen gebruiken voor gegevens die niet van toepassing zijn op een van de ingebouwde velden.

Aangepaste IPv6-adresvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de IPv6-adresvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Aangepaste getalvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de numerieke velden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Aangepaste tekenreeksvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tekenreeksvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tip

¹ We raden u aan de velden DeviceCustomString spaarzaam te gebruiken en zo mogelijk specifiekere, ingebouwde velden te gebruiken.

Aangepaste tijdstempelvelden

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de tijdstempelvelden die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Aangepaste gegevensvelden voor gehele getallen

In de volgende tabel worden CEF-sleutel- en CommonSecurityLog-namen toegewezen voor de velden met gehele getallen die beschikbaar zijn voor aangepaste gegevens.

CEF-sleutelnaam	CommonSecurityLog-naam
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Verrijkingsvelden

De volgende CommonSecurityLog-velden worden toegevoegd door Microsoft Sentinel om de oorspronkelijke gebeurtenissen te verrijken die zijn ontvangen van de bronapparaten en hebben geen toewijzingen in CEF-sleutels:

Velden voor bedreigingsinformatie

CommonSecurityLog-veldnaam	Beschrijving
IndicatorThreatType	Het bedreigingstype MaliciousIP , volgens de feed voor bedreigingsinformatie.
SchadelijkeIP	Hiermee worden alle IP-adressen in het bericht weergegeven die correleren met de huidige feed voor bedreigingsinformatie.
MaliciousIPCountry	Het land/de regio van SchadelijkeIP , op basis van de geografische informatie op het moment van opname van de record.
MaliciousIPLatitude	De lengtegraad MaliciousIP , op basis van de geografische informatie op het moment van opname van de record.
MaliciousIPLongitude	De lengtegraad MaliciousIP , op basis van de geografische informatie op het moment van opname van de record.
ReportReferenceLink	Koppeling naar het bedreigingsinformatierapport.
ThreatConfidence	Het bedreigingsvertrouwen van MaliciousIP , volgens de feed bedreigingsinformatie.
ThreatDescription	De bedreigingsbeschrijving van MaliciousIP , volgens de feed voor bedreigingsinformatie.
ThreatSeverity	De ernst van de bedreiging voor de MaliciousIP, volgens de bedreigingsinformatiefeed op het moment van de recordopname.

Andere verrijkingsvelden

CommonSecurityLog-veldnaam	Beschrijving
OriginalLogSeverity	Altijd leeg, ondersteund voor integratie met CiscoASA. Zie het veld LogSeverity voor meer informatie over ernstwaarden voor logboeken.
RemoteIP	Het externe IP-adres. Deze waarde is zo mogelijk gebaseerd op het veld CommunicationDirection .
RemotePort	De externe poort. Deze waarde is zo mogelijk gebaseerd op het veld CommunicationDirection .
SimplifiedDeviceAction	Vereenvoudigt de DeviceAction-waarde tot een statische set waarden, terwijl de oorspronkelijke waarde in het veld DeviceAction blijft. Bijvoorbeeld: `Denied`>`Deny`.
SourceSystem	Altijd gedefinieerd als OpsManager.

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-23