Mapeamento de campos CEF e CommonSecurityLog

As tabelas seguintes mapeiam nomes de campos do Common Event Format (CEF) para os nomes que utilizam no CommonSecurityLog do Microsoft Sentinel e podem ser úteis quando estiver a trabalhar com uma origem de dados CEF no Microsoft Sentinel. Para obter mais informações, veja Ingerir mensagens syslog e CEF para Microsoft Sentinel com o Agente do Azure Monitor.

A - C

Nome da chave CEF	Nome do campo CommonSecurityLog	Descrição
agir	DeviceAction	A ação mencionada no evento.
aplicativo	ApplicationProtocol	O protocolo utilizado na aplicação, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, entre outros.
gato	DeviceEventCategory	Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos utilizam frequentemente o seu próprio esquema de categorização para classificar eventos. Por exemplo: `/Monitor/Disk/Read`.
cnt	EventCount	Uma contagem associada ao evento, que mostra o número de vezes que o mesmo evento foi observado.

D

Nome da chave CEF	Nome commonSecurityLog	Descrição
Fornecedor de Dispositivos	DeviceVendor	Cadeia que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Produto do Dispositivo	DeviceProduct	Cadeia que, juntamente com o fornecedor do dispositivo e as definições de versão, identifica exclusivamente o tipo de dispositivo de envio.
Versão do Dispositivo	DeviceVersion	Cadeia que, juntamente com as definições do produto do dispositivo e do fornecedor, identifica exclusivamente o tipo de dispositivo de envio.
destinationDnsDomain	DestinationDnsDomain	A parte DNS do nome de domínio completamente qualificado (FQDN).
destinationServiceName	DestinationServiceName	O serviço visado pelo evento. Por exemplo, `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifica o destino traduzido referido pelo evento numa rede IP, como um endereço IP IPv4.
destinationTranslatedPort	DestinationTranslatedPort	Porta, após a tradução, como uma firewall. Números de porta válidos: `0` - `65535`
deviceDirection	CommunicationDirection	Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos: - `0` = Entrada - `1` = Saída
deviceDnsDomain	DeviceDnsDomain	A parte do domínio DNS do nome de domínio completamente qualificado (FQDN)
DeviceEventClassID	DeviceEventClassID	Cadeia ou número inteiro que serve como um identificador exclusivo por tipo de evento.
deviceExternalId	deviceExternalId	Um nome que identifica exclusivamente o dispositivo que está a gerar o evento.
deviceFacility	DeviceFacility	As instalações que geram o evento.
deviceInboundInterface	DeviceInboundInterface	A interface na qual o pacote ou os dados entraram no dispositivo.
deviceNtDomain	DeviceNtDomain	O domínio do Windows do endereço do dispositivo
deviceOutboundInterface	DeviceOutboundInterface	Interface na qual o pacote ou os dados deixaram o dispositivo.
devicePayloadId	DevicePayloadId	Identificador exclusivo do payload associado ao evento.
deviceProcessName	ProcessName	Nome do processo associado ao evento. Por exemplo, no UNIX, o processo que gera a entrada syslog.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifica o endereço de dispositivo traduzido a que o evento se refere numa rede IP. O formato é um endereço Ipv4.
dhost	DestinationHostName	O destino a que o evento se refere numa rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó estiver disponível. Por exemplo: `host.domain.com` ou `host`.
dmac	DestinationMacAddress	O endereço MAC de destino (FQDN)
dntdom	DestinationNTDomain	O nome de domínio do Windows do endereço de destino.
dpid	DestinationProcessId	O ID do processo de destino associado ao evento.
dpriv	DestinationUserPrivileges	Define os privilégios da utilização de destino. Valores válidos: `Administrator`, , `UserGuest`
dproc	DestinationProcessName	O nome do processo de destino do evento, como `telnetd` ou `sshd.`
dpt	DestinationPort	Porta de destino. Valores válidos: `*0` - `65535`
dst	DestinationIP	O endereço IpV4 de destino a que o evento se refere numa rede IP.
dtz	DeviceTimeZone	Fuso horário do dispositivo que está a gerar o evento
duid	DestinationUserId	Identifica o utilizador de destino por ID.
duser	DestinationUserName	Identifica o utilizador de destino por nome.
dvc	DeviceAddress	O endereço IPv4 do dispositivo que está a gerar o evento.
dvchost	DeviceName	O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: `host.domain.com` ou `host`.
dvcmac	DeviceMacAddress	O endereço MAC do dispositivo que está a gerar o evento.
dvcpid	ID do Processo	Define o ID do processo no dispositivo que está a gerar o evento.

E - I

Nome da chave CEF	Nome commonSecurityLog	Descrição
externalId	ExternalID	Um ID utilizado pelo dispositivo de origem. Normalmente, estes valores têm valores crescentes que estão associados a um evento.
fileCreateTime	FileCreateTime	Hora em que o ficheiro foi criado.
fileHash	FileHash	Hash de um ficheiro.
fileId	FileID	Um ID associado a um ficheiro, como o inode.
fileModificationTime	FileModificationTime	Hora em que o ficheiro foi modificado pela última vez.
filePath	FilePath	Caminho completo para o ficheiro, incluindo o nome do ficheiro. Por exemplo: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
filePermission	FilePermission	As permissões do ficheiro.
fileType	FileType	Tipo de ficheiro, como pipe, socket, etc.
fname	FileName	O nome do ficheiro, sem o caminho.
fsize	FileSize	O tamanho do ficheiro.
Host	Computador	Anfitrião, do Syslog
na	ReceivedBytes	Número de bytes transferidos de entrada.

M - P

Nome da chave CEF	Nome commonSecurityLog	Descrição
msg	Mensagem	Uma mensagem que fornece mais detalhes sobre o evento.
Nome	Atividade	Uma cadeia que representa uma descrição legível por humanos e compreensível do evento.
oldFileCreateTime	OldFileCreateTime	Hora em que o ficheiro antigo foi criado.
oldFileHash	OldFileHash	Hash do ficheiro antigo.
oldFileId	OldFileId	E o ID associado ao ficheiro antigo, como o inode.
oldFileModificationTime	OldFileModificationTime	Hora em que o ficheiro antigo foi modificado pela última vez.
oldFileName	OldFileName	Nome do ficheiro antigo.
oldFilePath	OldFilePath	Caminho completo para o ficheiro antigo, incluindo o nome do ficheiro. Por exemplo: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` ou `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Permissões do ficheiro antigo.
oldFileSize	OldFileSize	Tamanho do ficheiro antigo.
oldFileType	OldFileType	Tipo de ficheiro do ficheiro antigo, como um pipe, socket, etc.
para fora	SentBytes	Número de bytes transferidos de saída.
resultado	EventOutcome	Resultado do evento, como `success` ou `failure`.
proto	Protocolo	Protocolo de transporte que identifica o protocolo Layer-4 utilizado. Os valores possíveis incluem nomes de protocolo, como `TCP` ou `UDP`.

R - T

Nome da chave CEF	Nome commonSecurityLog	Descrição
motivo	Reason	O motivo pelo qual foi gerado um evento de auditoria. Por exemplo: `badd password` ou `unknown user`. Também pode ser um erro ou um código de retorno. Por exemplo: `0x1234`.
Solicitação	RequestURL	O URL acedido para um pedido HTTP, incluindo o protocolo. Por exemplo, `http://www/secure.com`
requestClientApplication	RequestClientApplication	O agente de utilizador associado ao pedido.
requestContext	RequestContext	Descreve o conteúdo a partir do qual o pedido teve origem, como o Referência HTTP.
requestCookies	RequestCookies	Cookies associados ao pedido.
requestMethod	RequestMethod	O método utilizado para aceder a um URL. Os valores válidos incluem métodos como `POST`, `GET`e assim sucessivamente.
rt	ReceiptTime	A hora em que o evento relacionado com a atividade foi recebido.
Severity	LogSeverity	Uma cadeia ou número inteiro que descreve a importância do evento. Valores de cadeia válidos: `Unknown` , , `LowMedium`, , `High`,`Very-High` Os valores inteiros válidos são: - `0` - `3` = Baixo - `4` - `6` = Médio - `7` - `8` = Alto - `9` - `10` = Very-High
shost	SourceHostName	Identifica a origem a que o evento se refere numa rede IP. O formato deve ser um nome de domínio completamente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: `host` ou `host.domain.com`.
smac	SourceMacAddress	Endereço MAC de origem.
sntdom	SourceNTDomain	O nome de domínio do Windows para o endereço de origem.
sourceDnsDomain	SourceDnsDomain	A parte do domínio DNS do FQDN completo.
sourceServiceName	SourceServiceName	O serviço responsável por gerar o evento.
sourceTranslatedAddress	SourceTranslatedAddress	Identifica a origem traduzida a que o evento se refere numa rede IP.
sourceTranslatedPort	SourceTranslatedPort	Porta de origem após a tradução, como uma firewall. Os números de porta válidos são `0` - `65535`.
spid	SourceProcessId	O ID do processo de origem associado ao evento.
spriv	SourceUserPrivileges	Os privilégios do utilizador de origem. Os valores válidos incluem: `Administrator`, , `UserGuest`
sproc	SourceProcessName	O nome do processo de origem do evento.
spt	SourcePort	O número da porta de origem. Os números de porta válidos são `0` - `65535`.
src	SOURCEIP	A origem a que um evento se refere numa rede IP, como um endereço IPv4.
suid	SourceUserID	Identifica o utilizador de origem por ID.
suser	SourceUserName	Identifica o utilizador de origem pelo nome.
type	EventType	Tipo de evento. Os valores dos valores incluem: - `0`: evento base - `1`: agregado - `2`: evento de correlação - `3`: evento de ação Nota: este evento pode ser omitido para eventos de base.

Campos personalizados

As tabelas seguintes mapeiam os nomes das chaves CEF e dos campos CommonSecurityLog que estão disponíveis para os clientes utilizarem para dados que não se aplicam a nenhum dos campos incorporados.

Campos de endereço IPv6 personalizados

A tabela seguinte mapeia a chave CEF e os nomes commonSecurityLog para os campos de endereço IPv6 disponíveis para dados personalizados.

Nome da chave CEF	Nome commonSecurityLog
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Campos de número personalizados

A tabela seguinte mapeia os nomes da chave CEF e do CommonSecurityLog para os campos numéricos disponíveis para dados personalizados.

Nome da chave CEF	Nome commonSecurityLog
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Abela	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Campos de cadeia personalizados

A tabela seguinte mapeia a chave CEF e os nomes commonSecurityLog para os campos de cadeia disponíveis para dados personalizados.

Nome da chave CEF	Nome commonSecurityLog
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Dica

¹ Recomendamos que utilize os campos DeviceCustomString com moderação e utilize campos incorporados mais específicos sempre que possível.

Campos de carimbo de data/hora personalizados

A tabela seguinte mapeia os nomes da chave CEF e do CommonSecurityLog para os campos de carimbo de data /hora disponíveis para dados personalizados.

Nome da chave CEF	Nome commonSecurityLog
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Campos de dados inteiros personalizados

A tabela seguinte mapeia os nomes da chave CEF e do CommonSecurityLog para os campos de número inteiro disponíveis para dados personalizados.

Nome da chave CEF	Nome commonSecurityLog
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Campos de melhoramento

Os seguintes campos CommonSecurityLog são adicionados por Microsoft Sentinel para enriquecer os eventos originais recebidos dos dispositivos de origem e não têm mapeamentos nas chaves CEF:

Campos de informações sobre ameaças

Nome do campo CommonSecurityLog	Descrição
IndicatorThreatType	O tipo de ameaça MaliciousIP , de acordo com o feed de informações sobre ameaças.
MALICIOUSIP	Lista todos os endereços IP na mensagem que se correlacionam com o feed de informações sobre ameaças atual.
MaliciousIPCountry	O país/região maliciousIP , de acordo com as informações geográficas no momento da ingestão de registos.
MaliciousIPLatitude	A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão de registos.
MaliciousIPLongitude	A longitude MaliciousIP , de acordo com as informações geográficas no momento da ingestão de registos.
ReportReferenceLink	Ligação para o relatório de informações sobre ameaças.
ThreatConfidence	A confiança da ameaça MaliciousIP , de acordo com o feed de informações sobre ameaças.
ThreatDescription	A descrição da ameaça MaliciousIP , de acordo com o feed de informações sobre ameaças.
ThreatSeverity	A gravidade da ameaça para o MaliciousIP, de acordo com o feed de informações sobre ameaças no momento da ingestão de registos.

Outros campos de melhoramento

Nome do campo CommonSecurityLog	Descrição
OriginalLogSeverity	Sempre vazio, suportado para integração com o CiscoASA. Para obter detalhes sobre os valores de gravidade do registo, veja o campo LogSeverity .
RemoteIP	O endereço IP remoto. Este valor baseia-se no campo CommunicationDirection , se possível.
RemotePort	A porta remota. Este valor baseia-se no campo CommunicationDirection , se possível.
SimplifiedDeviceAction	Simplifica o valor DeviceAction para um conjunto estático de valores, mantendo o valor original no campo DeviceAction . Por exemplo: `Denied`>`Deny`.
SourceSystem	Sempre definido como OpsManager.

Comentários

Esta página foi útil?

Last updated on 2026-04-23