Mapeamento de campo do CEF e do CommonSecurityLog

  • Artigo

As tabelas a seguir mapeiam nomes de campo CEF (Common Event Format) para os nomes que eles usam no CommonSecurityLog do Microsoft Sentinel e podem ser úteis quando você estiver trabalhando com uma fonte de dados CEF no Microsoft Sentinel. Para obter mais informações, confira Ingerir mensagens do syslog e do CEF para o Microsoft Sentinel com o agente do Azure Monitor.

A – C

Nome da chave de CEF Nome do campo do CommonSecurityLog Descrição
act DeviceAction A ação mencionada no evento.
app ApplicationProtocol O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante.
cat DeviceEventCategory Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Por exemplo: /Monitor/Disk/Read.
cnt EventCount Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado.

D

Nome da chave de CEF Nome do CommonSecurityLog Descrição
Fornecedor do Dispositivo DeviceVendor Cadeia de caracteres que, junto com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Produto do Dispositivo DeviceProduct Cadeia de caracteres que, junto com as definições de fornecedor e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
Versão do Dispositivo DeviceVersion Cadeia de caracteres que, junto com as definições de produto e fornecedor do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
destinationDnsDomain DestinationDnsDomain A parte DNS do FQDN (nome de domínio totalmente qualificado).
destinationServiceName DestinationServiceName O serviço direcionado pelo evento. Por exemplo, sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4.
destinationTranslatedPort DestinationTranslatedPort Porta após a conversão, como um firewall.
Números de porta válidos: 0 - 65535
deviceDirection CommunicationDirection Todas as informações sobre a direção que a comunicação observada levou. Valores válidos:
- 0 = Entrada
- 1 = Saída
deviceDnsDomain DeviceDnsDomain A parte do domínio DNS do FQDN (nome de domínio totalmente qualificado)
DeviceEventClassID DeviceEventClassID Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento.
deviceExternalId deviceExternalId Um nome que identifica exclusivamente o dispositivo que gera o evento.
deviceFacility DeviceFacility A instalação que gera o evento.
deviceInboundInterface DeviceInboundInterface A interface na qual o pacote ou os dados foram inseridos no dispositivo.
deviceNtDomain DeviceNtDomain O domínio do Windows do endereço do dispositivo
deviceOutboundInterface DeviceOutboundInterface A interface pela qual o pacote ou os dados saíram do dispositivo.
devicePayloadId DevicePayloadId Identificador exclusivo para o payload associado ao evento.
deviceProcessName ProcessName Nome do processo associado ao evento.

Por exemplo, no UNIX, o processo que gera a entrada do syslog.
deviceTranslatedAddress DeviceTranslatedAddress Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP.

O formato é um endereço IPv4.
dhost DestinationHostName O destino ao qual o evento se refere em uma rede IP.
O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo, host.domain.com ou host.
dmac DestinationMacAddress O endereço MAC de destino (FQDN)
dntdom DestinationNTDomain O nome de domínio do Windows do endereço de destino.
dpid DestinationProcessId A ID do processo de destino associado ao evento.
dpriv DestinationUserPrivileges Define os privilégios do uso de destino.
Valores válidos: Admninistrator, User e Guest
dproc DestinationProcessName O nome do processo de destino do evento, como telnetd ou sshd.
dpt DestinationPort Porta de destino.
Valores válidos: *0 - 65535
dst DestinationIP O endereço IpV4 de destino ao qual o evento se refere em uma rede IP.
dtz DeviceTimeZone Fuso horário do dispositivo que gera o evento
duid DestinationUserId Identifica o usuário de destino por ID.
duser DestinationUserName Identifica o usuário de destino por nome.
dvc DeviceAddress O endereço IPv4 do dispositivo que gera o evento.
dvchost DeviceName O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo, host.domain.com ou host.
dvcmac DeviceMacAddress O endereço MAC do dispositivo que gera o evento.
dvcpid ID do Processo Define a ID do processo no dispositivo que gera o evento.

E – I

Nome da chave de CEF Nome do CommonSecurityLog Descrição
externalId ExternalId Uma ID usada pelo dispositivo de origem. Normalmente, esses valores têm valores crescentes que são associados a um evento.
fileCreateTime FileCreateTime Hora que o arquivo foi criado.
fileHash FileHash Hash de um arquivo.
fileId FileID Uma ID associada a um arquivo, como inode.
fileModificationTime FileModificationTime Hora em que o arquivo foi modificado pela última vez.
filePath FilePath Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
filePermission FilePermission As permissões do arquivo.
FileType FileType Tipo de arquivo, como pipe, soquete e assim por diante.
fname FileName O nome do arquivo, sem o caminho.
fsize FileSize O tamanho do arquivo.
Host Computador Host, do Syslog
in ReceivedBytes Número de bytes transferidos em entrada.

M – P

Nome da chave de CEF Nome do CommonSecurityLog Descrição
msg Mensagem Uma mensagem que fornece mais detalhes sobre o evento.
Nome Atividade Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento.
oldFileCreateTime OldFileCreateTime Hora em que o arquivo antigo foi criado.
oldFileHash OldFileHash Hash do arquivo antigo.
oldFileId OldFileId ID associada ao arquivo antigo, como o inode.
oldFileModificationTime OldFileModificationTime Hora em que o arquivo antigo foi modificado pela última vez.
oldFileName OldFileName Nome do arquivo antigo.
oldFilePath OldFilePath Caminho completo para o arquivo antigo, incluindo o nome do arquivo.
Por exemplo, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
oldFilePermission OldFilePermission Permissões do arquivo antigo.
oldFileSize OldFileSize Tamanho do arquivo antigo.
oldFileType OldFileType Tipo do arquivo antigo, como um pipe, soquete e assim por diante.
out SentBytes Número de bytes transferidos em saída.
resultado EventOutcome Resultado do evento, como success ou failure.
proto Protocolo Protocolo de transporte que identifica o protocolo Layer-4 usado.

Os valores possíveis incluem nomes de protocolo, como TCP ou UDP.

R – T

Nome da chave de CEF Nome do CommonSecurityLog Descrição
reason Motivo O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, badd password ou unknown user. Também pode ser um erro ou um código de retorno. Por exemplo: 0x1234.
Solicitação RequestURL A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo, http://www/secure.com
requestClientApplication RequestClientApplication O agente de usuário associado com a solicitação.
requestContext RequestContext Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP.
requestCookies RequestCookies Cookies associados com a solicitação.
requestMethod RequestMethod O método usado para acessar uma URL.

Os valores válidos incluem métodos como POST, GET e assim por diante.
rt ReceiptTime A hora em que o evento relacionado à atividade foi recebido.
Severidade LogSeverity Uma cadeia de caracteres ou um inteiro que descreve a importância do evento.

Valores da cadeia de caracteres válidos: Unknown , Low, Medium, High, Very-High

Os valores inteiros válidos são:
- 0-3 = Baixo
- 4-6 = Médio
- 7-8 = Alto
- 9-10 = Muito alto
shost SourceHostName Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo, host ou host.domain.com.
smac SourceMacAddress Endereço MAC de origem.
sntdom SourceNTDomain O nome de domínio do Windows para o endereço de origem.
sourceDnsDomain SourceDnsDomain A parte do domínio DNS do FQDN completo.
sourceServiceName SourceServiceName O serviço responsável por gerar o evento.
sourceTranslatedAddress SourceTranslatedAddress Identifica a origem traduzida à qual o evento se refere em uma rede IP.
sourceTranslatedPort SourceTranslatedPort Porta de origem após a conversão, como um firewall.
Os números de porta válidos são 0 - 65535.
spid SourceProcessId A ID do processo de origem associado ao evento.
spriv SourceUserPrivileges Os privilégios do usuário de origem.

Os valores válidos incluem: Administrator, User, Guest
sproc SourceProcessName O nome do processo de origem do evento.
spt SourcePort O número da porta de origem.
Os números de porta válidos são 0 - 65535.
src SourceIP A origem à qual um evento se refere em uma rede IP, como um endereço IPv4.
suid SourceUserID Identifica o usuário de origem por ID.
suser SourceUserName Identifica o usuário de origem por nome.
type EventType Tipo de evento. Os valores válidos são:
- 0: evento base
- 1: agregado
- 2: evento de correlação
- 3: evento de ação

Observação: este evento pode ser omitido para eventos base.

Campos Personalizados

As tabelas a seguir mapeiam os nomes das chaves CEF e dos campos CommonSecurityLog que estão disponíveis para os clientes usarem para dados que não se aplicam a nenhum dos campos internos.

Campos de endereço IPv6 personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de endereço IPv6 disponíveis para dados personalizados.

Nome da chave de CEF Nome do CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Custom number fields

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de número disponíveis para dados personalizados.

Nome da chave de CEF Nome do CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Campos de cadeia de caracteres personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de cadeia de caracteres disponíveis para dados personalizados.

Nome da chave de CEF Nome do CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Dica

1 Recomendamos que você use os campos do DeviceCustomString com moderação e use campos internos mais específicos, quando possível.

Campos de carimbo de data/hora personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de carimbo de data e hora disponíveis para dados personalizados.

Nome da chave de CEF Nome do CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Campos de dados de inteiros personalizados

A tabela a seguir mapeia a chave de CEF e os nomes do CommonSecurityLog para os campos de inteiros disponíveis para dados personalizados.

Nome da chave de CEF Nome do CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Campos de enriquecimento

Os campos do CommonSecurityLog a seguir são adicionados pelo Microsoft Sentinel para enriquecer os eventos originais recebidos dos dispositivos de origem e não têm mapeamentos em chaves de CEF:

Campos de inteligência contra ameaças

Nome do campo do CommonSecurityLog Descrição
IndicatorThreatType O tipo de ameaça MaliciousIP, de acordo com o feed de inteligência contra ameaças.
MaliciousIP Lista todos os endereços IP na mensagem que se correlaciona com o feed de inteligência contra ameaças atual.
MaliciousIPCountry O país/região do MaliciousIP, de acordo com as informações geográficas no momento da ingestão do registro.
MaliciousIPLatitude A longitude do MaliciousIP, de acordo com as informações geográficas no momento da ingestão de registros.
MaliciousIPLongitude A longitude do MaliciousIP, de acordo com as informações geográficas no momento da ingestão de registros.
ReportReferenceLink Link para o relatório de inteligência contra ameaças.
ThreatConfidence A confiança da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças.
ThreatDescription A descrição da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças.
ThreatSeverity A severidade da ameaça do MaliciousIP, de acordo com o feed de inteligência contra ameaças no momento da ingestão de registros.

Outros campos de enriquecimento

Nome do campo do CommonSecurityLog Descrição
OriginalLogSeverity Sempre vazio, com suporte para integração com CiscoASA.
Para obter detalhes sobre os valores de severidade de log, confira o campo LogSeverity.
RemoteIP O endereço IP remoto.
Este valor se baseia no campo CommunicationDirection, se possível.
RemotePort A porta remota.
Este valor se baseia no campo CommunicationDirection, se possível.
SimplifiedDeviceAction Simplifica o valor de DeviceAction para um conjunto estático de valores, mantendo o valor original no campo DeviceAction.
Por exemplo: Denied>Deny.
SourceSystem Sempre definido como OpsManager.

Conteúdo relacionado