تعيين الحقول CEF وCommonSecurityLog
تعين الجداول التالية أسماء حقول Common Event Format (CEF) إلى الأسماء التي يستخدمونها في CommonSecurityLog الخاص ب Microsoft Sentinel، وقد تكون مفيدة عند العمل مع مصدر بيانات CEF في Microsoft Sentinel. لمزيد من المعلومات، راجع استيعاب syslog ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor.
A - C
D
E - I
اسم مفتاح CEF | اسم CommonSecurityLog | الوصف |
---|---|---|
معرف خارجي | ExternalID | معرف ما يستخدمه الجهاز الأصلي. عادة ما تحتوي هذه القيم على قيم متزايدة مقترنة بحدث ما. |
fileCreateTime | FileCreateTime | وقت إنشاء الملف. |
fileHash | FileHash | تجزئة ملف. |
fileId | FileID | معرف مقترن بملف ما، مثل inode. |
fileModificationTime | FileModificationTime | وقت آخر تعديل للملف. |
filePath | مسار الملف | المسار الكامل إلى الملف، والذي من ضمنه اسم الملف. على سبيل المثال: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe أو /usr/bin/zip . |
filePermission | FilePermission | أذونات الملف. |
fileType | نوع الملف | نوع الملف، مثل ممر البيانات ومأخذ التوصيل وغير ذلك. |
fname | FileName | اسم الملف، بدون المسار. |
fsize | FileSize | حجم الملف. |
المضيف | الكمبيوتر | المضيف، من نظام Syslog |
في | ReceivedBytes | إجمالي عدد وحدات البايت المنقولة الواردة. |
M - P
اسم مفتاح CEF | اسم CommonSecurityLog | الوصف |
---|---|---|
msg | رسالة | رسالة ما تعطي المزيد من التفاصيل عن الحدث المنشأ. |
الاسم | النشاط | سلسلة تقدم وصفا للحدث يمكن قراءته وفهمه. |
oldFileCreateTime | OldFileCreateTime | وقت إنشاء الملف القديم. |
oldFileHash | OldFileHash | تجزئة الملف القديم. |
oldFileId | OldFileId | والمعرف المقترن بالملف القديم، مثل inode. |
oldFileModificationTime | OldFileModificationTime | وقت آخر تعديل للملف القديم. |
oldFileName | OldFileName | اسم الملف القديم. |
oldFilePath | OldFilePath | المسار الكامل إلى الملف القديم، والذي من ضمنها اسم الملف. على سبيل المثال: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe أو /usr/bin/zip . |
oldFilePermission | OldFilePermission | أذونات الملف القديم. |
oldFileSize | OldFileSize | حجم الملف القديم. |
oldFileType | OldFileType | تعيين نوع الملف للملف القديم، مثل ممر البيانات، ومأخذ التوصيل، وغير ذلك. |
out | SentBytes | إجمالي عدد وحدات البايت المنقولة الصادرة. |
غب | EventOutcome | نتيجة الحدث، مثل success أو failure . |
proto | البروتوكول | بروتوكول النقل الذي يحدد بروتوكول الطبقة 4 المستخدم. تتضمن القيم المحتملة أسماء البروتوكولات، مثل TCP أو UDP . |
R - T
الحقول المخصصة
تعين الجداول التالية أسماء مفاتيح CEF وحقول CommonSecurityLog المتوفرة للعملاء لاستخدامها للبيانات التي لا تنطبق على أي من الحقول المضمنة.
حقول عناوين IPv6 المخصصة
يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول عناوين IPv6 المتوفرة للبيانات المخصصة.
اسم مفتاح CEF | اسم CommonSecurityLog |
---|---|
c6a1 | DeviceCustomIPv6Address1 |
c6a1Label | DeviceCustomIPv6Address1Label |
c6a2 | DeviceCustomIPv6Address2 |
c6a2Label | DeviceCustomIPv6Address2Label |
c6a3 | DeviceCustomIPv6Address3 |
c6a3Label | DeviceCustomIPv6Address3Label |
c6a4 | DeviceCustomIPv6Address4 |
c6a4Label | DeviceCustomIPv6Address4Label |
cfp1 | DeviceCustomFloatingPoint1 |
cfp1Label | deviceCustomFloatingPoint1Label |
cfp2 | DeviceCustomFloatingPoint2 |
cfp2Label | deviceCustomFloatingPoint2Label |
cfp3 | DeviceCustomFloatingPoint3 |
cfp3Label | deviceCustomFloatingPoint3Label |
cfp4 | DeviceCustomFloatingPoint4 |
cfp4Label | deviceCustomFloatingPoint4Label |
حقول أرقام مخصصة
يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الأرقام المتوفرة للبيانات المخصصة.
اسم مفتاح CEF | اسم CommonSecurityLog |
---|---|
cn1 | DeviceCustomNumber1 |
cn1Label | DeviceCustomNumber1Label |
cn2 | DeviceCustomNumber2 |
cn2Label | DeviceCustomNumber2Label |
cn3 | DeviceCustomNumber3 |
cn3Label | DeviceCustomNumber3Label |
حقول سلسلة مخصصة
يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول السلاسل المتوفرة للبيانات المخصصة.
اسم مفتاح CEF | اسم CommonSecurityLog |
---|---|
cs1 | DeviceCustomString1 1 |
cs1Label | DeviceCustomString1Label 1 |
cs2 | DeviceCustomString2 1 |
cs2Label | DeviceCustomString2Label 1 |
cs3 | DeviceCustomString3 1 |
cs3Label | DeviceCustomString3Label 1 |
cs4 | DeviceCustomString4 1 |
cs4Label | DeviceCustomString4Label 1 |
cs5 | DeviceCustomString5 1 |
cs5Label | DeviceCustomString5Label 1 |
cs6 | DeviceCustomString6 1 |
cs6Label | DeviceCustomString6Label 1 |
flexString1 | FlexString1 |
flexString1Label | FlexString1Label |
flexString2 | FlexString2 |
flexString2Label | FlexString2Label |
تلميح
1 نوصيك باستخدام حقول DeviceCustomString بتحفظ واستخدام حقول مضمنة أكثر تحديدا عندما يكون ذلك ممكنا.
حقول الطابع الزمني المخصصة
يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الطابع الزمني المتوفرة للبيانات المخصصة.
اسم مفتاح CEF | اسم CommonSecurityLog |
---|---|
deviceCustomDate1 | DeviceCustomDate1 |
deviceCustomDate1Label | DeviceCustomDate1Label |
deviceCustomDate2 | DeviceCustomDate2 |
deviceCustomDate2Label | DeviceCustomDate2Label |
flexDate1 | FlexDate1 |
flexDate1Label | FlexDate1Label |
حقول بيانات أعداد صحيحة مخصصة
يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الأرقام الصحيحة المتوفرة للبيانات المخصصة.
اسم مفتاح CEF | اسم CommonSecurityLog |
---|---|
flexNumber1 | flexNumber1 |
flexNumber1Label | FlexNumber1Label |
flexNumber2 | FlexNumber2 |
flexNumber2Label | FlexNumber2Label |
حقول الإثراء
تتم إضافة حقول CommonSecurityLog التالية بواسطة Microsoft Sentinel لإثراء الأحداث الأصلية المستلمة من الأجهزة المصدر، ولا تحتوي على تعيينات في مفاتيح CEF:
حقول التحليل الذكي للمخاطر
اسم حقل CommonSecurityLog | الوصف |
---|---|
IndicatorThreatType | نوع التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر. |
MaliciousIP | يسرد أية عنوان من عناوين IP في الرسالة التي ترتبط بموجز التحليل الذكي للمخاطر الحالي. |
MaliciousIPCountry | البلد/المنطقة الضارة، وفقا للمعلومات الجغرافية في وقت استيعاب السجل. |
MaliciousIPLatitude | خط طولMaliciousIP، وفقا للمعلومات الجغرافية في وقت استيعاب السجل. |
MaliciousIPLongitude | خط طولMaliciousIP، وفقا للمعلومات الجغرافية في وقت استيعاب السجل. |
ReportReferenceLink | ارتباط تشعبي إلى تقرير التحليل الذكي للمخاطر. |
ThreatConfidence | دقة التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر. |
وصف التهديد | وصف التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر. |
ThreatSeverity | خطورة التهديد لـ MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر في وقت استيعاب السجل. |
حقول الإثراء الأخرى
اسم حقل CommonSecurityLog | الوصف |
---|---|
OriginalLogSeverity | فارغ دائما، مدعوم للتكامل مع CiscoASA. للحصول على تفاصيل عن قيم خطورة السجل، راجع حقل LogSeverity. |
RemoteIP | عنوان IP البعيد تعتمد هذه القيمة على حقل CommunicationDirection، إن أمكن. |
RemotePort | المنفذ البعيد. تعتمد هذه القيمة على حقل CommunicationDirection، إن أمكن. |
SimplifiedDeviceAction | يبسط قيمة DeviceAction إلى مجموعة ثابتة من القيم، مع الاحتفاظ بالقيمة الأصلية في حقل DeviceAction. على سبيل المثال: Denied >Deny . |
نظام المصدر | تعرف دائما على أنها OpsManager. |