مشاركة عبر

تعيين الحقول CEF وCommonSecurityLog

  • مقالة

تعين الجداول التالية أسماء حقول Common Event Format (CEF) إلى الأسماء التي يستخدمونها في CommonSecurityLog الخاص ب Microsoft Sentinel، وقد تكون مفيدة عند العمل مع مصدر بيانات CEF في Microsoft Sentinel. لمزيد من المعلومات، راجع استيعاب syslog ورسائل CEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor.

A - C

اسم مفتاح CEF اسم حقل CommonSecurityLog ‏‏الوصف
التطبيق DeviceAction الإجراء المذكور في الحدث المنشأ.
تطبيق ApplicationProtocol البروتوكول المستخدم في التطبيق، مثل HTTP وHTTPS وSSHv2 وTelnet وPOP و IMPA وIMAPS وغيرهم.
cat فئة حدث الجهاز يمثل الفئة المعينة من قبل الجهاز الأصلي. غالبا ما تستخدم الأجهزة مخطط التصنيف الخاص بها لتصنيف الحدث. على سبيل المثال: /Monitor/Disk/Read.
cnt EventCount عدد مقترن بالحدث، يظهر عدد المرات التي تمت فيها ملاحظة الحدث نفسه.

D

اسم مفتاح CEF اسم CommonSecurityLog ‏‏الوصف
مورد الجهاز DeviceVendor تحدد السلسلة بالإضافة إلى تعريفات منتج الجهاز وإصداره، نوع إرسال الجهاز بشكل فريد.
منتج الجهاز DeviceProduct تحدد السلسلة بالإضافة إلى تعريفات مورد الجهاز وإصداره، نوع إرسال الجهاز بشكل فريد.
إصدار الجهاز DeviceVersion تحدد السلسلة بالإضافة إلى تعريفات منتج الجهاز ومورّده، نوع إرسال الجهاز بشكل فريد.
destinationDnsDomain DestinationDnsDomain جزء نظام أسماء المجالات من اسم المجال المؤهل بالكامل (FQDN).
destinationServiceName DestinationServiceName الخدمة التي يستهدفها الحدث المنشأ. على سبيل المثال، sshd
destinationTranslatedAddress DestinationTranslatedAddress يحدد الوجهة المترجمة التي يشير إليها الحدث في شبكة بروتوكول الإنترنت باعتبارها عنوان IP IPv4.
destinationTranslatedPort DestinationTranslatedPort المنفذ، بعد الترجمة، مثل جدار الحماية.
أرقام المنافذ الصالحة هي: 0 - 65535
deviceDirection CommunicationDirection أية معلومات عن الاتجاه الذي اتخذه الاتصال المرصود. القيم الصالحة:
- 0 = الواردة
- 1 = الصادر
deviceDnsDomain DeviceDnsDomain جزء مجال نظام أسماء المجالات من اسم المجال المؤهل الكامل (FQDN)
DeviceEventClassID DeviceEventClassID سلسلة أو عدد صحيح يعمل معرفا فريدا لكل نوع حدث.
معرف الجهاز معرف الجهاز اسم يعرف الجهاز الذي يقوم بإنشاء الحدث بشكل فريد.
deviceFacility DeviceFacility المنشأة التي تنشئ الحدث.
deviceInboundInterface DeviceInboundInterface الواجهة التي يتم من خلالها إدخال الحزمة أو البيانات إلى الجهاز.
deviceNtDomain DeviceNtDomain مجال Windows لعنوان الجهاز
deviceOutboundInterface DeviceOutboundInterface الواجهة التي يتم من خلالها إخراج الحزمة أو البيانات من الجهاز.
devicePayloadId DevicePayloadId معرف فريد للبيانات الأساسية المقترنة بالحدث.
deviceProcessName ProcessName اسم العملية المقترنة بالحدث.

على سبيل المثال، في نظام UNIX، عملية إنشاء إدخال syslog.
deviceTranslatedAddress DeviceTranslatedAddress يحدد عنوان الجهاز المترجم الذي يشير إليه الحدث، في شبكة بروتوكول الإنترنت.

التنسيق هو عنوان Ipv4.
dhost DestinationHostName الوجهة التي يشير إليها الحدث في شبكة بروتوكول الإنترنت.
يجب أن يكون التنسيق FQDN مقترنا بعقدة الوجهة، عندما تكون العقدة متوفرة. على سبيل المثال: host.domain.com أو host.
dmac DestinationMacAddress عنوان وحدة تحكم وصول وسائط الوجهة (FQDN)
dntdom DestinationNTDomain اسم مجال Windows لعنوان الوجهة.
dpid DestinationProcessId معرف عملية الوجهة المقترنة بالحدث.
dpriv DestinationUserPrivileges يحدد امتيازات استخدام الوجهة.
القيم الصالحة: Administrator، User، Guest
dproc DestinationProcessName اسم عملية وجهة الحدث، مثل telnetd أو sshd.
dpt DestinationPort منفذ الوجهة.
القيم الصالحة: *0 - 65535
dst DestinationIp عنوان IpV4 للوجهة التي يشير إليها الحدث في شبكة بروتوكول الإنترنت.
dtz DeviceTimeZone المنطقة الزمنية للجهاز الذي ينشئ الحدث
duid DestinationUserId يحدد مستخدم الوجهة حسب المعرف.
duser DestinationUserName يحدد مستخدم الوجهة حسب الاسم.
dvc DeviceAddress عنوان IPv4 للجهاز الذي ينشئ الحدث.
dvchost DeviceName اسماء المجالات المؤهلة بالكامل المقترنة بعقدة الجهاز، عندما تكون العقدة متوفرة. على سبيل المثال: host.domain.com أو host.
dvcmac DeviceMacAddress عنوان وحدة تحكم وصول الوسائط للجهاز الذي ينشئ الحدث.
dvcpid معرف العملية يحدد معرف العملية على الجهاز الذي ينشئ الحدث.

E - I

اسم مفتاح CEF اسم CommonSecurityLog ‏‏الوصف
معرف خارجي ExternalID معرف ما يستخدمه الجهاز الأصلي. عادة ما تحتوي هذه القيم على قيم متزايدة مقترنة بحدث ما.
fileCreateTime FileCreateTime وقت إنشاء الملف.
fileHash FileHash تجزئة ملف.
fileId FileID معرف مقترن بملف ما، مثل inode.
fileModificationTime FileModificationTime وقت آخر تعديل للملف.
filePath مسار الملف المسار الكامل إلى الملف، والذي من ضمنه اسم الملف. على سبيل المثال: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe أو /usr/bin/zip.
filePermission FilePermission أذونات الملف.
fileType نوع الملف نوع الملف، مثل ممر البيانات ومأخذ التوصيل وغير ذلك.
fname FileName اسم الملف، بدون المسار.
fsize FileSize حجم الملف.
المضيف الكمبيوتر المضيف، من نظام Syslog
في ReceivedBytes إجمالي عدد وحدات البايت المنقولة الواردة.

M - P

اسم مفتاح CEF اسم CommonSecurityLog ‏‏الوصف
msg رسالة رسالة ما تعطي المزيد من التفاصيل عن الحدث المنشأ.
الاسم النشاط سلسلة تقدم وصفا للحدث يمكن قراءته وفهمه.
oldFileCreateTime OldFileCreateTime وقت إنشاء الملف القديم.
oldFileHash OldFileHash تجزئة الملف القديم.
oldFileId OldFileId والمعرف المقترن بالملف القديم، مثل inode.
oldFileModificationTime OldFileModificationTime وقت آخر تعديل للملف القديم.
oldFileName OldFileName اسم الملف القديم.
oldFilePath OldFilePath المسار الكامل إلى الملف القديم، والذي من ضمنها اسم الملف.
على سبيل المثال: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe أو /usr/bin/zip.
oldFilePermission OldFilePermission أذونات الملف القديم.
oldFileSize OldFileSize حجم الملف القديم.
oldFileType OldFileType تعيين نوع الملف للملف القديم، مثل ممر البيانات، ومأخذ التوصيل، وغير ذلك.
out SentBytes إجمالي عدد وحدات البايت المنقولة الصادرة.
غب EventOutcome نتيجة الحدث، مثل success أو failure.
proto البروتوكول بروتوكول النقل الذي يحدد بروتوكول الطبقة 4 المستخدم.

تتضمن القيم المحتملة أسماء البروتوكولات، مثل TCP أو UDP.

R - T

اسم مفتاح CEF اسم CommonSecurityLog ‏‏الوصف
السبب السبب سبب إنشاء حدث تدقيق. على سبيل المثال: badd password أو unknown user. قد يكون هذا أيضا خطأ أو رمز إرجاع. على سبيل المثال: 0x1234.
طلب RequestURL عنوان URL الذي تم الوصول إليه لطلب HTTP، بما في ذلك البروتوكول. على سبيل المثال، http://www/secure.com
requestClientApplication RequestClientApplication عميل المستخدم المقترن بالطلب.
requestContext RequestContext يصف المحتوى الذي نشأ منه الطلب، مثل مرجع HTTP.
requestCookies RequestCookies ملفات تعريف الارتباط المقترنة بالطلب.
requestMethod طريقة الطلب الأسلوب المستخدم للوصول إلى عنوان URL.

تتضمن القيم الصالحة أساليب مثل POSTو GETوغير ذلك.
rt ReceiptTime وقت استلام الحدث المتعلق بالنشاط.
الأهمية LogSeverity سلسلة أو عدد صحيح يصف أهمية الحدث.

قيم السلسلة الصالحة: Unknown ، Low، Medium، High، Very-High

قيم العدد الصحيح الصالحة هي:
- 0-3 = منخفض
- 4-6 = متوسط
- 7-8 = مرتفع
- 9-10 = مرتفع جدا
shost SourceHostName يحدد المصدر الذي يشير إليه الحدث في شبكة بروتوكول الإنترنت. يجب أن يكون التنسيق اسم مجال مؤهل بالكامل (FQDN) مقترنا بعقدة المصدر، عند توفر عقدة. على سبيل المثال: host أو host.domain.com.
smac SourceMacAddress عنوان وحدة تحكم وصول وسائط المصدر.
sntdom SourceNTDomain اسم مجال Windows لعنوان المصدر.
sourceDnsDomain SourceDnsDomain جزء مجال نظام أسماء المجالات من اسم مجال مؤهل بالكامل.
sourceServiceName SourceServiceName الخدمة المسؤولة عن إنشاء الحدث.
sourceTranslatedAddress SourceTranslatedAddress يحدد المصدر المترجم الذي يشير إليه الحدث، في شبكة بروتوكول الإنترنت.
sourceTranslatedPort SourceTranslatedPort ينقل مصدر البيانات بعد الترجمة، مثل جدار الحماية.
أرقام المنافذ الصالحة: 0 - 65535.
spid SourceProcessId معرف عملية مصدر البيانات المقترنة بالحدث.
spriv SourceUserPrivileges امتيازات مستخدم مصدر البيانات.

تتضمن القيم الصالحة:Administrator، User، Guest
sproc SourceProcessName اسم عملية مصدر الحدث.
Spt SourcePort رقم منفذ مصدر البيانات.
أرقام المنافذ الصالحة: 0 - 65535.
src SourceIP المصدر الذي يشير إليه الحدث في شبكة بروتوكول الإنترنت، باعتباره عنوان IPv4.
suid SourceUserID يحدد مستخدم مصدر البيانات حسب المعرف.
suser SourceUserName يحدد مستخدم مصدر البيانات حسب الاسم.
النوع EventType نوع الحدث. تتضمن قيم القيمة ما يلي:
- 0: حدث أساسي
- 1:تجميع
- 2: حدث الارتباط
- 3: حدث الإجراء

ملاحظة: بالنسبة للأحداث الأساسية، يمكن حذف هذا الحدث.

الحقول المخصصة

تعين الجداول التالية أسماء مفاتيح CEF وحقول CommonSecurityLog المتوفرة للعملاء لاستخدامها للبيانات التي لا تنطبق على أي من الحقول المضمنة.

حقول عناوين IPv6 المخصصة

يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول عناوين IPv6 المتوفرة للبيانات المخصصة.

اسم مفتاح CEF اسم CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

حقول أرقام مخصصة

يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الأرقام المتوفرة للبيانات المخصصة.

اسم مفتاح CEF اسم CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

حقول سلسلة مخصصة

يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول السلاسل المتوفرة للبيانات المخصصة.

اسم مفتاح CEF اسم CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

تلميح

1 نوصيك باستخدام حقول DeviceCustomString بتحفظ واستخدام حقول مضمنة أكثر تحديدا عندما يكون ذلك ممكنا.

حقول الطابع الزمني المخصصة

يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الطابع الزمني المتوفرة للبيانات المخصصة.

اسم مفتاح CEF اسم CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

حقول بيانات أعداد صحيحة مخصصة

يعين الجدول التالي مفتاح CEF وأسماء CommonSecurityLog لحقول الأرقام الصحيحة المتوفرة للبيانات المخصصة.

اسم مفتاح CEF اسم CommonSecurityLog
flexNumber1 flexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

حقول الإثراء

تتم إضافة حقول CommonSecurityLog التالية بواسطة Microsoft Sentinel لإثراء الأحداث الأصلية المستلمة من الأجهزة المصدر، ولا تحتوي على تعيينات في مفاتيح CEF:

حقول التحليل الذكي للمخاطر

اسم حقل CommonSecurityLog ‏‏الوصف
IndicatorThreatType نوع التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر.
MaliciousIP يسرد أية عنوان من عناوين IP في الرسالة التي ترتبط بموجز التحليل الذكي للمخاطر الحالي.
MaliciousIPCountry البلد/المنطقة الضارة، وفقا للمعلومات الجغرافية في وقت استيعاب السجل.
MaliciousIPLatitude خط طولMaliciousIP، وفقا للمعلومات الجغرافية في وقت استيعاب السجل.
MaliciousIPLongitude خط طولMaliciousIP، وفقا للمعلومات الجغرافية في وقت استيعاب السجل.
ReportReferenceLink ارتباط تشعبي إلى تقرير التحليل الذكي للمخاطر.
ThreatConfidence دقة التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر.
وصف التهديد وصف التهديد MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر.
ThreatSeverity خطورة التهديد لـ MaliciousIP، وفقا لموجز التحليل الذكي للمخاطر في وقت استيعاب السجل.

حقول الإثراء الأخرى

اسم حقل CommonSecurityLog ‏‏الوصف
OriginalLogSeverity فارغ دائما، مدعوم للتكامل مع CiscoASA.
للحصول على تفاصيل عن قيم خطورة السجل، راجع حقل LogSeverity.
RemoteIP عنوان IP البعيد
تعتمد هذه القيمة على حقل CommunicationDirection، إن أمكن.
RemotePort المنفذ البعيد.
تعتمد هذه القيمة على حقل CommunicationDirection، إن أمكن.
SimplifiedDeviceAction يبسط قيمة DeviceAction إلى مجموعة ثابتة من القيم، مع الاحتفاظ بالقيمة الأصلية في حقل DeviceAction.
على سبيل المثال: Denied>Deny.
نظام المصدر تعرف دائما على أنها OpsManager.

المحتوى ذو الصلة