Bagikan melalui

Pemetaan bidang CEF dan CommonSecurityLog

  • Artikel

Tabel berikut memetakan nama bidang Common Event Format (CEF) ke nama yang mereka gunakan di CommonSecurityLog Microsoft Sentinel, dan mungkin berguna saat Anda bekerja dengan sumber data CEF di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menyerap pesan syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor.

A - C

Nama kunci CEF Nama bidang CommonSecurityLog Deskripsi
act DeviceAction Tindakan tersebut disebutkan dalam peristiwa.
aplikasi ApplicationProtocol Protokol yang digunakan dalam aplikasi, seperti HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, dan sebagainya.
cat DeviceEventCategory Mewakili kategori yang ditetapkan oleh perangkat asal. Perangkat sering menggunakan skema kategorisasi mereka sendiri untuk mengklasifikasikan peristiwa. Misalnya: /Monitor/Disk/Read.
cnt EventCount Hitungan yang terkait dengan peristiwa, menunjukkan berapa kali peristiwa yang sama diamati.

D

Nama kunci CEF Nama CommonSecurityLog Deskripsi
Vendor Perangkat DeviceVendor Untai bersama dengan definisi produk dan versi perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
Produk Perangkat DeviceProduct Untai bersama dengan definisi vendor dan versi perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
Versi Perangkat DeviceVersion Untai bersama dengan definisi produk dan vendor perangkat, secara unik mengidentifikasi jenis perangkat pengirim.
destinationDnsDomain DestinationDnsDomain Bagian DNS dari nama domain yang sepenuhnya memenuhi syarat (FQDN).
destinationServiceName DestinationServiceName Layanan yang ditargetkan oleh peristiwa tersebut. Contohnya,sshd.
destinationTranslatedAddress DestinationTranslatedAddress Mengidentifikasi tujuan terjemahan yang dirujuk oleh peristiwa dalam jaringan IP, sebagai alamat IP IPv4.
destinationTranslatedPort DestinationTranslatedPort Port, setelah terjemahan, seperti firewall.
Nomor port yang valid: 0 - 65535
deviceDirection CommunicationDirection Setiap informasi tentang arah komunikasi yang diamati telah diambil. Nilai yang valid:
- 0 = Masuk
- 1 = Keluar
deviceDnsDomain DeviceDnsDomain Bagian domain DNS dari nama domain yang memenuhi syarat penuh (FQDN)
DeviceEventClassID DeviceEventClassID Untai atau integer yang berfungsi sebagai pengidentifikasi unik per jenis peristiwa.
deviceExternalId deviceExternalId Nama yang secara unik mengidentifikasi perangkat yang menghasilkan peristiwa.
deviceFacility DeviceFacility Fasilitas yang menghasilkan peristiwa.
deviceInboundInterface DeviceInboundInterface Antarmuka tempat paket atau data memasuki perangkat.
deviceNtDomain DeviceNtDomain Domain Windows dari alamat perangkat
deviceOutboundInterface DeviceOutboundInterface Antarmuka tempat paket atau data meninggalkan perangkat.
devicePayloadId DevicePayloadId Pengidentifikasi unik untuk payload yang terkait dengan peristiwa.
deviceProcessName ProcessName Nama proses yang terkait dengan peristiwa.

Misalnya, di UNIX, proses menghasilkan entri syslog.
deviceTranslatedAddress DeviceTranslatedAddress Mengidentifikasi alamat perangkat yang diterjemahkan yang merujuk peristiwa tersebut, dalam jaringan IP.

Formatnya adalah alamat Ipv4.
dhost DestinationHostName Tujuan acara mengacu pada jaringan IP.
Formatnya harus berupa FQDN yang terkait dengan simpul tujuan, saat simpul tersedia. Misalnya, host.domain.com atau host.
dmac DestinationMacAddress Alamat MAC tujuan (FQDN)
dntdom DestinationNTDomain Nama domain Windows dari alamat tujuan.
dpid DestinationProcessId ID proses tujuan yang terkait dengan peristiwa.
dpriv DestinationUserPrivileges Menentukan hak istimewa penggunaan tujuan.
Nilai yang valid: Administrator, User, Guest
dproc DestinationProcessName Nama proses tujuan acara, seperti telnetd atau sshd.
dpt DestinationPort Port tujuan
Nilai yang valid: *0 - 65535
dst DestinationIP Alamat IpV4 tujuan yang dirujuk oleh peristiwa dalam jaringan IP.
dtz DeviceTimeZone Zona waktu perangkat menghasilkan peristiwa
duid DestinationUserId Mengidentifikasi pengguna tujuan dengan ID.
duser DestinationUserName Mengidentifikasi pengguna tujuan dengan nama.
dvc DeviceAddress Alamat IPv4 perangkat yang menghasilkan peristiwa.
dvchost DeviceName FQDN yang terkait dengan simpul perangkat, ketika simpul tersedia. Misalnya, host.domain.com atau host.
dvcmac DeviceMacAddress Alamat MAC perangkat yang menghasilkan peristiwa.
dvcpid ID Proses Menentukan ID proses pada perangkat yang menghasilkan peristiwa.

E - I

Nama kunci CEF Nama CommonSecurityLog Deskripsi
externalId externalId ID yang digunakan oleh perangkat asal. Biasanya, nilai-nilai ini memiliki nilai yang meningkat yang masing-masing terkait dengan suatu peristiwa.
fileCreateTime FileCreateTime Waktu ketika file dibuat.
fileHash FileHash Hash dari file.
fileId FileID ID yang terkait dengan file, seperti inode.
fileModificationTime FileModificationTime Waktu saat file terakhir diubah.
filePath FilePath Jalur lengkap ke file, termasuk nama file. Sebagai contoh: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe atau /usr/bin/zip.
filePermission FilePermission Izin file.
fileType FileType Jenis file, seperti alur, soket, dan sebagainya.
fnama FileName Nama file, tanpa jalur.
fsize FileSize Ukuran file.
Host Komputer Host, dari Syslog
in ReceivedBytes Jumlah byte yang ditransfer masuk.

M - P

Nama kunci CEF Nama CommonSecurityLog Deskripsi
msg Pesan Pesan yang memberikan detail lebih lanjut tentang peristiwa tersebut.
Nama Tinggi Untai yang mewakili deskripsi peristiwa yang dapat dibaca dan dipahami manusia.
oldFileCreateTime OldFileCreateTime Waktu ketika file lama dibuat.
oldFileHash OldFileHash Hash dari file lama.
oldFileId OldFileId Dan ID yang terkait dengan file lama, seperti inode.
oldFileModificationTime OldFileModificationTime Waktu saat file lama terakhir diubah.
oldFileName OldFileName Nama dari file lama.
oldFilePath OldFilePath Jalur lengkap ke file lama, termasuk nama file.
Misalnya, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe atau /usr/bin/zip.
oldFilePermission OldFilePermission Izin dari file lama.
oldFileSize OldFileSize Ukuran file lama.
oldFileType OldFileType Jenis file lama, seperti alur, soket, dan sebagainya.
out SentBytes Jumlah byte yang keluar ditransfer masuk.
hasil EventOutcome Hasil peristiwa, seperti success atau failure.
proto Protokol Protokol transportasi yang mengidentifikasi protokol Lapisan-4 yang digunakan.

Nilai yang memungkinkan mencakup nama protokol, seperti TCP atau UDP.

R - T

Nama kunci CEF Nama CommonSecurityLog Deskripsi
reason Alasan Alasan peristiwa audit dihasilkan. Misalnya, badd password atau unknown user. Ini juga bisa berupa kesalahan atau mengembalikan kode. Misalnya: 0x1234.
Minta RequestURL URL yang diakses untuk permintaan HTTP, termasuk protokol. Misalnya: http://www/secure.com
requestClientApplication RequestClientApplication Agen pengguna yang terkait dengan permintaan.
requestContext RequestContext Menjelaskan konten asal permintaan, seperti referen HTTP.
requestCookies RequestCookies Cookie yang terkait dengan permintaan.
requestMethod RequestMethod Metode yang digunakan untuk mengakses URL.

Nilai yang valid mencakup metode seperti POST, GET, dan seterusnya.
rt ReceiptTime Waktu di mana peristiwa yang berkaitan dengan aktivitas diterima.
Tingkat keparahan LogSeverity Untai atau bilangan bulat yang menjelaskan tingkat kepentingan acara.

Nilai untai valid: Unknown , Low, Medium, High, Very-High

Nilai bilangan bulat yang valid adalah:
- 0-3 = Rendah
- 4-6 = Sedang
- 7-8 = Tinggi
- 9-10 = Sangat Tinggi
shost SourceHostName Mengidentifikasi sumber yang merujuk peristiwa dalam jaringan IP. Format harus berupa nama domain yang sepenuhnya memenuhi syarat (FQDN) yang terkait dengan simpul sumber, ketika simpul tersedia. Misalnya, host atau host.domain.com.
smac SourceMacAddress Alamat MAC Sumber
sntdom SourceNTDomain Nama domain Windows untuk alamat sumber.
sourceDnsDomain SourceDnsDomain Bagian domain DNS dari FQDN lengkap.
sourceServiceName SourceServiceName Layanan yang bertanggung jawab untuk menghasilkan peristiwa.
sourceTranslatedAddress SourceTranslatedAddress Mengidentifikasi sumber yang diterjemahkan yang merujuk peristiwa tersebut, dalam jaringan IP.
sourceTranslatedPort SourceTranslatedPort Port sumber setelah terjemahan, seperti firewall.
Nomor port yang valid adalah 0 - 65535
spid SourceProcessId ID proses sumber yang terkait dengan peristiwa.
spriv SourceUserPrivileges Hak istimewa pengguna sumber.

Nilai yang valid meliputi: Administrator, User, Guest
sproc SourceProcessName Nama proses sumber peristiwa.
spt SourcePort Nomor port sumber.
Nomor port yang valid adalah 0 - 65535
src SourceIP Sumber yang dirujuk oleh suatu peristiwa dalam jaringan IP, sebagai alamat IPv4.
suid SourceUserID Mengidentifikasi pengguna sumber berdasarkan ID.
suser SourceUserName Mengidentifikasi pengguna sumber berdasarkan nama.
jenis EventType Jenis peristiwa. Nilai nilai meliputi:
- 0: peristiwa dasar
- 1:Agregat
- 2: peristiwa korelasi
- 3: peristiwa tindakan

Catatan: Peristiwa ini dapat dihilangkan untuk peristiwa dasar.

Bidang isian kustom

Tabel berikut memetakan nama kunci CEF dan bidang CommonSecurityLog yang tersedia untuk digunakan pelanggan untuk data yang tidak berlaku untuk salah satu bidang bawaan.

Bidang alamat IPv6 kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang alamat IPv6 yang tersedia untuk data khusus.

Nama kunci CEF Nama CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Bidang nomor khusus

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang nomor yang tersedia untuk data khusus.

Nama kunci CEF Nama CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Bidang untai kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang untai yang tersedia untuk data khusus.

Nama kunci CEF Nama CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tip

1 Sebaiknya Anda menggunakan bidang DeviceCustomString dengan hemat dan menggunakan bidang bawaan yang lebih spesifik jika memungkinkan.

Bidang tanda waktu kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang tanda waktu yang tersedia untuk data khusus.

Nama kunci CEF Nama CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Bidang data bilangan bulat kustom

Tabel berikut memetakan kunci CEF dan nama CommonSecurityLog untuk bidang bilangan buat yang tersedia untuk data khusus.

Nama kunci CEF Nama CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Bidang pengayaan

Bidang CommonSecurityLog berikut ditambahkan oleh Microsoft Sentinel untuk memperkaya peristiwa asli yang diterima dari perangkat sumber, dan tidak memiliki pemetaan dalam kunci CEF:

Bidang inteligensi ancaman

Nama bidang CommonSecurityLog Deskripsi
IndicatorThreatType Jenis ancaman MaliciousIP, menurut umpan inteligensi ancaman.
MaliciousIP Mencantumkan alamat IP apa pun dalam pesan yang berkorelasi dengan umpan inteligensi ancaman saat ini.
MaliciousIPCountry Negara /wilayah MaliciousIP , menurut informasi geografis pada saat penyerapan catatan.
MaliciousIPLatitude Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data.
MaliciousIPLongitude Garis bujur MaliciousIP, menurut informasi geografis pada saat penyerapan data.
ReportReferenceLink Tautan ke laporan inteligensi ancaman.
ThreatConfidence Keyakinan ancaman MaliciousIP, menurut umpan inteligensi ancaman.
ThreatDescription Deskripsi ancaman MaliciousIP, menurut umpan inteligensi ancaman.
ThreatSeverity Tingkat keparahan ancaman untuk MaliciousIP, menurut umpan inteligensi ancaman pada saat penyerapan rekaman.

Bidang pengayaan lainnya

Nama bidang CommonSecurityLog Deskripsi
OriginalLogSeverity Selalu kosong, didukung untuk integrasi dengan CiscoASA.
Untuk detail tentang nilai keparahan log, lihat bidang LogSeverity.
RemoteIP Alamat IP jarak jauh.
Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan.
Port Jarak Jauh Port jarak jauh.
Nilai ini didasarkan pada bidang CommunicationDirection, jika memungkinkan.
SimplifiedDeviceAction Menyederhanakan nilai DeviceAction menjadi set nilai statis, sambil mempertahankan nilai asli di bidang DeviceAction.
Misalnya: Denied>Deny.
SourceSystem Selalu didefinisikan sebagai OpsManager.

Konten terkait