CEF- und CommonSecurityLog-Feldzuordnung

In den folgenden Tabellen werden die Namen, die in Microsoft Sentinels CommonSecurityLog (CommonSecurityLog) verwendet werden, den Namen zugeordnet und möglicherweise hilfreich sein, wenn Sie mit einer CEF-Datenquelle in Microsoft Sentinel arbeiten.The following tables map common event format (CEF) field names they use in Microsoft Sentinel' commonSecurityLog, and might be helpful when you're working with a CEF data source in Microsoft Sentinel. Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten für Microsoft Sentinel mit dem Azure Monitor-Agent.

A–C

CEF-Schlüsselname	CommonSecurityLog-Feldname	BESCHREIBUNG
act	DeviceAction	Die im Ereignis angegebene Aktion.
app	ApplicationProtocol	Das in der Anwendung verwendete Protokoll wie HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS usw.
cat	DeviceEventCategory	Stellt die Kategorie dar, die vom Ursprungsgerät zugewiesen wird. Geräte verwenden häufig ein eigenes Kategorisierungsschema, um Ereignisse zu klassifizieren. Beispiel: `/Monitor/Disk/Read`.
cnt	EventCount	Ein dem Ereignis zugeordneter Zähler, der anzeigt, wie oft das gleiche Ereignis beobachtet wurde.

D

CEF-Schlüsselname	CommonSecurityLog-Name	BESCHREIBUNG
Gerätehersteller	DeviceVendor	Eine Zeichenfolge, die in Verbindung mit den Geräteprodukt- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
Geräteprodukt	DeviceProduct	Eine Zeichenfolge, die in Verbindung mit den Gerätehersteller- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
Geräteversion	DeviceVersion	Eine Zeichenfolge, die in Verbindung mit den Geräteprodukt-und Herstellerdefinitionen den Typ des sendenden Geräts eindeutig identifiziert.
destinationDnsDomain	DestinationDnsDomain	Der DNS-Teil des vollqualifizierten Domänennamens (FQDN).
destinationServiceName	DestinationServiceName	Der Dienst, auf den das Ereignis ausgerichtet ist. Beispiel: `sshd`.
destinationTranslatedAddress	DestinationTranslatedAddress	Identifiziert das übersetzte Ziel, auf das das Ereignis in einem IP-Netzwerk verweist, als IPv4-IP-Adresse.
destinationTranslatedPort	DestinationTranslatedPort	Port nach der Übersetzung, z. B. als Firewall. Gültige Portnummern: `0` - `65535`
deviceDirection	CommunicationDirection	Alle Informationen zur Richtung der überwachten Kommunikation. Gültige Werte: - `0` = Eingehend - `1` = Ausgehend
deviceDnsDomain	DeviceDnsDomain	Der DNS-Domänenteil des vollqualifizierten Domänennamens (FQDN)
DeviceEventClassID	DeviceEventClassID	Eine Zeichenfolge oder ganze Zahl, die als eindeutiger Bezeichner pro Ereignistyp fungiert.
deviceExternalId	deviceExternalId	Ein Name, der das Gerät eindeutig identifiziert, das das Ereignis erzeugt.
deviceFacility	DeviceFacility	Die Facility, die das Ereignis erzeugt.
deviceInboundInterface	DeviceInboundInterface	Die Schnittstelle für den Eingang des Pakets oder der Daten in das Gerät.
deviceNtDomain	DeviceNtDomain	Die Windows-Domäne der Geräteadresse
deviceOutboundInterface	DeviceOutboundInterface	Die Schnittstelle für den Ausgang des Pakets oder der Daten aus dem Gerät.
devicePayloadId	DevicePayloadId	Eindeutiger Bezeichner für die mit dem Ereignis verknüpften Nutzdaten.
deviceProcessName	ProcessName	Dem Ereignis zugeordneter Prozessname. In UNIX beispielsweise der Prozess, der den Syslog-Eintrag erzeugt.
deviceTranslatedAddress	DeviceTranslatedAddress	Identifiziert die übersetzte Geräteadresse, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. Das Format ist eine IPv4-Adresse.
dhost	DestinationHostName	Das Ziel, auf das sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein FQDN sein, der dem Zielknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Zum Beispiel: `host.domain.com` oder `host`.
dmac	DestinationMacAddress	Die MAC-Zieladresse (FQDN)
dntdom	DestinationNTDomain	Der Windows-Domänenname der Zieladresse.
dpid	DestinationProcessId	Die ID des Zielprozesses, der dem Ereignis zugeordnet ist.
dpriv	DestinationUserPrivileges	Definiert die Berechtigungen der Zielverwendung. Gültige Werte: `Administrator`, `User`, `Guest`
dproc	DestinationProcessName	Der Name des Zielprozesses des Ereignisses, z. B. `telnetd` oder `sshd.`
dpt	DestinationPort	Zielport. Gültige Werte: `*0` - `65535`
dst	DestinationIP	Die IpV4-Zieladresse, auf die sich das Ereignis in einem IP-Netzwerk bezieht.
dtz	DeviceTimeZone	Zeitzone des Geräts, das das Ereignis erzeugt
duid	DestinationUserId	Identifiziert den Zielbenutzer nach ID.
duser	DestinationUserName	Identifiziert den Zielbenutzer nach Namen.
dvc	DeviceAddress	Die IPv4-Adresse des Geräts, das das Ereignis erzeugt.
dvchost	DeviceName	Der dem Geräteknoten zugeordnete FQDN, wenn ein Knoten verfügbar ist. Zum Beispiel: `host.domain.com` oder `host`.
dvcmac	DeviceMacAddress	Die MAC-Adresse des Geräts, das das Ereignis erzeugt.
dvcpid	Prozess-ID	Definiert die ID des Prozesses auf dem Gerät, das das Ereignis erzeugt.

E - I

CEF-Schlüsselname	CommonSecurityLog-Name	Beschreibung
externalId	ExternalID	Eine ID, die vom Ursprungsgerät verwendet wird. In der Regel handelt es sich um steigende Werte, die jeweils einem Ereignis zugeordnet sind.
fileCreateTime	FileCreateTime	Zeitpunkt, zu dem die Datei erstellt wurde.
fileHash	Dateihash	Hash einer Datei.
fileId	FileID	Eine ID, die einer Datei zugeordnet ist, z. B. INode.
fileModificationTime	FileModificationTime	Zeitpunkt der letzten Dateiänderung.
filePath	FilePath	Vollständiger Pfad der Datei einschließlich des Dateinamens. Zum Beispiel: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` oder `/usr/bin/zip`.
filePermission	FilePermission	Die Berechtigungen der Datei.
fileType	FileType	Dateityp wie Pipe, Socket usw.
fname	FileName	Der Dateiname ohne Pfad.
fsize	FileSize	Die Größe der Datei.
Host	Computer	Host, von Syslog
in	ReceivedBytes	Anzahl der eingehend übertragenen Bytes.

M - P

CEF-Schlüsselname	CommonSecurityLog-Name	BESCHREIBUNG
mldg	Meldung	Eine Meldung, die weitere Details zum Ereignis enthält.
Name	Aktivität	Eine Zeichenfolge, die eine lesbare und verständliche Beschreibung des Ereignisses darstellt.
oldFileCreateTime	OldFileCreateTime	Zeitpunkt, zu dem die alte Datei erstellt wurde.
oldFileHash	OldFileHash	Hash der alten Datei.
oldFileId	OldFileId	Eine ID, die der alten Datei zugeordnet ist, z. B. INode.
oldFileModificationTime	OldFileModificationTime	Zeitpunkt der letzten Änderung der alten Datei.
oldFileName	OldFileName	Name der alten Datei.
oldFilePath	OldFilePath	Vollständiger Pfad der alten Datei einschließlich des Dateinamens. Zum Beispiel: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` oder `/usr/bin/zip`.
oldFilePermission	OldFilePermission	Berechtigungen der alten Datei.
oldFileSize	OldFileSize	Größe der alten Datei.
oldFileType	OldFileType	Dateityp der alten Datei wie Pipe, Socket usw.
out	SentBytes	Anzahl der ausgehend übertragenen Bytes.
outcome	EventOutcome	Ergebnis des Ereignisses wie `success` oder `failure`.
proto	Protocol	Transportprotokoll, das das verwendete Layer-4-Protokoll identifiziert. Mögliche Werte sind Protokollnamen wie `TCP` oder `UDP`.

R - T

CEF-Schlüsselname	CommonSecurityLog-Name	BESCHREIBUNG
reason	`Reason`	Der Grund für die Generierung eines Überwachungsereignisses. Zum Beispiel: `badd password` oder `unknown user`. Dies kann auch ein Fehler- oder Rückgabecode sein. Beispiel: `0x1234`.
Anforderung	RequestURL	Die URL, auf die für eine HTTP-Anforderung zugegriffen wird, einschließlich des Protokolls. Zum Beispiel, `http://www/secure.com`
requestClientApplication	RequestClientApplication	Der Benutzer-Agent, der der Anforderung zugeordnet ist.
requestContext	RequestContext	Beschreibt den Inhalt, von dem die Anforderung stammt, z. B. den HTTP-Referrer.
requestCookies	RequestCookies	Der Anforderung zugeordnete Cookies.
requestMethod	RequestMethod	Die zum Zugreifen auf eine URL verwendete Methode. Gültige Werte sind Methoden wie `POST`, `GET` usw.
rt	ReceiptTime	Der Zeitpunkt, zu dem das mit der Aktivität verbundene Ereignis empfangen wurde.
severity	LogSeverity	Eine Zeichenfolge oder ganze Zahl, die die Wichtigkeit des Ereignisses beschreibt. Gültige Zeichenfolgenwerte: `Unknown`, `Low`, `Medium`, `High`, `Very-High` Gültige ganzzahlige Werte sind: - `0`-`3` = Niedrig - `4`-`6` = Mittel - `7`-`8` = Hoch - `9`-`10` = Sehr hoch
shost	SourceHostName	Identifiziert die Quelle, auf die sich das Ereignis in einem IP-Netzwerk bezieht. Das Format sollte ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) sein, der dem Quellknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Zum Beispiel: `host` oder `host.domain.com`.
smac	SourceMacAddress	MAC-Adresse der Quelle.
sntdom	SourceNTDomain	Der Windows-Domänenname für die Quelladresse.
sourceDnsDomain	SourceDnsDomain	Der DNS-Domänenteil des vollständigen FQDN.
sourceServiceName	SourceServiceName	Der Dienst, der für das Generieren des Ereignisses verantwortlich ist.
sourceTranslatedAddress	SourceTranslatedAddress	Identifiziert die übersetzte Quelle, auf die sich das Ereignis bezieht, in einem IP-Netzwerk.
sourceTranslatedPort	SourceTranslatedPort	Quellport nach der Übersetzung, z. B. als Firewall. Gültige Portnummern sind `0` - `65535`.
spid	SourceProcessId	Die ID des Quellprozesses, der dem Ereignis zugeordnet ist.
spriv	SourceUserPrivileges	Die Berechtigungen des Quellbenutzers. Gültige Werte sind `Administrator`, `User`, `Guest`.
sproc	SourceProcessName	Der Name des Quellprozesses des Ereignisses.
spt	SourcePort	Die Quellportnummer. Gültige Portnummern sind `0` - `65535`.
src	SourceIP	Die Quelle, auf die ein Ereignis in einem IP-Netzwerk verweist, als IPv4-Adresse.
suid	SourceUserID	Identifiziert den Quellbenutzer anhand der ID.
suser	SourceUserName	Identifiziert den Quellbenutzer anhand des Namens.
Typ	EventType	Der Ereignistyp. Hierzu gehören folgende Werte: - `0`: Basisereignis - `1`: aggregiert - `2`: Korrelationsereignis - `3`: Aktionsereignis Hinweis: Dieses Ereignis kann bei Basisereignissen ausgelassen werden.

Benutzerdefinierte Felder

In den folgenden Tabellen sind die Namen von CEF-Schlüsseln und CommonSecurityLog-Feldern zugeordnet, die für Kunden zur Verwendung für Daten verfügbar sind, die für keine der integrierten Felder gelten.

Benutzerdefinierte IPv6-Adressfelder

In der folgenden Tabelle sind die CEF-Schlüssel- und CommonSecurityLog-Namen für die IPv6-Adressfelder für benutzerdefinierte Daten aufgeführt.

CEF-Schlüsselname	CommonSecurityLog-Name
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

Benutzerdefinierte Zahlenfelder

In der folgenden Tabelle sind die CEF-Schlüssel- und CommonSecurityLog-Namen für die number-Felder für benutzerdefinierte Daten aufgeführt.

CEF-Schlüsselname	CommonSecurityLog-Name
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

Benutzerdefinierte Zeichenfolgenfelder

In der folgenden Tabelle sind die CEF-Schlüssel- und CommonSecurityLog-Namen für die string-Felder für benutzerdefinierte Daten aufgeführt.

CEF-Schlüsselname	CommonSecurityLog-Name
CS 1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
CS 2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

Tipp

¹ Wir empfehlen, die DeviceCustomString-Felder sparsam zu verwenden und wenn möglich spezifischere, integrierte Felder zu verwenden.

Benutzerdefinierte Zeitstempelfelder

In der folgenden Tabelle sind die CEF-Schlüssel- und CommonSecurityLog-Namen für die timestamp-Felder für benutzerdefinierte Daten aufgeführt.

CEF-Schlüsselname	CommonSecurityLog-Name
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

Benutzerdefinierte Datenfelder für ganze Zahlen

In der folgenden Tabelle sind die CEF-Schlüssel- und CommonSecurityLog-Namen für die integer-Felder für benutzerdefinierte Daten aufgeführt.

CEF-Schlüsselname	CommonSecurityLog-Name
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

Anreicherungsfelder

Die folgenden CommonSecurityLog-Felder werden von Microsoft Sentinel hinzugefügt, um die ursprünglichen, von den Quellgeräten empfangenen Ereignisse anzureichern, und verfügen nicht über Zuordnungen in CEF-Schlüsseln:

Threat Intelligence-Felder

CommonSecurityLog-Feldname	BESCHREIBUNG
IndicatorThreatType	Der Bedrohungstyp MaliciousIP gemäß Threat Intelligence-Feed.
MaliciousIP	Listet alle IP-Adressen in der Nachricht auf, die mit dem aktuellen Threat Intelligence-Feed korreliert.
MaliciousIPCountry	Das Land bzw. die Region der MaliciousIP gemäß den geografischen Informationen zum Zeitpunkt der Erfassung des Datensatzes.
MaliciousIPLatitude	Der Längengrad der MaliciousIP gemäß den geografischen Informationen zum Zeitpunkt der Erfassung des Datensatzes.
MaliciousIPLongitude	Der Längengrad der MaliciousIP gemäß den geografischen Informationen zum Zeitpunkt der Erfassung des Datensatzes.
ReportReferenceLink	Was ist ein Bericht mit Bedrohungsinformationen?
ThreatConfidence	Die Zuverlässigkeitsbewertung der Bedrohung für MaliciousIP gemäß Threat Intelligence-Feed.
ThreatDescription	Die Beschreibung der Bedrohung für MaliciousIP gemäß Threat Intelligence-Feed.
ThreatSeverity	Der Schweregrad der Bedrohung für MaliciousIP gemäß dem Threat Intelligence-Feed zum Zeitpunkt der Erfassung des Datensatzes.

Weitere Anreicherungsfelder

CommonSecurityLog-Feldname	BESCHREIBUNG
OriginalLogSeverity	Immer leer, wird für die Integration in CiscoASA unterstützt. Ausführliche Informationen zu den Werten für den Protokollschweregrad siehe Feld LogSeverity.
RemoteIP	Die Remote-IP-Adresse. Dieser Wert basiert auf dem Feld CommunicationDirection, wenn möglich.
RemotePort	Der Remoteport. Dieser Wert basiert auf dem Feld CommunicationDirection, wenn möglich.
SimplifiedDeviceAction	Vereinfacht den DeviceAction-Wert in einen statischen Satz von Werten, während der ursprüngliche Wert im Feld DeviceAction beibehalten wird. Beispiel: `Denied`>`Deny`.
SourceSystem	Wird immer als OpsManager definiert.

Feedback

War diese Seite hilfreich?

Last updated on 2024-08-13