CEF 和 CommonSecurityLog 欄位對應

下表會將 Common Event Format （CEF）功能變數名稱對應至他們在 Sentinel 的 CommonSecurityLog Microsoft 中使用的名稱，而且當您在 Microsoft Sentinel 中使用 CEF 數據源時，可能會很有説明。如需詳細資訊，請參閱使用 Azure 監視器代理程式內嵌 Syslog 和 CEF 訊息至 Microsoft Sentinel。

A - C

CEF 金鑰名稱	CommonSecurityLog 功能變數名稱	描述
act	DeviceAction	事件中所提及的動作。
應用程式	ApplicationProtocol	應用程式中所使用的通訊協定，例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。
cat	DeviceEventCategory	表示原始裝置指派的類別。裝置通常會使用自己的分類架構來分類事件。例如： `/Monitor/Disk/Read` 。
cnt	EventCount	與事件相關聯的計數，顯示觀察到相同事件的次數。

D

CEF 金鑰名稱	CommonSecurityLog 名稱	描述
裝置廠商	DeviceVendor	字串，連同裝置產品和版本定義，可唯一識別傳送裝置的類型。
裝置產品	DeviceProduct	字串，連同裝置廠商和版本定義，可唯一識別傳送裝置的類型。
裝置版本	DeviceVersion	字串，連同裝置產品和廠商定義，可唯一識別傳送裝置的類型。
destinationDnsDomain	DestinationDnsDomain	完整功能變數名稱的 DNS 部分（FQDN）。
destinationServiceName	DestinationServiceName	事件的目標服務。例如： `sshd` 。
destinationTranslatedAddress	DestinationTranslatedAddress	將IP網路中事件所參考的已轉譯目的地識別為IPv4IP位址。
destinationTranslatedPort	DestinationTranslatedPort	轉譯之後的埠，例如防火牆。有效的埠號碼： `0` - `65535`
deviceDirection	CommunicationDirection	所觀察通訊方向的任何資訊。有效值： - `0` = 輸入 - `1` = 輸出
deviceDnsDomain	DeviceDnsDomain	完整網域名稱的 DNS 網域部分（FQDN）
DeviceEventClassID	DeviceEventClassID	做為每個事件類型唯一標識碼的字串或整數。
deviceExternalId	deviceExternalId	可唯一識別產生事件的裝置名稱。
deviceFacility	DeviceFacility	產生事件的設施。
deviceInboundInterface	DeviceInboundInterface	封包或數據進入裝置的介面。
deviceNtDomain	DeviceNtDomain	裝置位址的 Windows 網域
deviceOutboundInterface	DeviceOutboundInterface	封包或數據離開裝置的介面。
devicePayloadId	DevicePayloadId	與事件相關聯之承載的唯一標識符。
deviceProcessName	ProcessName	與事件相關聯的進程名稱。例如，在 UNIX 中，產生 syslog 項目的程式。
deviceTranslatedAddress	DeviceTranslatedAddress	識別IP網路中事件所參考的已翻譯裝置位址。格式為 Ipv4 位址。
dhost	DestinationHostName	事件在IP網路中參考的目的地。當節點可用時，格式應該是與目的地節點相關聯的 FQDN。例如，`host.domain.com` 或 `host`。
dmac	DestinationMacAddress	目的地 MAC 位址（FQDN）
dntdom	DestinationNTDomain	目的地地址的 Windows 功能變數名稱。
dpid	DestinationProcessId	與事件相關聯的目的地進程標識碼。
朝鮮文	DestinationUserPrivileges	定義目的地使用的許可權。有效值：`Administrator`、、 `UserGuest`
朝鮮	DestinationProcessName	事件目的地進程的名稱，例如 `telnetd` 或 `sshd.`
dpt	DestinationPort	目的地連接埠。有效值： `*0` - `65535`
dst	DestinationIP	事件在IP網路中參考的目的地IpV4位址。
dtz	DeviceTimeZone	產生事件的裝置時區
duid	DestinationUserId	依標識碼識別目的地使用者。
duser	DestinationUserName	依名稱識別目的地使用者。
dvc	DeviceAddress	產生事件的裝置 IPv4 位址。
dvchost	DeviceName	當節點可用時，與裝置節點相關聯的 FQDN。例如，`host.domain.com` 或 `host`。
dvcmac	DeviceMacAddress	產生事件的裝置 MAC 位址。
dvcpid	處理序識別碼	定義裝置上產生事件的處理程式標識碼。

E - I

CEF 金鑰名稱	CommonSecurityLog 名稱	描述
externalId	ExternalID	原始裝置所使用的標識碼。這些值通常會有遞增的值，每個值都與事件相關聯。
fileCreateTime	FileCreateTime	建立檔案的時間。
fileHash	FileHash	檔案的哈希。
fileId	FileID	與檔案相關聯的標識碼，例如 inode。
fileModificationTime	FileModificationTime	上次修改檔案的時間。
filePath	FilePath	檔案的完整路徑，包括檔名。例如：`C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` 或 `/usr/bin/zip`。
filePermission	FilePermission	檔案的許可權。
fileType	FileType	檔類型，例如管道、套接字等等。
fname	FileName	檔名，不含路徑。
fsize	FileSize	檔案的大小。
Host	電腦	主機，來自 Syslog
in	ReceivedBytes	傳輸的輸入位元組數目。

M - P

CEF 金鑰名稱	CommonSecurityLog 名稱	描述
msg	訊息	訊息，提供事件的詳細數據。
名稱	活動	字串，表示人類可讀且可理解的事件描述。
oldFileCreateTime	OldFileCreateTime	建立舊檔案的時間。
oldFileHash	OldFileHash	舊檔案的哈希。
oldFileId	OldFileId	與舊檔案相關聯的標識符，例如 inode。
oldFileModificationTime	OldFileModificationTime	上次修改舊檔案的時間。
oldFileName	OldFileName	舊檔案的名稱。
oldFilePath	OldFilePath	舊檔案的完整路徑，包括檔名。例如，`C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` 或 `/usr/bin/zip`。
oldFilePermission	OldFilePermission	舊檔案的許可權。
oldFileSize	OldFileSize	舊檔案的大小。
oldFileType	OldFileType	舊檔案的檔類型，例如管道、套接字等等。
out	SentBytes	傳輸輸出的位元組數目。
結果	EventOutcome	事件的結果，例如 `success` 或 `failure`。
proto	通訊協定	識別所使用第 4 層通訊協定的傳輸通訊協定。可能的值包括通訊協定名稱，例如 `TCP` 或 `UDP`。

R - T

CEF 金鑰名稱	CommonSecurityLog 名稱	描述
reason	原因	產生稽核事件的原因。例如，`badd password` 或 `unknown user`。這可能是錯誤或傳回碼。例如： `0x1234` 。
Request	RequestURL	HTTP 要求存取的 URL，包括通訊協定。例如，`http://www/secure.com`
requestClientApplication	RequestClientApplication	與要求相關聯的使用者代理程式。
requestContext	RequestContext	描述要求的來源內容，例如 HTTP 查閱者。
requestCookies	RequestCookies	與要求相關聯的Cookie。
requestMethod	RequestMethod	用來存取 URL 的方法。有效值包括的方法，例如 `POST`、 `GET`等等。
rt	ReceiptTime	收到與活動相關的事件的時間。
嚴重性	LogSeverity	描述事件重要性的字串或整數。有效的字串值： `Unknown` 、、`Low`、`HighMedium`、`Very-High` 有效的整數值為： - `0`-`3` = 低 - `4`-`6` = 中 - `7`-`8` = 高 - `9`-`10` = 非常高
shost	SourceHostName	識別事件在IP網路中參考的來源。當節點可用時，格式應該是與來源節點相關聯的完整功能變數名稱（FQDN）。例如，`host` 或 `host.domain.com`。
smac	SourceMacAddress	來源 MAC 位址。
sntdom	SourceNTDomain	來源位址的 Windows 功能變數名稱。
sourceDnsDomain	SourceDnsDomain	完整 FQDN 的 DNS 網域部分。
sourceServiceName	SourceServiceName	負責產生事件的服務。
sourceTranslatedAddress	SourceTranslatedAddress	識別事件在IP網路中參考的已翻譯來源。
sourceTranslatedPort	SourceTranslatedPort	轉譯后的來源埠，例如防火牆。有效的埠號碼為 `0` - `65535`。
spid	SourceProcessId	與事件相關聯的來源進程標識碼。
spriv	SourceUserPrivileges	來源用戶的許可權。有效值包括：`Administrator`、、 `UserGuest`
sproc	SourceProcessName	事件來源進程的名稱。
spt	SourcePort	來源埠號碼。有效的埠號碼為 `0` - `65535`。
src	SourceIP	事件在IP網路中參考的來源，作為IPv4位址。
suid	SourceUserID	依標識碼識別來源使用者。
suser	SourceUserName	依名稱識別來源使用者。
type	EventType	事件類型。值包括： - `0`：基底事件 - `1`：聚合 - `2`：相互關聯事件 - `3`：action 事件注意：基底事件可以省略此事件。

自訂欄位

下表對應客戶可用於不套用至任何內建欄位之數據的 CEF 索引鍵和 CommonSecurityLog 字段的名稱。

自訂 IPv6 位址欄位

下表對應適用於自定義數據的 IPv6 位址欄位的 CEF 索引鍵和 CommonSecurityLog 名稱。

CEF 金鑰名稱	CommonSecurityLog 名稱
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

自訂數位欄位

下表對應 CEF 索引鍵和 CommonSecurityLog 名稱， 以取得自定義數據可用的數位 欄位。

CEF 金鑰名稱	CommonSecurityLog 名稱
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

自訂字串欄位

下表對應自定義數據可用字串字段的 CEF 索引鍵和 CommonSecurityLog 名稱。

CEF 金鑰名稱	CommonSecurityLog 名稱
cs1	DeviceCustomString1 1
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

提示

¹ 建議您謹慎使用 DeviceCustomString 欄位，並盡可能使用更具體的內建字段。

自訂時間戳欄位

下表對應 CEF 索引鍵和 CommonSecurityLog 名稱， 以取得自定義數據的時間戳 字段。

CEF 金鑰名稱	CommonSecurityLog 名稱
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

自訂整數數據欄位

下表對應自定義數據可用整數欄位的 CEF 索引鍵和 CommonSecurityLog 名稱。

CEF 金鑰名稱	CommonSecurityLog 名稱
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

擴充欄位

Microsoft Sentinel 新增下列 CommonSecurityLog 欄位，以擴充從來源裝置接收的原始事件，而且在 CEF 索引鍵中沒有對應：

威脅情報欄位

CommonSecurityLog 功能變數名稱	描述
IndicatorThreatType	根據威脅情報摘要，惡意IP威脅類型。
MaliciousIP	列出訊息中與目前威脅情報摘要相互關聯的任何IP位址。
MaliciousIPCountry	根據記錄擷取時的地理資訊，惡意IP國家/地區。
MaliciousIPLatitude	惡意IP經度，根據記錄擷取時的地理資訊。
MaliciousIPLongitude	惡意IP經度，根據記錄擷取時的地理資訊。
ReportReferenceLink	連結至威脅情報報告。
ThreatConfidence	根據威脅情報摘要，惡意IP 威脅信賴度。
ThreatDescription	根據威脅情報摘要的 MaliciousIP 威脅描述。
ThreatSeverity	根據記錄擷取時的威脅情報摘要，惡意資訊的威脅嚴重性。

其他擴充欄位

CommonSecurityLog 功能變數名稱	描述
OriginalLogSeverity	一律是空的，支援與 CiscoASA 整合。如需記錄嚴重性值的詳細資訊，請參閱 LogSeverity 字段。
RemoteIP	遠端IP位址。如果可能，此值會以 CommunicationDirection 字段為基礎。
RemotePort	遠端埠。如果可能，此值會以 CommunicationDirection 字段為基礎。
SimplifiedDeviceAction	將 DeviceAction 值簡化為靜態值集，同時將原始值保留在 DeviceAction 字段中。例如： `Denied`>`Deny` 。
SourceSystem	一律定義為 OpsManager。

意見反應

此頁面對您有幫助嗎？

Last updated on 2024-08-13