다음을 통해 공유

CEF 및 CommonSecurityLog 필드 매핑

  • 아티클

다음 표에서는 CEF(Common Event Format) 필드 이름을 Microsoft Sentinel의 CommonSecurityLog에서 사용하는 이름에 매핑하며 Microsoft Sentinel에서 CEF 데이터 원본으로 작업할 때 유용할 수 있습니다. 자세한 내용은 Azure Monitor 에이전트를 사용하여 Syslog 및 CEF 메시지를 Microsoft Sentinel에 수집을 참조하세요.

A - C

CEF 키 이름 CommonSecurityLog 필드 이름 설명
act DeviceAction 이벤트에 언급된 작업입니다.
ApplicationProtocol HTTP, HTTPS, SSHv2, 텔넷, POP, IMPA, IMAPS 등과 같은 애플리케이션에서 사용되는 프로토콜입니다.
cat DeviceEventCategory 원래 디바이스에서 할당한 범주를 나타냅니다. 디바이스는 종종 고유한 분류 스키마를 사용하여 이벤트를 분류합니다. 예: /Monitor/Disk/Read
cnt EventCount 동일한 이벤트가 관찰된 횟수를 표시하는 이벤트와 연결된 개수입니다.

D

CEF 키 이름 CommonSecurityLog 이름 설명
디바이스 공급업체 DeviceVendor 디바이스 제품 및 버전 정의와 함께 디바이스 전송 유형을 고유하게 식별하는 문자열입니다.
디바이스 제품 DeviceProduct 디바이스 공급업체 및 버전 정의와 함께 디바이스 전송 유형을 고유하게 식별하는 문자열입니다.
디바이스 버전 DeviceVersion 디바이스 제품 및 공급업체 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다.
destinationDnsDomain DestinationDnsDomain FQDN(정규화된 도메인 이름)의 DNS 부분입니다.
destinationServiceName DestinationServiceName 이벤트에 의해 대상으로 지정된 서비스입니다. 예들 들어 sshd입니다.
destinationTranslatedAddress DestinationTranslatedAddress IP 네트워크에서 이벤트에 의해 참조되는 변환된 대상을 IPv4 IP 주소로 식별합니다.
destinationTranslatedPort DestinationTranslatedPort 변환 후 방화벽과 같은 포트입니다.
유효한 포트 번호: 0 - 65535
deviceDirection CommunicationDirection 관찰된 통신이 진행된 방향에 대한 정보입니다. 유효한 값:
- 0 = 인바운드
- 1 = 아웃바운드
deviceDnsDomain DeviceDnsDomain FQDN(정규화된 도메인 이름)의 DNS 도메인 부분
DeviceEventClassID DeviceEventClassID 이벤트 유형당 고유 식별자 역할을 하는 문자열 또는 정수입니다.
deviceExternalId deviceExternalId 이벤트를 생성하는 디바이스를 고유하게 식별하는 이름입니다.
deviceFacility DeviceFacility 이벤트를 생성하는 시설입니다.
deviceInboundInterface DeviceInboundInterface 패킷 또는 데이터가 디바이스에 입력된 인터페이스입니다.
deviceNtDomain DeviceNtDomain 디바이스 주소의 Windows 도메인
deviceOutboundInterface DeviceOutboundInterface 패킷 또는 데이터가 디바이스를 떠난 인터페이스입니다.
devicePayloadId DevicePayloadId 이벤트와 연결된 페이로드의 고유 식별자입니다.
deviceProcessName ProcessName 이벤트와 연결된 프로세스 이름입니다.

예를 들어 UNIX에서 syslog 항목을 생성하는 프로세스입니다.
deviceTranslatedAddress DeviceTranslatedAddress IP 네트워크에서 이벤트가 참조하는 변환된 디바이스 주소를 식별합니다.

형식은 Ipv4 주소입니다.
dhost DestinationHostName 이벤트가 IP 네트워크에서 참조하는 대상입니다.
형식은 노드를 사용할 수 있는 경우 대상 노드와 연결된 FQDN이어야 합니다. 예를 들어 host.domain.com 또는 host입니다.
dmac DestinationMacAddress 대상 MAC 주소(FQDN)
dntdom DestinationNTDomain 대상 주소의 Windows 도메인 이름입니다.
dpid DestinationProcessId 이벤트와 연결된 대상 프로세스의 ID입니다.
dpriv DestinationUserPrivileges 대상 사용 권한을 정의합니다.
유효한 값: Administrator, UserGuest
dproc DestinationProcessName 이벤트 대상 프로세스의 이름(예: telnetd )입니다. sshd.
dpt DestinationPort 대상 포트.
유효한 값: *0 - 65535
dst DestinationIP IP 네트워크에서 이벤트가 참조하는 대상 IpV4 주소입니다.
dtz DeviceTimeZone 이벤트를 생성하는 디바이스의 표준 시간대
duid DestinationUserId ID로 대상 사용자를 식별합니다.
duser DestinationUserName 이름으로 대상 사용자를 식별합니다.
dvc DeviceAddress 이벤트를 생성하는 디바이스의 IPv4 주소입니다.
dvchost DeviceName 노드를 사용할 수 있는 경우 디바이스 노드와 연결된 FQDN입니다. 예를 들어 host.domain.com 또는 host입니다.
dvcmac DeviceMacAddress 이벤트를 생성하는 디바이스의 MAC 주소입니다.
dvcpid 프로세스 ID 이벤트를 생성하는 디바이스에서 프로세스의 ID를 정의합니다.

E - I

CEF 키 이름 CommonSecurityLog 이름 설명
externalId ExternalID 원본 디바이스에서 사용하는 ID입니다. 일반적으로 이러한 값은 각각 이벤트와 연결된 늘어나는 값입니다.
fileCreateTime FileCreateTime 파일을 만든 시간입니다.
fileHash FileHash 파일의 해시입니다.
fileId FileID inode와 같은 파일과 연결된 ID입니다.
fileModificationTime FileModificationTime 파일이 마지막으로 수정된 시간입니다.
filePath FilePath 파일 이름을 포함하여 파일의 전체 경로입니다. 예를 들어 C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip입니다.
filePermission FilePermission 파일의 사용 권한입니다.
fileType FileType 파이프, 소켓 등의 파일 형식입니다.
fname FileName 경로가 없는 파일의 이름입니다.
fsize FileSize 파일의 크기입니다.
호스트 컴퓨터 호스트( Syslog에서)
in ReceivedBytes 인바운드로 전송된 바이트 수입니다.

M - P

CEF 키 이름 CommonSecurityLog 이름 설명
msg 메시지 이벤트에 대한 자세한 정보를 제공하는 메시지입니다.
속성 활동 사람이 읽을 수 있고 이해할 수 있는 이벤트에 대한 설명을 나타내는 문자열입니다.
oldFileCreateTime OldFileCreateTime 이전 파일을 만든 시간입니다.
oldFileHash OldFileHash 이전 파일의 해시입니다.
oldFileId OldFileId 및 이전 파일과 연결된 ID(예: inode)입니다.
oldFileModificationTime OldFileModificationTime 파일이 마지막으로 수정된 시간입니다.
oldFileName OldFileName 이전 파일의 이름입니다.
oldFilePath OldFilePath 파일 이름을 포함하여 이전 파일의 전체 경로입니다.
예를 들어 C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip입니다.
oldFilePermission OldFilePermission 이전 파일의 사용 권한입니다.
oldFileSize OldFileSize 이전 파일의 크기입니다.
oldFileType OldFileType 파이프, 소켓 등과 같은 이전 파일의 파일 형식입니다.
out SentBytes 아웃바운드로 전송된 바이트 수입니다.
결과 EventOutcome 이벤트의 결과(예: success 또는 failure.
proto 프로토콜 사용된 Layer-4 프로토콜을 식별하는 전송 프로토콜입니다.

가능한 값에는 프로토콜 이름(예: TCP 또는 UDP.)이 포함됩니다.

R - T

CEF 키 이름 CommonSecurityLog 이름 설명
reason 원인 감사 이벤트가 생성된 이유입니다. 예를 들어 badd password 또는 unknown user입니다. 오류 또는 반환 코드일 수도 있습니다. 예: 0x1234
요청 RequestURL 프로토콜을 포함하여 HTTP 요청에 액세스하는 URL입니다. 예를 들어 http://www/secure.com
requestClientApplication RequestClientApplication 요청과 연결된 사용자 에이전트입니다.
requestContext RequestContext HTTP 참조 페이지와 같이 요청이 시작된 콘텐츠를 설명합니다.
requestCookies RequestCookies 요청과 연결된 쿠키입니다.
requestMethod RequestMethod URL에 액세스하는 데 사용되는 메서드입니다.

유효한 값에는 등과 같은 POSTGET메서드가 포함됩니다.
rt ReceiptTime 작업과 관련된 이벤트를 받은 시간입니다.
심각도 LogSeverity 이벤트의 중요도를 설명하는 문자열 또는 정수입니다.

유효한 문자열 값: Unknown , Low, Medium, HighVery-High

유효한 정수 값은 다음과 같습니다.
- 0-3 = 낮음
- 4-6 = 보통
- 7-8 = 높음
- 9-10 = 매우 높음
shost SourceHostName IP 네트워크에서 이벤트가 참조하는 원본을 식별합니다. 형식은 노드를 사용할 수 있는 경우 원본 노드와 연결된 FQDN(정규화된 도메인 이름)이어야 합니다. 예를 들어 host 또는 host.domain.com입니다.
smac SourceMacAddress 원본 MAC 주소입니다.
sntdom SourceNTDomain 원본 주소의 Windows 도메인 이름입니다.
sourceDnsDomain SourceDnsDomain 전체 FQDN의 DNS 도메인 부분입니다.
sourceServiceName SourceServiceName 이벤트 생성을 담당하는 서비스입니다.
sourceTranslatedAddress SourceTranslatedAddress 이벤트가 IP 네트워크에서 참조하는 번역된 원본을 식별합니다.
sourceTranslatedPort SourceTranslatedPort 변환 후 원본 포트(예: 방화벽).
유효한 포트 번호는 다음과 같습니다 0 - 65535.
spid SourceProcessId 이벤트와 연결된 원본 프로세스의 ID입니다.
spriv SourceUserPrivileges 원본 사용자의 권한입니다.

유효한 값은 다음과 같습니다. AdministratorUserGuest
sproc SourceProcessName 이벤트 원본 프로세스의 이름입니다.
spt SourcePort 원본 포트 번호입니다.
유효한 포트 번호는 다음과 같습니다 0 - 65535.
src SourceIP IP 네트워크에서 이벤트가 IPv4 주소로 참조하는 원본입니다.
suid SourceUserID ID로 원본 사용자를 식별합니다.
suser SourceUserName 이름으로 원본 사용자를 식별합니다.
type EventType 이벤트 유형입니다. 값 값은 다음과 같습니다.
- 0: 기본 이벤트
- 1:집계
- 2: 상관 관계 이벤트
- 3: 작업 이벤트

참고: 이 이벤트는 기본 이벤트에 대해 생략할 수 있습니다.

사용자 지정 필드

다음 표에서는 고객이 기본 제공 필드에 적용되지 않는 데이터에 사용할 수 있는 CEF 키 및 CommonSecurityLog 필드의 이름을 매핑합니다.

사용자 지정 IPv6 주소 필드

다음 표에서는 사용자 지정 데이터에 사용할 수 있는 IPv6 주소 필드의 CEF 키 및 CommonSecurityLog 이름을 매핑합니다.

CEF 키 이름 CommonSecurityLog 이름
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

사용자 지정 숫자 필드

다음 표에서는 사용자 지정 데이터에 사용할 수 있는 숫자 필드의 CEF 키 및 CommonSecurityLog 이름을 매핑합니다.

CEF 키 이름 CommonSecurityLog 이름
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

사용자 지정 문자열 필드

다음 표에서는 사용자 지정 데이터에 사용할 수 있는 문자열 필드의 CEF 키 및 CommonSecurityLog 이름을 매핑합니다.

CEF 키 이름 CommonSecurityLog 이름
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

1 가능한 경우 DeviceCustomString 필드를 드물게 사용하고 보다 구체적인 기본 제공 필드를 사용하는 것이 좋습니다.

사용자 지정 타임스탬프 필드

다음 표에서는 사용자 지정 데이터에 사용할 수 있는 타임스탬프 필드의 CEF 키 및 CommonSecurityLog 이름을 매핑합니다.

CEF 키 이름 CommonSecurityLog 이름
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

사용자 지정 정수 데이터 필드

다음 표에서는 사용자 지정 데이터에 사용할 수 있는 정수 필드의 CEF 키 및 CommonSecurityLog 이름을 매핑합니다.

CEF 키 이름 CommonSecurityLog 이름
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

보강 필드

다음 CommonSecurityLog 필드는 Microsoft Sentinel에서 원본 디바이스에서 받은 원래 이벤트를 보강하기 위해 추가되며 CEF 키에 매핑이 없습니다.

위협 인텔리전스 필드

CommonSecurityLog 필드 이름 설명
IndicatorThreatType 위협 인텔리전스 피드에 따른 MaliciousIP 위협 유형입니다.
MaliciousIP 메시지의 현재 위협 인텔리전스 피드와 상관 관계가 있는 IP 주소를 나열합니다.
MaliciousIPCountry 레코드 수집 시의 지리적 정보에 따른 MaliciousIP 국가/지역입니다.
MaliciousIPLatitude 레코드 수집 시 지리적 정보에 따른 MaliciousIP 경도입니다.
MaliciousIPLongitude 레코드 수집 시 지리적 정보에 따른 MaliciousIP 경도입니다.
ReportReferenceLink 위협 인텔리전스 보고서에 대한 링크입니다.
ThreatConfidence 위협 인텔리전스 피드에 따르면 MaliciousIP 위협 신뢰도입니다.
ThreatDescription 위협 인텔리전스 피드에 따른 MaliciousIP 위협 설명입니다.
위협 심각도 레코드 수집 시 위협 인텔리전스 피드에 따라 MaliciousIP에 대한 위협 심각도입니다.

기타 보강 필드

CommonSecurityLog 필드 이름 설명
OriginalLogSeverity 항상 비어 있으며 CiscoASA와의 통합에서 지원됩니다.
로그 심각도 값에 대한 자세한 내용은 LogSeverity 필드를 참조하세요.
RemoteIP 원격 IP 주소입니다.
가능하면 이 값은 CommunicationDirection 필드를 기준으로 합니다.
RemotePort 원격 포트입니다.
가능하면 이 값은 CommunicationDirection 필드를 기준으로 합니다.
SimplifiedDeviceAction DeviceAction 필드에 원래 값을 유지하면서 DeviceAction 값을 정적 값 집합으로 간소화합니다.
예: Denied>Deny
SourceSystem 항상 OpsManager정의됩니다.

관련 콘텐츠