Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

预先定义的 LEEF 事件属性

日志事件扩展格式 (LEEF) 为事件有效负载支持大量预定义的事件属性。

LEEF 使用预先定义的 LEEF 事件属性的名称-值对的特定列表。这些可识别到域的键JSA。请尽可能在设备使用这些密钥,但事件有效负载不会受此列表限制。LEEF 可扩展,您可以将更多密钥添加到设备或应用程序的事件有效负载中。

下表介绍了预定义的事件属性。

表 1:预定义的事件属性

关键

值类型

规范化的事件字段?是或否

描述

字符串

是的

事件类别的缩写用于扩展 EventID 字段,包含关于转发至事件的信息的更具体JSA。

LEEF 标头中的 Cat 和 EventID 字段有助于将设备事件映射到一个JSA 标识符 (HEADERD) 映射条目。EventID 表示第一列,而类别表示其第二列的一个。

注意:

在支持多种语言的产品之间,事件类别的价值必须一致且静态。如果您的产品支持多种语言活动,可以在 cat 字段中使用数字或文本值。如果设备或应用的语言被更改,不得转换 Cat 字段中的值。

Cat( 续)

字符串

是的

示例 1:使用Cat密钥扩展 EventID 及附加信息以描述事件。如果 EventID 定义为用户登录事件,则使用此类别对事件进行进一步分类,如成功或失败登录。您可以使用 cat 键进一步定义事件ID,并且事件的额外细节可用于区分事件,例如,

LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Failed

LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Success

示例 2: 使用 cat 密钥定义高级事件类别,并使用 EventID 定义低级事件。如果 EventID 与其中任何值不匹配,这种情况可能非常重要。如果 EVENTID 与一些在一个从一开始使用的从多点到高的位置事件 ID 不匹配,JSA可以使用类别和其他键来进一步确定事件的一般性质。这种"回退"可防止事件被识别为未知JSA还可以根据事件有效负载关键属性字段的已知信息对事件进行分类,例如,

LEEF:1.0|Microsoft|Endpoint|2015|

Conficker_worm|cat=Detected

devTime

日期

是的

由提供 LEEF 事件的设备或应用程序生成的原始事件日期和时间。

JSA 使用 devTime 密钥和 devTimeFormat, 从设备或应用程序识别事件时间并正确格式化。

如果devTime值是 10 或 13 位数的安装值,则不需要 devTimeFormat字符串。否则,DevTimedevTimeFormat密钥必须一同使用,以确保事件时间由系统JSA。

当存在事件有效负载时 ,devTime 也可以用来识别事件时间,即使系统日志标头包含日期和时间戳也一样。系统日志标头日期和时间戳是回退标识符,但是 devTime 是事件时间标识的首选方法。

devTimeFormat

字符串

将格式化应用于 devTime密钥的原始日期和时间。

如果事件日志包含devTime,则需要devTimeFormat密钥。有关详细信息,请参阅自定义事件日期格式

整数或关键字

是的

识别事件的传输协议。

有关关键字或整数值的列表,请参阅 互联网编号分配机构 网站,

http://www.iana.org/assignments/protocol-numbers/ 协议编号.xml

sev

整数

是的

指示事件的严重程度。

1 是最低事件严重性。

10 是最高事件严重性。

属性限制:1-10。

Src

IPv4 或 IPv6 地址

是的

事件源的 IP 地址。

Dst

IPv4 或 IPv6 地址

是的

事件目标 IP 地址。

srcPort

整数

是的

事件的源端口。

属性限制:0 - 65535

dstPort

整数

是的

事件的目标端口。

属性限制:0 - 65535

srcPreNAT

IPv4 或 IPv6 地址

是的

事件消息的源 IP 地址网络地址转换 (NAT)。

dstPreNAT

IPv4 或 IPv6 地址

是的

事件消息的目标地址,然后再网络地址转换 (NAT)。

srcPostNAT

IPv4 或 IPv6 地址

是的

出现消息发送(网络地址转换)后NAT IP 地址。

dstPostNAT

IPv4 或 IPv6 地址

是的

出现错误(网络地址转换)后NAT的目标 IP 地址。

usrName

字符串

是的

与事件关联的用户名。

属性限制:255

srcMAC

MAC 地址

是的

事件MAC 地址十六进制。该MAC 地址由六组两个十六进制数字组成,这些十六进制数字以冒号分隔,例如,

11:2D:1a:2b:3c:4d

dstMAC

MAC 地址

是的

十MAC 地址的事件目标地址。该MAC 地址由六组两个十六进制数字组成,这些十六进制数字以冒号分隔,例如,

11:2D:1a:2b:3c:4d

srcPreNATPort

整数

是的

事件源的端口号网络地址转换 (NAT)。

属性限制:0 - 65535

dstPreNATPort

整数

是的

事件目标在连接之前网络地址转换端口号(NAT)。

属性限制:0 - 65535

srcPostNATPort

整数

是的

事件源的端口号网络地址转换 (NAT)。

属性限制:0 - 65535

dstPostNATPort

整数

是的

事件目标在网络地址转换 (NAT) 后NAT。

属性限制:0 - 65535

identSrc

IPv4 或 IPv6 地址

是的

身份源表示额外 IPv4 或 IPv6 地址,可将事件与真正的用户标识或真正的计算机身份相连接。

示例 1:将个人连接到网络身份。

用户 X 从自己的笔记本登录,然后连接到网络的共享系统。当其活动生成事件时,有效负载 中的 identSrc 可用于包含更多 IP 地址信息。JSA使用事件 中的 identSrc 信息以及有效负载信息(例如)识别 username 用户 X 是 bob.smith。

以下身份密钥取决于 出现 事件有效负载时的身份:

识别主机名

identNetBios

identGrpName

识别MAC

识别主机名

字符串

关键

identSrc 关联的主机名称信息,可进一步识别与事件绑定的真正主机名称。

只有您的设备在一个事件有效负载下同时提供识别密钥和identHostName,JSA识别HostName参数才可用。

属性限制:255

identNetBios

字符串

是的

identSrc 关联的 NetBIOS 名称,使用 NetBIOS 名称解析来进一步识别身份事件。

只有您的设备在事件有效负载下同时提供JSA识别密钥和identNetBios,identNetBios参数才可用。

属性限制:255

identGrpName

字符串

是的

identSrc 关联的组名称,通过组名称解析来进一步识别身份事件。

只有您的设备在一个事件有效负载下同时提供JSA识别密钥和identGrpName,identGrpName参数才可用。

属性限制:255

识别MAC

MAC 地址

是的

保留供将来以 LEEF 格式使用。

vSrc

IPv4 或 IPv6 地址

虚拟事件源的 IP 地址。

vSrcName

字符串

虚拟事件源的名称。

属性限制:255

帐户名称

字符串

与事件关联的帐户名称。

属性限制:255

srcBytes

整数

指示来自事件源的字节计数。

dst 字节

整数

指示到事件目的地的字节计数。

srcPackets

整数

指示来自事件源的数据包计数。

dstPackets

整数

指示数据包计数到事件目标。

总包装集

整数

指示在源和目标之间传输的数据包总数。

作用

字符串

创建事件的 用户帐户相关联的角色类型,例如管理员、用户、域管理员。

领域

字符串

用户帐户相关联的领域。视您的设备不同,可以是常规分组,也可以根据区域进行分组,例如核算、远程办公室。

政策

字符串

用户帐户相关联的策略。此策略通常与用户帐户绑定的安全策略或组策略。

资源

字符串

用户帐户相关联的资源。此资源通常是计算机名称。

Url

字符串

活动 中包含的 URL 信息。

groupID

字符串

用户帐户相关联的 groupID。

字符串

用户帐户相关联的域。

isLoginEvent

布尔字符串

识别事件是否与用户登录相关,例如,

isLoginEvent=true

isLoginEvent=false

此密钥在 LEEF 规范中保留,但未在 JSA 中JSA。

属性限制:真实或错误

isLogoutEvent

布尔字符串

识别事件是否与用户注销有关,例如

isLogoutEvent=true

isLogoutEvent=false

此密钥在 LEEF 规范中保留,但未在 JSA 中JSA。

属性限制:真实或错误

识别秒级

IPv4 或 IPv6 地址

身份第二 IP 地址表示 IPv4 或 IPv6 地址,用于将包含辅助 IP 地址的设备事件关联在一起。路由器、交换机或虚拟 LAN (VLAN) 设备事件可能涉及辅助 IP 地址。

此密钥在 LEEF 规范中保留,但未在 JSA 中JSA。

calLanguage

属性限制:2

字符串

识别设备时间 (devTime) 密钥的语言,以允许进行转换,并确保JSA正确解析以翻译语言生成事件的日期和时间。

calLanaguage字段可以包含两个字母数字字符,用于表示事件设备时间的事件语言。所有calLanguage字母数字字符均遵循 ISO 639-1 格式,例如,

calLanguage=fr devTime=avril 09 2014 12:30:55

calLanguage=de devTime=Di 30 Jun 09 14:56:11

此密钥在 LEEF 规范中保留,但是当前未JSA。

属性限制:2

calCountryOrRegion

字符串

扩展 calLanguage 密钥 ,以提供更多转换信息,包括活动设备时间 (devTime)的设备或区域。密钥 calCountryOrRegion 必须与 calLanguage 密钥一同 使用。

calCountryOrRegion字段可包含两个字母数字字符,以表示活动的设备时间的事件国家/地区。所有calCountryOrRegion字母数字字符均遵循 ISO 3166 格式,例如,

calLanguage=de calCountryOrRegion=DE devTime=Di 09 Jun 2014 12:30:55

calLanguage=en calCountryOrRegion=US devTime=Tue 30 Jun 09

此密钥在 LEEF 规范中保留,但未在 JSA 中JSA。

属性限制:2

注意:

对于所有日志源类型,无法自动解析非规范化的预定义 LEEF 事件属性。但是,JSA为其中某些密钥提供自定义属性(内置瞻博网络或来自安全应用程序交换)。您可以为非规范化的密钥配置自定义属性,以使用 Regex 进行解析。要配置要解析的密钥,输入为 key =([^\t]+)。

以下示例显示非规范化预定义密钥的 Regex 输入,其中遵循 caret (^) 的分隔符是 LEEF V1.0 中的水平选项卡:

  • vSrc的输入为 vSrc =([^\t]+)。

  • vSrcName 的输入为 vSrcName =([^\t]+)。

  • 帐户名称 的输入为 accountName =([^\t]+)。

以下示例显示非规范化预定义密钥的 Regex 输入,其中遵循 caret (^) 的分隔符是 LEEF V2.0 中的自定义分隔符:

  • 如果使用 # 作为分隔符 ,vSrc 的输入为 vSrc =([^#]+)。

  • 如果您使用|作为分隔符 ,vSrc 的输入为 vSrc =([^|]+).

JSA 7.3.2 或更高版本包括预定义和自定义 LEEF 事件属性的自定义属性属性自动检测。属性自动检测使配置自定义属性变得更容易,无需使用 Regex。