En este tema se describen las claves de metadatos del formato de evento común (CEF) compatibles con el registro de auditoría global de Security Analytics.
Las plantillas del registro de auditoría global que define para un Log Decoder usan el formato de evento común (CEF) y deben cumplir con los siguientes requisitos estándar específicos:
- Incluya los encabezados de CEF en la plantilla.
- Use solo las extensiones y las extensiones personalizadas en el formato (Clave=Valor) que se presenta más abajo en la tabla de claves de metadatos.
- Asegúrese de que las extensiones y las extensiones personalizadas estén en el formato key=${string}<space>key=${string}.
Para servidores de syslog de otros fabricantes, puede definir un formato propio (CEF o no CEF).
Los procedimientos relacionados con esta tabla se describen en Definir una plantilla para el registro de auditoría global y Configurar el registro de auditoría global.
Claves de metadatos del formato de evento común (CEF) compatibles
En la siguiente tabla se describen las claves de metadatos de syslog de CEF compatibles con el registro de auditoría global de Security Analytics. Los campos Fecha y hora y Nombre del host en Prefijo de syslog no son configurables y no se incluyen en la plantilla, pero se anteponen de manera predeterminada a cada mensaje del registro. El encabezado de CEF es requisito para cumplir con el estándar CEF y para cualquier analizador de CEF. Las extensiones y las extensiones personalizadas son opcionales. 10.5 Default Audit CEF Template contiene muchos de los campos de esta tabla. Puede agregar cualquiera de las extensiones y las extensiones personalizadas que se enumeran en la plantilla del registro de auditoría global que usted define.
| Campo de CEF | Cadena | Descripción | Claves de metadatos de SA | Índice en Log Decoder |
|---|---|---|---|---|
| Prefijo de syslog | ||||
| Fecha y hora | No configurable | Fecha y hora del encabezado de syslog | event.time.str | Transitorio |
| Hostname | No configurable | Nombre de host del encabezado de syslog | alias.host | Ninguno |
| Encabezado de CEF | El campo Encabezado de CEF es requisito para cumplir con el estándar CEF y para cualquier analizador de CEF. | |||
| CEF:Version | CEF:0 | Encabezado de CEF | --STATIC-- | N/D |
| DeviceVendor | ${deviceVendor} | El proveedor del producto, RSA | - | N/D |
| DeviceProduct | ${deviceProduct} | La familia de productos. Es siempre Auditoría de Security Analytics. | product | Transitorio |
| DeviceVersion | ${deviceVersion} | Versión del host/servicio | version | Transitorio |
| ID de la firma | ${category} | Identificador del evento de auditoría. Especifica la categoría del evento de auditoría. | event.type | Ninguno |
| Nombre | ${operation} | Descripción del evento | event.desc | Ninguno |
| Gravedad | ${severity} | Severidad del evento de auditoría | severity | Transitorio |
| Extensiones | ||||
| deviceExternalId | ${deviceExternalId} | ID único del host o servicio que genera el evento de auditoría | hardware.id | Transitorio |
| deviceFacility | ${deviceFacility} | Funcionalidad de syslog que se usa cuando el evento se escribe en el demonio de syslog. Por ejemplo, authpriv. | cs.devfacility | Personalizado |
| deviceProcessName | ${deviceProcessName} | Nombre del archivo ejecutable que corresponde a dvcpid | process | Ninguno |
| dpt | ${destinationPort} | Puerto de destino | ip.dstport | Ninguno |
| dst | ${destinationAddress} | Dirección IP de destino | ip.dst | Ninguno |
| dvcpid | ${deviceProcessId} | ID del proceso que genera el evento, que es el ID de proceso del servicio de Security Analytics | process.id | Transitorio |
| msg | ${text} | Texto libre, información adicional o descripción real del evento | msg | Transitorio |
| outcome | ${outcome} | Resultado de la operación realizada correspondiente al evento de auditoría | result | Transitorio |
| proto | ${transportProtocol} | Protocolo de red utilizado | protocol | Transitorio |
| requestClientApplication | ${userAgent} | Detalle del navegador del usuario que accede a la página | user.agent | Transitorio |
| rt | ${timestamp} | Hora en que se informa el evento | event.time | Ninguno |
| sourceServiceName | ${sourceService} | Servicio que es responsable de generar este evento | service.name | Transitorio |
| spt | ${sourcePort} | Puerto de origen | ip.srcport | Transitorio |
| spriv | ${userRole} | Asignación de permisos de función del usuario. Por ejemplo: admin.owner, appliance.manage, connections.manage, everyone, logs.manage, services.manage, storedproc.execute, storedproc.manage, sys.manage y users.manage | privilege | Transitorio |
| src | ${sourceAddress} | Dirección IP de origen | ip.src | Ninguno |
| suser | ${identity} | Identidad del usuario que inició sesión y que es responsable de generar el evento de auditoría | -user|-u | Ninguno |
| Extensiones personalizadas | ||||
| deviceService | ${deviceService} | Servicio responsable de generar el evento | cs.devservice | Personalizado |
| parameters | ${parameters} | Parámetros de la API y de operación que capturan parámetros específicos sobre una consulta | index | Transitorio |
| paramKey | ${key} | Clave de elemento de configuración. Es el parámetro de configuración para el cual se captura el evento de auditoría. Por ejemplo: /sys/config/stat.interval | cs.key | Personalizado |
| paramValue | ${value} | Valor de configuración. Es el valor capturado durante la actualización. | cs.value | Personalizado |
| userGroup | ${userGroup} | Asignación de funciones. Por ejemplo: Administradores, Analistas, MalwareAnalysts, Malware_Analysts, Operadores, PRIVILEGED_CONNECTION_ AUTHORITY, SOC_Managers | grupo | Ninguno |
| referrerURL | ${referrerUrl} | URL principal que hace referencia a la URL actual | url | Transitorio |
| sessionId | ${sessionId} | Identificador de la sesión o la conexión | log.session.id | Transitorio |
Nota: use todas las extensiones en el siguiente formato:
deviceProcessName=${deviceProcessName} outcome=${outcome}
Incluya un <space> entre un valor y un nombre de etiqueta.
De manera predeterminada, ninguna clave de metadatos se indexa. En la tabla anterior, la columna Índice en Log Decoder muestra el estado de la palabra clave flags (Transitorio, Ninguno y Personalizado). Si una clave se configura en Transient, se analiza pero no se almacena en la base de datos. Si se configura en None, se indexa y se almacena en la base de datos. Una clave enumerada como “Personalizada” no existe en el archivo table-map.xml y, por lo tanto, no se almacena ni se analiza.
En “Mantener los archivos de mapa de tablas” se proporcionan instrucciones para verificar y actualizar los mapeos de tablas. En “Editar un archivo de índice de servicios” se proporciona información sobre la actualización del archivo de índice personalizado en el Concentrator.