CEF 模块
编辑CEF 模块编辑
这是一个用于通过 Syslog 接收通用事件格式 (CEF) 数据的模块。当通过 syslog 协议接收消息时,syslog 输入将解析标头并设置时间戳值。然后应用decode_cef处理器来解析 CEF 编码数据。解码后的数据将写入cef对象字段。最后,填充可以使用 CEF 数据填充的任何 Elastic 通用模式 (ECS) 字段。
阅读快速入门,了解如何配置和运行模块。
配置模块编辑
您可以通过在modules.d/cef.yml文件中指定变量设置,或在命令行中覆盖设置,来进一步优化cef模块的行为。
您必须在模块中至少启用一个文件集。 文件集默认情况下处于禁用状态。
变量设置编辑
每个文件集都有单独的变量设置,用于配置模块的行为。如果您未指定变量设置,则cef模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置。
当您在命令行中指定设置时,请记住在设置前加上模块名称,例如,使用cef.log.var.paths而不是log.var.paths。
log文件集设置编辑
-
var.syslog_host - 用于侦听基于 UDP 的 syslog 流量的接口。默认为
localhost。设置为0.0.0.0以绑定到所有可用接口。 -
var.syslog_port - 用于侦听 syslog 流量的 UDP 端口。默认为
9003
低于 1024 的端口需要 Filebeat 以 root 用户身份运行。
-
var.tags - 要包含在事件中的标签列表。包含
forwarded表示事件并非源自此主机,并导致host.name不会添加到事件中。默认为[cef, forwarded]。 -
var.timezone - IANA 时区名称(例如
America/New_York)或固定时间偏移量(例如+0200),用于解析 CEF 消息中不包含时区的的时间。可以指定Local以使用机器的本地时区。默认为UTC。
Forcepoint NGFW 安全管理中心编辑
此模块将处理来自 Forcepoint NGFW 安全管理中心 (SMC) 的 CEF 数据。在 SMC 中,将日志配置为以 CEF 格式转发到var.syslog_host中设置的地址,并在var.syslog_port上使用 UDP 服务。有关配置 SMC 的说明,请参阅知识库文章 15002。测试是使用 SMC 版本 6.6.1 的 CEF 日志完成的,自定义字符串映射取自 2011 年 12 月 5 日的*CEF 连接器配置指南*。
Check Point 设备编辑
此模块将解析来自 Check Point 设备的 CEF 数据,如日志导出器 CEF 字段映射中所述。
Check Point CEF 扩展映射如下
| CEF 扩展 | CEF 标签值 | ECS 字段 | 非 ECS 字段 | |
|---|---|---|---|---|
cp_app_risk |
- |
event.risk_score |
checkpoint.app_risk |
|
cp_severity |
- |
event.severity |
checkpoint.severity |
|
baseEventCount |
- |
- |
checkpoint.event_count |
|
deviceExternalId |
- |
observer.type |
- |
|
deviceFacility |
- |
observer.type |
- |
|
deviceInboundInterface |
- |
observer.ingress.interface.name |
- |
|
deviceOutboundInterface |
- |
observer.egress.interface.name |
- |
|
externalId |
- |
- |
checkpoint.uuid |
|
fileHash |
- |
file.hash.{md5,sha1} |
- |
|
reason |
- |
- |
checkpoint.termination_reason |
|
requestCookies |
- |
- |
checkpoint.cookie |
|
sourceNtDomain |
- |
dns.question.name |
- |
|
Signature |
- |
vulnerability.id |
- |
|
Recipient |
- |
destination.user.email |
- |
|
Sender |
- |
source.user.email |
- |
|
deviceCustomFloatingPoint1 |
更新版本 |
observer.version |
- |
|
deviceCustomIPv6Address2 |
源 IPv6 地址 |
source.ip |
- |
|
deviceCustomIPv6Address3 |
目标 IPv6 地址 |
destination.ip |
- |
|
deviceCustomNumber1 |
经过时间(秒) |
event.duration |
- |
|
电子邮件收件人数量 |
- |
checkpoint.email_recipients_num |
||
payload |
network.bytes |
- |
||
deviceCustomNumber2 |
icmp 类型 |
- |
checkpoint.icmp_type |
|
持续时间(秒) |
event.duration |
- |
||
deviceCustomNumber3 |
icmp 代码 |
- |
checkpoint.icmp_code |
|
deviceCustomString1 |
连接状态 |
- |
checkpoint.connectivity_state |
|
应用程序规则名称 |
rule.name |
- |
||
威胁防御规则名称 |
rule.name |
- |
||
voip 日志类型 |
- |
checkpoint.voip_log_type |
||
dlp 规则名称 |
rule.name |
- |
||
电子邮件 ID |
- |
checkpoint.email_id |
||
deviceCustomString2 |
类别 |
- |
checkpoint.category |
|
电子邮件主题 |
- |
checkpoint.email_subject |
||
传感器模式 |
- |
checkpoint.sensor_mode |
||
防御 ID |
- |
checkpoint.protection_id |
||
扫描调用类型 |
- |
checkpoint.integrity_av_invoke_type |
||
更新状态 |
- |
checkpoint.update_status |
||
对等网关 |
- |
checkpoint.peer_gateway |
||
类别 |
rule.category |
- |
||
deviceCustomString6 |
应用程序名称 |
network.application |
- |
|
病毒名称 |
- |
checkpoint.virus_name |
||
恶意软件名称 |
- |
checkpoint.spyware_name |
||
恶意软件家族 |
- |
checkpoint.malware_family |
||
deviceCustomString3 |
用户组 |
group.name |
- |
|
事件扩展 |
- |
checkpoint.incident_extension |
||
防御类型 |
- |
checkpoint.protection_type |
||
电子邮件后台打印程序 ID |
- |
checkpoint.email_spool_id |
||
身份类型 |
- |
checkpoint.identity_type |
||
deviceCustomString4 |
恶意软件状态 |
- |
checkpoint.spyware_status |
|
威胁防御规则 ID |
rule.id |
- |
||
扫描结果 |
- |
checkpoint.scan_result |
||
tcp 标志 |
- |
checkpoint.tcp_flags |
||
目标操作系统 |
os.name |
- |
||
防御名称 |
- |
checkpoint.protection_name |
||
电子邮件控制 |
- |
checkpoint.email_control |
||
频率 |
- |
checkpoint.frequency |
||
用户响应 |
- |
checkpoint.user_status |
||
deviceCustomString5 |
匹配的类别 |
rule.category |
- |
|
VLAN ID |
network.vlan.id |
- |
||
身份验证方法 |
- |
checkpoint.auth_method |
||
电子邮件会话 ID |
- |
checkpoint.email_session_id |
||
deviceCustomDate2 |
订阅到期 |
- |
checkpoint.subs_exp |
|
deviceFlexNumber1 |
置信度 |
- |
checkpoint.confidence_level |
|
deviceFlexNumber2 |
性能影响 |
- |
checkpoint.performance_impact |
|
目标电话号码 |
- |
checkpoint.dst_phone_number |
||
flexString1 |
应用程序签名 ID |
- |
checkpoint.app_sig_id |
|
flexString2 |
恶意软件操作 |
rule.description |
- |
|
攻击信息 |
event.action |
- |
||
rule_uid |
- |
rule.uuid |
- |
|
ifname |
- |
observer.ingress.interface.name |
- |
|
inzone |
- |
observer.ingress.zone |
- |
|
outzone |
- |
observer.egress.zone |
- |
|
product |
- |
observer.product |
- |
字段编辑
有关模块中每个字段的描述,请参阅导出字段部分。