共通イベント形式(CEF)

ArcSight は現在、270 のデータ ソースからのイベントを、スマート コネクターを使用して共通イベント形式 (CEF) に変換します。 CEF は、イベント生成またはログ生成デバイスの相互運用性標準です。

メッセージは、バー (|) 文字によって区切られたフィールドからなる共通接頭辞を使用してフォーマットされます。 接頭辞は必須であり、指定されたすべてのフィールドが存在する必要があります。追加のフィールドは Extension で指定されます。形式は次のとおりです。

CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|Severity|Extension

メッセージの Extension 部分は、追加フィールドのプレースホルダーです。以下は接頭辞フィールドの定義です。

  • バージョン - CEF 形式のバージョンを特定する整数。

    イベント コンシューマーは、この情報を使用して、フィールドが何を表しているかを判断します。現在、バージョン 0 (ゼロ) のみが上記の形式で設定されています。

  • デバイス ベンダーデバイス製品デバイス バージョン - 送信デバイスのタイプを一意に識別する文字列。

    2 つの製品でデバイスベンダーとデバイス製品の同じペアを使うことはできません。 イベント プロデューサーは、一意の名前のペアを割り当てているかを確認します。

  • DeviceEventClassId - イベントタイプごとの一意の識別子 (文字列または整数)。

    DeviceEventClassId は、報告されるイベントのタイプを識別します。特定のアクティビティを検出するシグネチャやルールごとに、一意の deviceEventClassId が割り当てられます。 これは他のデバイス タイプの要件でもあり、相関エンジンがイベントを扱いやすくします。

  • 名前 - Port scan など、イベントを表す文字列。
  • 重大度 - イベントの重要度を表す整数 (0 ~ 10、10 が最重要イベント)。
  • 拡張 - キー値のペアの集合。キーは、事前定義されたセットの一部です。

    イベントには、任意の数のキー値ペアをスペースで区切り、任意の順序で含めることができます。 ファイル名のようにフィールドにスペースが含まれている場合、これは問題なく、そのとおりにログオンできます。 たとえば、fileName=c:\Program Files\ArcSight は有効なトークンです。

次のようなメッセージが表示されます。

Sep 19 08:26:10 zurich CEF:0|security|threatmanager|1.0|100|worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

NetWitness を使用する場合、CEF を Receiver へ送信するようにデバイスを正しく設定する必要があります。デフォルトでは、NetWitness を使用する場合の CEF 形式は次のようになります。

CEF:0|Netwitness|Informer|1.6|{name}|{name}|Medium | externalId={#sessionid} proto={#ip.proto} categorySignificance=/Normal categoryBehavior=/Authentication/Verify categoryDeviceGroup=/OS categoryOutcome=/Attempt categoryObject=/Host/Application/Service act={#action} deviceDirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 fileType=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0

正しい形式では、上記の「dport」を「dpt」に変更する必要があります。