又是一年护网季,现在甲方hw已经主流采用SIEM平台了,IPS、IDS、WAF、FW、EDR等安全数据经过安全态势感知这个二道贩子展现在蓝队面前,勉强能用,今天来说一下SIEM中常见的CEF格式,Common Event Format,公共事件格式,国外主流的ArcSight和Splunk日志导出采用的都是CEF格式,而IBM的QRadar使用的是LEEF。
ailx10
网络安全优秀回答者
互联网行业 安全攻防员
去知乎咨询
- IBM QRadar:LEEF
- HP ArcSight:CEF[1]
- Splunk:CEF[2]
CEF格式说下:
CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|Severity|Extension- Version:版本- 整数,用于标识 CEF 格式的版本
- Device Vendor:设备供应商-字符串,用于唯一标识发送设备的类型
- Device Product:设备产品-字符串
- Device Version:设备版本-字符串
- deviceEventClassId:每个事件类型的唯一标识符
- Name:名称-字符串,事件描述
- Severity:严重性- 整数,用于反映事件重要性(介于 0-10 之间,其中 10 表示最重要的事件)
- Extension:扩展- 键值对集合,其中键是预定义集的一部分
CEF格式举例如下:
| CEF:0|h3c|fw|1000|10086|worm successfully|10|src=10.0.0.1 dst=2.1.2.2 spt=1232 |
前7个字段的含义解析如下:
- Version:0
- Device Vendor:h3c
- Device Product:fw
- Device Version:1000
- deviceEventClassId:10086
- Name:worm successfully
- Severity:10
参考
- ^CEF格式说明 Trellix 文档门户
- ^CEF格式说明 https://www.juniper.net/documentation/cn/zh/software/jatp/jatp-ceef-leef-syslog/topics/task/jatp-siem-syslog-leef-and-cef-logging.html
已开启送礼物
