CEF格式说明

又是一年护网季，现在甲方hw已经主流采用SIEM平台了，IPS、IDS、WAF、FW、EDR等安全数据经过安全态势感知这个二道贩子展现在蓝队面前，勉强能用，今天来说一下SIEM中常见的CEF格式，Common Event Format，公共事件格式，国外主流的ArcSight和Splunk日志导出采用的都是CEF格式，而IBM的QRadar使用的是LEEF。

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去知乎咨询

• IBM QRadar：LEEF
• HP ArcSight：CEF[1]
• Splunk：CEF[2]

CEF格式说下：

CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|Severity|Extension

• Version：版本- 整数，用于标识 CEF 格式的版本
• Device Vendor：设备供应商-字符串，用于唯一标识发送设备的类型
• Device Product：设备产品-字符串
• Device Version：设备版本-字符串
• deviceEventClassId：每个事件类型的唯一标识符
• Name：名称-字符串，事件描述
• Severity：严重性- 整数，用于反映事件重要性（介于 0-10 之间，其中 10 表示最重要的事件）
• Extension：扩展- 键值对集合，其中键是预定义集的一部分

CEF格式举例如下：

CEF:0|h3c|fw|1000|10086|worm successfully|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

前7个字段的含义解析如下：

• Version：0
• Device Vendor：h3c
• Device Product：fw
• Device Version：1000
• deviceEventClassId：10086
• Name：worm successfully
• Severity:10

参考

1. ^CEF格式说明 Trellix 文档门户
2. ^CEF格式说明 https://www.juniper.net/documentation/cn/zh/software/jatp/jatp-ceef-leef-syslog/topics/task/jatp-siem-syslog-leef-and-cef-logging.html

已开启送礼物