Um eine flexible Integration in Protokollverwaltungssysteme von Drittanbietern zu ermöglichen, unterstützt Cloud App Security auch CEF (Common Event Format) als Syslog-Nachrichtenformat.

CEF (Common Event Format) ist ein offener Protokollverwaltungsstandard, der von HP ArcSight erstellt wurde. Cloud App Security verwendet eine Teilmenge des CEF-Wörterbuches.

Cloud App Security stellt den optionalen Parameter format bereit. Um Sicherheitsereignisprotokolle im CEF-Format abzurufen, fügen Sie diesen Parameter in die Anforderung ein und legen Sie ihn auf cef fest.

Beispiel anfordern

Rufen Sie alle Protokolle für 'Prävention vor Datenverlust' von Exchange Online innerhalb von fünf Minuten vor dem Zeitpunkt, an dem die Anforderung gesendet wird, ab, wobei jedes Element im CEF-Format angezeigt wird
GET https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=dlp&format=cef
Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4

Antwort

Bei Erfolg sendet der Dienst eine HTTP 200-Antwort zurück und gibt einen Antworttext im CEF-Format zurück.

Antwortbeispiel

{
    "current_link":"https://api.tmcas.trendmicro.com/siem/v1/security_events?service=exchange&event=securityrisk&
     start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&format=cef",
    "next_link":"https://api.tmcas.trendmicro.com/siem/v1/security_events?service=exchange&event=securityrisk&
     start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&page_id=<randomly generated value>=&format=cef",
    "last_log_item_generation_time":"2018-09-25T02:43:31Z",
    "security_events":["CEF:0|Trend Micro|CAS|5.0|100,101|securityrisk|High  
     DevicePayloadId=IwUVemkBIMKdAHkUVwi- destinationServiceName=Exchange Online 
     cat=security_risk_scan msg=Real-time scan TrendMicroCasAffectedUser=username1@example1.onmicrosoft.com 
     TrendMicroCasLocation=username1@example1.onmicrosoft.com\\Junk Email rt=2018-09-25T02:43:31Z 
     TrendMicroCasPolicyName=phishing test from jimmy TrendMicroCasFilter=Web Reputation act=Quarantine 
     outcome=success suid=<DM6PR01MB41868726C4F662504F963431994B0@DM6PR01MB4186.prod.exchangelabs.com> 
     suser=<username2@example2.com> duser=[\"\\\"username1\\\"<username1@example1.onmicrosoft.com>\"] 
     start=2018-09-25T02:43:21 end=2018-09-25T02:43:05 TrendMicroCasMailSubject=FW: test 
     TrendMicroCasMailFileName=filename.exe cs2Label=detected_by cs2= TrendMicroCasRiskLevel= 
     fileHash=f0bb4b3f4ac5f7b3228feeba2ed10c1a0a0f8d44  
     TrendMicroCasFileSha256=11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865 
     TrendMicroCasVaReportLink=https://api-dev.tmcas.trendmicro.net/v1/siem/security_events/va_analysis_report?report_id=
     7ca0b75044627a884322cf29290fecc048d93b129bee48fa0b0c875a3feb1ecfc739a64b896a5278&language=en"]
}

Antwortfelder

Die folgenden Tabellen geben einen Überblick über die Zuordnung des Syslog-Inhalts zwischen Cloud App Security-Protokollausgabe und CEF-Syslog-Typen.

Das CEF-Protokollformat besteht aus einem CEF-Header und einer CEF-Erweiterung:

CEF:Version|Device Vendor|Device Product|Device Version|Device Event Class ID|Name|Severity|[Extension]

Anmerkung:

Alle zeitbezogenen Felder in der Tabelle sind auf Coordinated Universal Time (UTC) eingestellt.

Tabelle 1. Header

CEF-Schlüssel

Beschreibung

Wert

logVer

CEF-Formatversion

CEF: 0

vendor

Appliance-Hersteller

Trend Micro

pname

Appliance-Produktname

CAS

pver

Appliance-Version

Beispiel: 5.0

eventid

Geräteereignis-Klassen-ID

Zu den Optionen für jede einzelne Geräteereignis-Klassen-ID und den entsprechenden Ereignisnamen gehören:

  • 100,101: security_risk

  • 100,102: virtual_analyzer

  • 100,103: ransomware

  • 100,104: data_protection

eventName

Name des Ereignisses

Zu den Optionen für jede einzelne Geräteereignis-Klassen-ID und den entsprechenden Ereignisnamen gehören:

  • 100,101: security_risk

  • 100,102: virtual_analyzer

  • 100,103: ransomware

  • 100,104: data_protection

severity

Risikostufe

Hoch

Tabelle 2. Erweiterung

CEF-Schlüssel

Cloud App Security-Protokollausgabe

Beschreibung und Wert

devicepayloadid

security_events/log_item_id

ID, die ein Protokollelement eindeutig identifiziert

Beispiel: NdGBDmYBWu4z8GKN0JHL

destinationServiceName

security_events/service

Name des angeforderten Diensts

Beispiel: exchange

cat

security_events/event

Typ des angeforderten Sicherheitsereignisses

Beispiel: security_risk_scan

Allgemeine Felder in "Nachricht"

msg

security_events/message/scan_type

Ob es sich um eine Echtzeitsuche oder eine manuelle Suche handelt, die das Sicherheitsereignis erkannt hat

Beispiel: Real-time scan

TrendMicroCasAffectedUser

security_events/message/affected_user

Postfach, das eine E-Mail-Nachricht mit dem Auslösen des Sicherheitsereignisses oder eines Benutzerkontos empfangen hat, das eine Datei hochgeladen oder geändert hat, die das Sicherheitsereignis ausgelöst hat

Beispiel: username@example.com

TrendMicroCasLocation

security_events/message/location

Speicherort, in dem das Sicherheitsereignis entdeckt wurde

Beispiel: username@example.com\Junk Email

rt

security_events/message/detection_time

Datum und Uhrzeit, wann das Sicherheitsereignis entdeckt wurde

Beispiel: 2018-09-25T02:14:40Z

TrendMicroCasPolicyName

security_events/message/triggered_policy_name

Name einer konfigurierten Richtlinie, die verletzt wurde

Beispiel: phishing test from username

TrendMicroCasFilter

security_events/message/triggered_security_filter

Name des Sicherheitsfilters, der das Sicherheitsereignis entdeckt hat

Beispiel: Web Reputation

act

security_events/message/action

Aktion, die von Cloud App Security nach Erkennung eines Sicherheitsereignisses durchgeführt wird

Beispiel: Quarantine

outcome

security_events/message/action_result

Ob die Aktion erfolgreich durchgeführt wurde oder nicht

Beispiel: success

E-Mail-bezogene Felder in "Nachricht"

suid

security_events/message/mail_message_id

ID der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat

Beispiel: <0ee59974fb7c48538b3e077f5c40b875@example.com>

suser

security_events/message/mail_message_sender

E-Mail-Adresse des Absenders

Beispiel: username@example.com

duser

security_events/message/mail_message_recipient

E-Mail-Adresse(n) des/der Empfänger(s)

Beispiel: "\"username\"<username@example.com>"

deviceCustomDate1Label

security_events/message/mail_message_submit_time

Datum und Uhrzeit, zu der die E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat, gesendet wurde

Value: mail_message_submit_time

deviceCustomDate1

security_events/message/mail_message_submit_time

Der Wert für deviceCustomDate1Label

Beispiel: 2018-09-25T02:14:25.818Z

deviceCustomDate2Label

security_events/message/mail_message_delivery_time

Datum und Uhrzeit der Zustellung der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat, an den Empfänger

Wert: mail_message_delivery_time

deviceCustomDate2

security_events/message/mail_message_delivery_time

Der Wert für deviceCustomDate2Label

Beispiel: 2018-09-25T02:14:25.818Z

TrendMicroCasMailSubject

security_events/message/mail_message_subject

Betreff der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat

Beispiel: example

TrendMicroCasMailFileName

security_events/message/mail_message_file_name

Name des E-Mail-Anhangs, der das Sicherheitsereignis ausgelöst hat

Beispiel: filename.exe

Dateibezogene Felder in "Nachricht"

fname

security_events/message/file_name

Name der Datei, die das Sicherheitsereignis ausgelöst hat

Beispiel: example.pdf

fileCreateTime

security_events/message/file_upload_time

Datum und Uhrzeit, zu der die Datei, die das Sicherheitsereignis ausgelöst hat, hochgeladen wurde

Beispiel: 2018-09-25T02:14:25.818Z

Protokolltypbezogene Felder in "Nachricht"

Suche nach Sicherheitsrisiken

cs1Label

security_events/message/security_risk_name

Name des entdeckten Sicherheitsrisikos

Wert: security_risk_name

cs1

security_events/message/security_risk_name

Der Wert für cs1Label

Beispiel: Spyware: http://wrs21.winshipway.com

cs2Label

security_events/message/detected_by

Technologie oder Methode, mit Hilfe derer die E-Mail-Nachricht oder die Datei, die das Sicherheitsereignis ausgelöst hat, entdeckt wurde

Wert: detected_by

cs2

security_events/message/detected_by

Der Wert für cs2Label

Beispiel: Web Reputation

TrendMicroCasRiskLevel

security_events/message/risk_level

Web Reputation-Risikostufe, die der analysierten URL zugewiesen wurde, die das Sicherheitsereignis ausgelöst hat

Beispiel: Dangerous

fileHash

security_events/message/file_sha1

SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat

Beispiel: fd4a7c09dc2c48c1390e09a72b86adaf504802b5

TrendMicroCasFileSha256

security_events/message/file_sha256

SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat

Beispiel: 11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865

Virtual Analyzer

cs3Label

security_events/message/virus_name

Name des erkannten Virus

Wert: virus_name

cs3

security_events/message/virus_name

Der Wert für cs3Label

Beispiel: VAN_BOT.UMXX

fileHash

security_events/message/file_sha1

SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat

Beispiel: 0636ed126113daef6d509d9352d47defaed04508

TrendMicroCasRiskLevel

security_events/message/risk_level

Virtual Analyzer-Risikostufe, die dem analysierten Objekt zugewiesen wurde, das das Sicherheitsereignis ausgelöst hat

Beispiel: Medium risk

cs4Label

security_events/message/detection_type

Typ des verdächtigen Objekts, das das Sicherheitsereignis ausgelöst hat

Wert: detection_type

cs4

security_events/message/detection_type

Der Wert für cs4Label

Beispiel: File

TrendMicroCasVaReportLink

security_events/message/va_report_link

Download-Link für Virtual Analyzer-Bericht

Beispiel: https://api.tmcas.trendmicro.com/v1/siem/security_events/va_analysis_report?report_id=38baa2*************************fd7187324

TrendMicroCasFileSha256

security_events/message/file_sha256

SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat

Beispiel: 11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865

Ransomware

cs5Label

security_events/message/ransomware_name

Name der erkannten Ransomware

Wert: ransomware_name

cs5

security_events/message/ransomware_name

Der Wert für cs5Label

Beispiel: Ransom_CRYPWALL.MVP

Prävention vor Datenverlust

cs6Label

security_events/message/triggered_dlp_template

Einzelheiten der Vorlage zur Einhaltung von Richtlinien, gegen die verstoßen wurde, um das Sicherheitsereignis auszulösen

Wert: triggered_dlp_template

cs6

security_events/message/triggered_dlp_template

Der Wert für cs6Label

Beispiel: All: Credit Card Number