Um eine flexible Integration in Protokollverwaltungssysteme von Drittanbietern zu ermöglichen, unterstützt Cloud App Security auch CEF (Common Event Format) als Syslog-Nachrichtenformat.
CEF (Common Event Format) ist ein offener Protokollverwaltungsstandard, der von HP ArcSight erstellt wurde. Cloud App Security verwendet eine Teilmenge des CEF-Wörterbuches.
Cloud App Security stellt den optionalen Parameter format bereit. Um Sicherheitsereignisprotokolle im CEF-Format abzurufen, fügen Sie diesen Parameter in die Anforderung ein und legen Sie ihn auf cef fest.
Beispiel anfordern
GET https://api.tmcas.trendmicro.com/v1/siem/security_events?service=exchange&event=dlp&format=cef Authorization: Bearer 1de231142eef3f83928da98dc251fbebb6cafed4
Antwort
Bei Erfolg sendet der Dienst eine HTTP 200-Antwort zurück und gibt einen Antworttext im CEF-Format zurück.
Antwortbeispiel
{ "current_link":"https://api.tmcas.trendmicro.com/siem/v1/security_events?service=exchange&event=securityrisk& start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&format=cef", "next_link":"https://api.tmcas.trendmicro.com/siem/v1/security_events?service=exchange&event=securityrisk& start=2018-09-23T03:35:07.000Z&end=2018-09-25T05:47:07.000Z&limit=10&page_id=<randomly generated value>=&format=cef", "last_log_item_generation_time":"2018-09-25T02:43:31Z", "security_events":["CEF:0|Trend Micro|CAS|5.0|100,101|securityrisk|High DevicePayloadId=IwUVemkBIMKdAHkUVwi- destinationServiceName=Exchange Online cat=security_risk_scan msg=Real-time scan TrendMicroCasAffectedUser=username1@example1.onmicrosoft.com TrendMicroCasLocation=username1@example1.onmicrosoft.com\\Junk Email rt=2018-09-25T02:43:31Z TrendMicroCasPolicyName=phishing test from jimmy TrendMicroCasFilter=Web Reputation act=Quarantine outcome=success suid=<DM6PR01MB41868726C4F662504F963431994B0@DM6PR01MB4186.prod.exchangelabs.com> suser=<username2@example2.com> duser=[\"\\\"username1\\\"<username1@example1.onmicrosoft.com>\"] start=2018-09-25T02:43:21 end=2018-09-25T02:43:05 TrendMicroCasMailSubject=FW: test TrendMicroCasMailFileName=filename.exe cs2Label=detected_by cs2= TrendMicroCasRiskLevel= fileHash=f0bb4b3f4ac5f7b3228feeba2ed10c1a0a0f8d44 TrendMicroCasFileSha256=11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865 TrendMicroCasVaReportLink=https://api-dev.tmcas.trendmicro.net/v1/siem/security_events/va_analysis_report?report_id= 7ca0b75044627a884322cf29290fecc048d93b129bee48fa0b0c875a3feb1ecfc739a64b896a5278&language=en"] }
Antwortfelder
Die folgenden Tabellen geben einen Überblick über die Zuordnung des Syslog-Inhalts zwischen Cloud App Security-Protokollausgabe und CEF-Syslog-Typen.
Das CEF-Protokollformat besteht aus einem CEF-Header und einer CEF-Erweiterung:
CEF:Version|Device Vendor|Device Product|Device Version|Device Event Class ID|Name|Severity|[Extension]
Alle zeitbezogenen Felder in der Tabelle sind auf Coordinated Universal Time (UTC) eingestellt.
CEF-Schlüssel |
Beschreibung |
Wert |
---|---|---|
logVer |
CEF-Formatversion |
CEF: 0 |
vendor |
Appliance-Hersteller |
Trend Micro |
pname |
Appliance-Produktname |
CAS |
pver |
Appliance-Version |
Beispiel: 5.0 |
eventid |
Geräteereignis-Klassen-ID |
Zu den Optionen für jede einzelne Geräteereignis-Klassen-ID und den entsprechenden Ereignisnamen gehören:
|
eventName |
Name des Ereignisses |
Zu den Optionen für jede einzelne Geräteereignis-Klassen-ID und den entsprechenden Ereignisnamen gehören:
|
severity |
Risikostufe |
Hoch |
CEF-Schlüssel |
Cloud App Security-Protokollausgabe |
Beschreibung und Wert |
---|---|---|
devicepayloadid |
security_events/log_item_id |
ID, die ein Protokollelement eindeutig identifiziert Beispiel: NdGBDmYBWu4z8GKN0JHL |
destinationServiceName |
security_events/service |
Name des angeforderten Diensts Beispiel: exchange |
cat |
security_events/event |
Typ des angeforderten Sicherheitsereignisses Beispiel: security_risk_scan |
Allgemeine Felder in "Nachricht" |
||
msg |
security_events/message/scan_type |
Ob es sich um eine Echtzeitsuche oder eine manuelle Suche handelt, die das Sicherheitsereignis erkannt hat Beispiel: Real-time scan |
TrendMicroCasAffectedUser |
security_events/message/affected_user |
Postfach, das eine E-Mail-Nachricht mit dem Auslösen des Sicherheitsereignisses oder eines Benutzerkontos empfangen hat, das eine Datei hochgeladen oder geändert hat, die das Sicherheitsereignis ausgelöst hat Beispiel: username@example.com |
TrendMicroCasLocation |
security_events/message/location |
Speicherort, in dem das Sicherheitsereignis entdeckt wurde Beispiel: username@example.com\Junk Email |
rt |
security_events/message/detection_time |
Datum und Uhrzeit, wann das Sicherheitsereignis entdeckt wurde Beispiel: 2018-09-25T02:14:40Z |
TrendMicroCasPolicyName |
security_events/message/triggered_policy_name |
Name einer konfigurierten Richtlinie, die verletzt wurde Beispiel: phishing test from username |
TrendMicroCasFilter |
security_events/message/triggered_security_filter |
Name des Sicherheitsfilters, der das Sicherheitsereignis entdeckt hat Beispiel: Web Reputation |
act |
security_events/message/action |
Aktion, die von Cloud App Security nach Erkennung eines Sicherheitsereignisses durchgeführt wird Beispiel: Quarantine |
outcome |
security_events/message/action_result |
Ob die Aktion erfolgreich durchgeführt wurde oder nicht Beispiel: success |
E-Mail-bezogene Felder in "Nachricht" |
||
suid |
security_events/message/mail_message_id |
ID der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat Beispiel: <0ee59974fb7c48538b3e077f5c40b875@example.com> |
suser |
security_events/message/mail_message_sender |
E-Mail-Adresse des Absenders Beispiel: username@example.com |
duser |
security_events/message/mail_message_recipient |
E-Mail-Adresse(n) des/der Empfänger(s) Beispiel: "\"username\"<username@example.com>" |
deviceCustomDate1Label |
security_events/message/mail_message_submit_time |
Datum und Uhrzeit, zu der die E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat, gesendet wurde Value: mail_message_submit_time |
deviceCustomDate1 |
security_events/message/mail_message_submit_time |
Der Wert für deviceCustomDate1Label Beispiel: 2018-09-25T02:14:25.818Z |
deviceCustomDate2Label |
security_events/message/mail_message_delivery_time |
Datum und Uhrzeit der Zustellung der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat, an den Empfänger Wert: mail_message_delivery_time |
deviceCustomDate2 |
security_events/message/mail_message_delivery_time |
Der Wert für deviceCustomDate2Label Beispiel: 2018-09-25T02:14:25.818Z |
TrendMicroCasMailSubject |
security_events/message/mail_message_subject |
Betreff der E-Mail-Nachricht, die das Sicherheitsereignis ausgelöst hat Beispiel: example |
TrendMicroCasMailFileName |
security_events/message/mail_message_file_name |
Name des E-Mail-Anhangs, der das Sicherheitsereignis ausgelöst hat Beispiel: filename.exe |
Dateibezogene Felder in "Nachricht" |
||
fname |
security_events/message/file_name |
Name der Datei, die das Sicherheitsereignis ausgelöst hat Beispiel: example.pdf |
fileCreateTime |
security_events/message/file_upload_time |
Datum und Uhrzeit, zu der die Datei, die das Sicherheitsereignis ausgelöst hat, hochgeladen wurde Beispiel: 2018-09-25T02:14:25.818Z |
Protokolltypbezogene Felder in "Nachricht" |
||
Suche nach Sicherheitsrisiken |
||
cs1Label |
security_events/message/security_risk_name |
Name des entdeckten Sicherheitsrisikos Wert: security_risk_name |
cs1 |
security_events/message/security_risk_name |
Der Wert für cs1Label Beispiel: Spyware: http://wrs21.winshipway.com |
cs2Label |
security_events/message/detected_by |
Technologie oder Methode, mit Hilfe derer die E-Mail-Nachricht oder die Datei, die das Sicherheitsereignis ausgelöst hat, entdeckt wurde Wert: detected_by |
cs2 |
security_events/message/detected_by |
Der Wert für cs2Label Beispiel: Web Reputation |
TrendMicroCasRiskLevel |
security_events/message/risk_level |
Web Reputation-Risikostufe, die der analysierten URL zugewiesen wurde, die das Sicherheitsereignis ausgelöst hat Beispiel: Dangerous |
fileHash |
security_events/message/file_sha1 |
SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat Beispiel: fd4a7c09dc2c48c1390e09a72b86adaf504802b5 |
TrendMicroCasFileSha256 |
security_events/message/file_sha256 |
SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat Beispiel: 11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865 |
Virtual Analyzer |
||
cs3Label |
security_events/message/virus_name |
Name des erkannten Virus Wert: virus_name |
cs3 |
security_events/message/virus_name |
Der Wert für cs3Label Beispiel: VAN_BOT.UMXX |
fileHash |
security_events/message/file_sha1 |
SHA-1-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat Beispiel: 0636ed126113daef6d509d9352d47defaed04508 |
TrendMicroCasRiskLevel |
security_events/message/risk_level |
Virtual Analyzer-Risikostufe, die dem analysierten Objekt zugewiesen wurde, das das Sicherheitsereignis ausgelöst hat Beispiel: Medium risk |
cs4Label |
security_events/message/detection_type |
Typ des verdächtigen Objekts, das das Sicherheitsereignis ausgelöst hat Wert: detection_type |
cs4 |
security_events/message/detection_type |
Der Wert für cs4Label Beispiel: File |
TrendMicroCasVaReportLink |
security_events/message/va_report_link |
Download-Link für Virtual Analyzer-Bericht Beispiel: https://api.tmcas.trendmicro.com/v1/siem/security_events/va_analysis_report?report_id=38baa2*************************fd7187324 |
TrendMicroCasFileSha256 |
security_events/message/file_sha256 |
SHA-256-Hash-Wert der Datei, die das Sicherheitsereignis ausgelöst hat Beispiel: 11a62297f719eddf268a53db1433531ea7f8ea22c72630708db6adef71b59865 |
Ransomware |
||
cs5Label |
security_events/message/ransomware_name |
Name der erkannten Ransomware Wert: ransomware_name |
cs5 |
security_events/message/ransomware_name |
Der Wert für cs5Label Beispiel: Ransom_CRYPWALL.MVP |
Prävention vor Datenverlust |
||
cs6Label |
security_events/message/triggered_dlp_template |
Einzelheiten der Vorlage zur Einhaltung von Richtlinien, gegen die verstoßen wurde, um das Sicherheitsereignis auszulösen Wert: triggered_dlp_template |
cs6 |
security_events/message/triggered_dlp_template |
Der Wert für cs6Label Beispiel: All: Credit Card Number |