Die Protokollnachrichtenformate Common Event Format (CEF) und Log Event Extended Format
(LEEF) unterscheiden sich geringfügig. Zum Beispiel entspricht die Spalte "Source
User" in der GUI einem Feld namens "suser" in CEF; in LEEF wird dasselbe Feld stattdessen
"usrName" genannt. Die Protokollnachrichtenfelder variieren auch je nachdem, ob das
Ereignis vom Agenten oder Server- und Workload Protection stammt und welches Feature die Protokollnachricht erstellt hat.
 |
HinweisWenn Ihre Syslog-Nachrichten abgeschnitten werden, kann dies daran liegen, dass Sie
das User Datagram Protocol (UDP) verwenden. Um das Abschneiden zu verhindern, übertragen
Sie Ihre Syslog-Nachrichten stattdessen über Transport Layer Security (TLS). Anweisungen
zum Wechsel zu TLS finden Sie unter Definieren einer Syslog-Konfiguration.
|
|
HinweisDas grundlegende Syslog-Format wird von den Schutzmodulen Anti-Malware, Web Reputation,
Integritätsüberwachung und Application Control nicht unterstützt.
|
Wenn die Syslog-Nachrichten von Server- und Workload Protection gesendet werden, gibt es mehrere Unterschiede. Um den ursprünglichen Agent-Hostnamen
(die Quelle des Ereignisses) zu erhalten, ist eine neue Erweiterung ("dvc" oder "dvchost")
vorhanden. "dvc" wird verwendet, wenn der Hostname eine IPv4-Adresse ist; "dvchost"
wird für Hostnamen und IPv6-Adressen verwendet.
Zusätzlich wird die Erweiterung "TrendMicroDsTags" verwendet, wenn die Ereignisse
getaggt sind. Dies gilt nur für die automatische Tagging-Funktion mit zukünftiger
Ausführung, da Ereignisse nur dann über Syslog weitergeleitet werden, wenn sie von
Server- und Workload Protection erfasst werden. Das Produkt für Protokolle, die über Workload Security weitergeleitet
werden, wird weiterhin als "Deep Security Agent" angezeigt; die Produktversion entspricht
jedoch der Version von Server- und Workload Protection.
CEF-Syslog-Nachrichtenformat
Alle CEF-Ereignisse enthalten 'dvc=IPv4-Adresse' oder 'dvchost=Hostname' (oder die
IPv6-Adresse), um den ursprünglichen Agenten zu bestimmen, der die Quelle des Ereignisses
war. Diese Erweiterung ist wichtig für Ereignisse, die von Server- und Workload Protection gesendet werden, da in diesem Fall der Syslog-Absender der Nachricht nicht der Urheber
des Ereignisses ist.
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Um festzustellen, ob der Protokolleintrag von Server- und Workload Protection oder einem Agenten stammt, schauen Sie sich das Feld "Geräteprodukt" an:
Sample CEF Log Entry: 18. Jan 11:07:53 dsmhost CEF:0|Trend Micro|Workload Security Manager|<Workload Security version>|600|Administrator hat sich angemeldet|4|suser=Master...
|
HinweisEreignisse, die auf einer VM auftreten, die durch ein virtuelles Gerät geschützt ist,
aber keinen In-Guest-Agenten hat, werden dennoch als von einem Agenten stammend identifiziert.
|
Um weiter zu bestimmen, welche Art von Regel das Ereignis ausgelöst hat, schauen Sie
sich die Felder "Signatur-ID" und "Name" an:
Sample Log Entry: 19. März 15:19:15 root CEF:0|Trend Micro|Deep Security Agent|<Agent version>|123|Außerhalb
der erlaubten Richtlinie|5|cn1=1...
Der Wert "Signatur-ID" gibt an, welche Art von Ereignis ausgelöst wurde:
|
Signatur-IDs
|
Beschreibung
|
|
10
|
Benutzerdefinierte Eindringschutzregel (IPS)
|
|
20
|
Nur-Protokoll-Firewall-Regel
|
|
21
|
Firewall-Regel verweigern
|
|
30
|
Benutzerdefinierte Integritätsüberwachungsregel
|
|
40
|
Benutzerdefinierte Protokollüberprüfungsregel
|
|
100-7499
|
Systemereignisse
|
|
100-199
|
Firewall-Richtlinie und zustandsbehaftete Firewall-Konfiguration
|
|
200-299
|
IPS interne Fehler
|
|
300-399
|
SSL/TLS-Ereignisse
|
|
500-899
|
IPS-Normalisierung
|
|
1.000.000-1.999.999
|
Trend Micro IPS-Regel. Die Signatur-ID ist identisch mit der IPS-Regel-ID.
|
|
2.000.000-2.999.999
|
Integritätsüberwachungsregel. Die Signatur-ID ist die Integritätsüberwachungsregel-ID
+ 1.000.000.
|
|
3.000.000-3.999.999
|
Protokollinspektionsregel. Die Signatur-ID ist die Protokollinspektionsregel-ID +
2.000.000.
|
|
4.000.000-4.999.999
|
Anti-Malware-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
5.000.000-5.999.999
|
Web Reputation-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
6.000.000-6.999.999
|
Application Control-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
7.000.000-7.999.999
|
Gerätesteuerungsereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
HinweisProtokolleinträge enthalten nicht immer alle CEF-Erweiterungen, die in den unten stehenden
Ereignisprotokoll-Formattabellen beschrieben sind. CEF-Erweiterungen müssen auch nicht
immer in der gleichen Reihenfolge vorliegen. Wenn Sie reguläre Ausdrücke (Regex) verwenden,
um die Einträge zu analysieren, stellen Sie sicher, dass Ihre Ausdrücke nicht davon
abhängen, dass jedes Schlüssel-Wert-Paar existiert oder in einer bestimmten Reihenfolge
vorliegt.
|
|
HinweisSyslog-Nachrichten sind gemäß der Spezifikation des Syslog-Protokolls auf 64 KB begrenzt.
Wenn die Nachricht länger ist, können Daten abgeschnitten werden. Das grundlegende
Syslog-Format ist auf 1 KB begrenzt.
|
LEEF 2.0 Syslog-Nachrichtenformat
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF 2.0 Log Entry (Workload Security System Event Log Sample): LEEF:2.0|Trend Micro|Server- und Workload Protection Manager|<Agent version>|192|cat=System name=Alarm beendet desc=Alarm: CPU-Warnschwelle
überschritten\nBetreff: 10.201.114.164\nSchweregrad: Warnung sev=3 src=10.201.114.164
usrName=System msg=Alarm: CPU-Warnschwelle überschritten\nBetreff: 10.201.114.164\nSchweregrad:
Warnung TrendMicroDsTenant=Primär
Ereignisse, die in Server- und Workload Protection ihren Ursprung haben
Systemereignisprotokollformat
Base CEF Format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Server- und Workload Protection Manager|<Server- und Workload Protection Version>|600|Benutzer angemeldet|3|src=10.52.116.160 suser=admin target=admin msg=Benutzer
hat sich von 2001:db8::5 angemeldet
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF 2.0 Log Entry: LEEF:2.0|Trend Micro|Server- und Workload Protection Manager|<DSA version>|192|cat=System name=Alarm beendet desc=Alarm: CPU-Warnschwelle
überschritten\nBetreff: 10.201.114.164\nSchweregrad: Warnung sev=3 src=10.201.114.164
usrName=System msg=Alarm: CPU-Warnschwelle überschritten\nBetreff: 10.201.114.164\nSchweregrad:
Warnung TrendMicroDsTenant=Primär
|
HinweisLEEF-Format verwendet einen reservierten "sev"-Schlüssel zur Anzeige der Schwere und
"name" für den Namen-Wert.
|
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
||
|
src
|
src
|
IP-Quelladresse
|
Server- und Workload Protection IP-Adresse.
|
src=10.52.116.23
|
||
|
suser
|
usrName
|
Quellbenutzer
|
Server- und Workload Protection Administratorkonto.
|
suser=MasterAdmin
|
||
|
Ziel
|
Ziel
|
Zielentität
|
Das Thema des Ereignisses. Es kann das Administrator-Konto sein, das bei Server- und Workload Protection angemeldet ist, oder ein Computer.
|
target=MasterAdmin target=server01
|
||
|
targetID
|
targetID
|
Ziel-Entitäts-ID
|
Die Kennung wurde in Server- und Workload Protection hinzugefügt.
|
targetID=1
|
||
|
targetType
|
targetType
|
Zielentitätstyp
|
Der Entitätstyp des Ereignisziels.
|
Zieltyp=Host
|
||
|
msg
|
msg
|
Details
|
Details des Systemereignisses. Kann eine ausführliche Beschreibung des Ereignisses
enthalten.
|
msg=Benutzerpasswort für den Benutzernamen MasterAdmin bei einem Anmeldeversuch von
127.0.0.1 ist falsch msg=Ein Durchsuchen nach Empfehlungen auf dem Computer (localhost)
wurde abgeschlossen...
|
||
|
TrendMicroDsProcessImagePath
|
TrendMicroDsProcessImagePath
|
Pfad des Image des Vorgangs
|
Der vollständige Pfad des Prozesses, der eine Malware-Ereigniserkennung generiert.
|
TrendMicroDsProcessImagePath=/usr/bin/bash
|
||
|
TrendMicroDsProcessPid
|
TrendMicroDsProcessPid
|
Prozess-PID
|
Die PID des Prozesses, der ein Anti-Malware-Ereignis erkennt
|
TrendMicroDsProcessPid=4422
|
||
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
||
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
||
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
||
|
TrendMicroDsReasonId
|
TrendMicroDsReasonId
|
Ereignisgrund-ID
|
Gibt die Grund-ID für Ereignisbeschreibungen an. Jedes Ereignis hat seine eigene Grund-ID-Definition.
|
TrendMicroDsReasonId=1
|
||
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=3
|
||
|
Keine
|
cat
|
Kategorie
|
Ereigniskategorie
|
cat=System
|
||
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Alarm beendet
|
||
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung
|
desc:Alarm: CPU-Warnschwelle überschritten
|
Ereignisse, die vom Agenten ausgehen
Anti-Malware-Ereignisformat
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|4000000|Eicar_test_file|6|cn1=1
cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantäne Dateigröße cs6=ContainerImageName
| ContainerName | ContainerID cs6Label=Container filePath=C:\Users\trend\Desktop\eicar.exe
act=Löschen result=Löschen msg=Echtzeit TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F
TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF: 2.0|Trend Micro|Deep Security Agent|<Agent version>|4000030|cat=Anti-Malware
name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1
TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe
act=Terminate msg=Echtzeit TrendMicroDsMalwareTarget=Mehrere TrendMicroDsMalwareTargetType=Dateisystem
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cn2
|
cn2
|
Dateigröße
|
Die Größe der Quarantäne-Datei. Diese Erweiterung wird nur einbezogen, wenn die "direkte
Weiterleitung" vom Agenten/Gerät ausgewählt ist.
|
cn2=100
|
|
cn2Label
|
cn2Label
|
Dateigröße
|
Der Namensaufkleber für das Feld cn2.
|
cn2Label=Dateigröße der Quarantäne
|
|
cs3
|
cs3
|
Infizierte Ressource
|
Der Pfad des Spyware-Elements. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
|
|
cs3Label
|
cs3Label
|
Infizierte Ressource
|
Der Namensbezeichner für das Feld cs3. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs3Label=Infizierte Ressource
|
|
cs4
|
cs4
|
Ressourcentyp
|
Ressourcentyp-Werte:
10=Dateien und Verzeichnisse
11=Systemregistrierung
12=Internet-Cookies
13=Internet-URL-Verknüpfung
14=Programme im Speicher
15=Programm-Autostartbereiche
16=Browser-Hilfsobjekt
17=Layered Service Provider
18=Hosts-Datei
19=Windows-Richtlinieneinstellungen
20=Browser
Windows Shell-Einstellung
IE heruntergeladene Programmdateien
25=Programme hinzufügen/entfernen
26=Dienste
other=Sonstiges
Zum Beispiel, wenn es eine Spyware-Datei namens spy.exe gibt, die einen Registrierungsschlüssel
erstellt, um ihre Persistenz nach einem Systemneustart aufrechtzuerhalten, werden
zwei Elemente im Spyware-Bericht angezeigt: das Element für spy.exe hat cs4=10 (Dateien
und Verzeichnisse), und das Element für den Registrierungsschlüssel hat cs4=11 (Systemregistrierung).
Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs4=10
|
|
cs4Label
|
cd4Label
|
Ressourcentyp
|
Der Namensbezeichner für das Feld cs4. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs4Label=Ressourcentyp
|
|
cs5
|
cs5
|
Risikostufe
|
Risikostufenwerte:
0=Sehr niedrig
25=Niedrig
50=Mittel
75=Hoch
100=Sehr Hoch
Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs5=25
|
|
cs5Label
|
cs5Label
|
Risikostufe
|
Der Namensbezeichner für das Feld cs5. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs5Label=Risikostufe
|
|
cs6
|
cs6
|
Container
|
Der Bildname des Docker-Containers, der Containername und die Container-ID, in denen
die Malware erkannt wurde.
|
cs6=ContainerImageName | ContainerName | ContainerID
|
|
cs6Label
|
cs6Label
|
Container
|
Der Namensaufkleber für das Feld cs6.
|
cs6Label=Behälter
|
|
filePath
|
filePath
|
Dateipfad
|
Der Speicherort der Malware-Datei.
|
filePath=C:\\Benutzer\\Mei\\Desktop\\virus.exe
|
|
act
|
act
|
Aktion
|
Die Aktion, die von der Anti-Malware-Engine durchgeführt wird. Mögliche Werte sind:
Zugriff verweigern, Quarantäne, Löschen, Übergehen, Bereinigen, Beenden und Nicht
spezifiziert.
|
act=Bereinigen act=Übergehen
|
|
Ergebnis
|
Ergebnis
|
Ergebnis
|
Das Ergebnis der fehlgeschlagenen Anti-Malware-Aktion.
|
result=Übergehen result=Gelöscht result=Quarantäne result=Entfernt result=Zugriff
verweigert result=Beendet result=Protokoll result=Fehlgeschlagen result=Übergehen
fehlgeschlagen result=Löschen fehlgeschlagen result=Quarantäne fehlgeschlagen result=Entfernen
fehlgeschlagen result=Beenden fehlgeschlagen result=Protokoll fehlgeschlagen result=DURCHSUCHEN
fehlgeschlagen result=Übergehen (DURCHSUCHEN fehlgeschlagen) result=Quarantäne (DURCHSUCHEN
fehlgeschlagen) result=Quarantäne fehlgeschlagen (DURCHSUCHEN fehlgeschlagen) result=Zugriff
verweigern (DURCHSUCHEN fehlgeschlagen)
|
|
msg
|
msg
|
Nachricht
|
Der Typ des DURCHSUCHENS. Mögliche Werte sind: Echtzeit, Geplant und Manuell.
|
msg=Echtzeit msg=Geplant
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=fe80::f018:a3c6:20f9:afa6%5
|
|
TrendMicroDsVerhaltensregelID
|
TrendMicroDsVerhaltensregelID
|
Verhaltensüberwachungsregel-ID
|
Die Verhaltensüberwachungsregel-ID für die interne Nachverfolgung von Malware-Fällen.
|
Verhaltensregel-ID=CS913
|
|
TrendMicroDsVerhaltenstyp
|
TrendMicroDsVerhaltenstyp
|
Verhaltensüberwachungstyp
|
Der erkannte Typ des Verhaltensüberwachungsereignisses.
|
BehaviorType=Bedrohungserkennung
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
TrendMicroDsMalwareZielanzahl
|
TrendMicroDsMalwareZielanzahl
|
Zielanzahl
|
Die Anzahl der Zieldateien.
|
TrendMicroDsMalwareTargetCount=3
|
|
TrendMicroDsMalwareZiel
|
TrendMicroDsMalwareZiel
|
Ziel(e)
|
Die Datei, der Prozess oder der Registrierungsschlüssel (falls vorhanden), den die
Malware zu beeinflussen versuchte. Wenn die Malware versuchte, mehr als einen zu beeinflussen,
enthält dieses Feld den Wert "Mehrere"
Nur die Überwachung verdächtiger Aktivitäten und die Überwachung unautorisierter Änderungen
haben Werte für dieses Feld.
|
TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings TrendMicroDsMalwareTarget=Mehrere
|
|
TrendMicroDsMalwareZieltyp
|
TrendMicroDsMalwareZieltyp
|
Zieltyp
|
Die Art der Systemressource, die diese Malware zu beeinträchtigen versuchte, wie das
Dateisystem, ein Prozess oder die Windows-Registrierung.
Nur die Überwachung verdächtiger Aktivitäten und die Überwachung unautorisierter Änderungen
haben Werte für dieses Feld.
|
TrendMicroDsMalwareTargetType=N/A TrendMicroDsMalwareTargetType=Exploit TrendMicroDsMalwareTargetType=Dateisystem
TrendMicroDsMalwareTargetType=Prozess TrendMicroDsMalwareTargetType=Registry
|
|
TrendMicroDsProzess
|
TrendMicroDsProzess
|
Prozess
|
Prozessname
|
TrendMicroDsProcess= abc.exe
|
|
TrendMicroDsFileMD5
|
TrendMicroDsFileMD5
|
MD5-Datei
|
Der MD5-Hash der Datei
|
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
|
|
TrendMicroDsFileSHA1
|
TrendMicroDsFileSHA1
|
Datei SHA1
|
Der SHA1-Hash der Datei
|
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
|
|
TrendMicroDsFileSHA256
|
TrendMicroDsFileSHA256
|
Datei SHA256
|
Der SHA256-Hash der Datei
|
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
|
|
TrendMicroDsErkennungszuversicht
|
TrendMicroDsErkennungszuversicht
|
Bedrohungsprobabilität
|
Gibt an, wie genau (in %) die Datei mit dem Malware-Modell übereinstimmt
|
TrendMicroDsDetectionConfidence=95
|
|
TrendMicroDsRelevanteErkennungsnamen
|
TrendMicroDsRelevanteErkennungsnamen
|
Wahrscheinliche Bedrohungsart
|
Gibt die wahrscheinlichste in der Datei enthaltene Bedrohungsart an, nachdem die Analyse
mittels 'Vorausschauendes Maschinenlernen' mit anderen bekannten Bedrohungen verglichen
wurde (getrennt durch Semikolon ";")
|
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Anti-Malware
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=SPYWARE_KEYL_AKTIV
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Anti-Malware verwendet den Ereignisnamen als Beschreibung.
|
desc=SPYWARE_KEYL_AKTIV
|
|
TrendMicroDsBefehlszeile
|
TrendMicroDsBefehlszeile
|
Befehlszeile
|
Die Befehle, die der Zielprozess ausführt
|
TrendMicroDsCommandLine=/tmp/orca-testkit-sample/testsys_m64 -u 1000 -g 1000 -U 1000
-G 1000 -e cve_2017_16995 1 -d 4000000
|
|
TrendMicroDsCve
|
TrendMicroDsCve
|
CVE
|
CVE-Informationen, wenn das Prozessverhalten in einer der Common Vulnerabilities and
Exposures identifiziert wird.
|
TrendMicroDsCve=CVE-2016-5195,CVE-2016-5195,CVE-2016-5195
|
|
TrendMicroDsMitre
|
TrendMicroDsMitre
|
MITRE
|
Die MITRE-Informationen, falls das Prozessverhalten in einem der MITRE-Angriffszenarien
identifiziert wird.
|
TrendMicroDsMitre=T1068,T1068,T1068
|
|
suser
|
suser
|
Benutzername
|
Der Name des Benutzerkontos, das dieses Ereignis ausgelöst hat
|
suser=root
|
Application Control Ereignisformat
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Example CEF Log Entry:
CEF: 0|Trend Micro|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202
cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root
suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20
aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C
cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Example LEEF Log Entry:
LEEF:2.0|Trend Micro|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked
desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0
repeatCount=1 cs1=notWhitelisted cs1Label=actionReason|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=2
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cs1
|
cs1
|
Grund
|
Der Grund, warum Application Control die angegebene Aktion ausgeführt hat, wie "notWhitelisted"
(die Software hatte keine übereinstimmende Regel, und Application Control war so konfiguriert,
dass nicht erkannte Software gesperrt wird).
|
cs1=nichtAufDerWhitelist
|
|
cs1Label
|
cs1Label
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=Aktionsgrund
|
|
|
cs2
|
cs2
|
Falls berechnet, der SHA-1-Hash der Datei.
|
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
|
|
|
cs2Label
|
cs2Label
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=sha1
|
|
|
cs3
|
cs3
|
Falls berechnet, der MD5-Hash der Datei.
|
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
|
|
|
cs3Label
|
cs3Label
|
Der Namensschild für das Feld cs3.
|
cs3Label=md5
|
|
|
act
|
act
|
Aktion
|
Die Aktion, die von der Application Control-Engine ausgeführt wird. Mögliche Werte
sind: Gesperrt, Erlaubt.
|
act=gesperrt
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.1.10
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
suid
|
suid
|
Benutzer-ID
|
Die Kontonummer des Benutzernamens.
|
suid=0
|
|
suser
|
suser
|
Benutzername
|
Der Name des Benutzerkontos, das die Software auf dem geschützten Computer installiert
hat.
|
suser=root
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandantenname.
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID-Nummer.
|
TrendMicroDsTenantId=0
|
|
fileHash
|
fileHash
|
Datei-Hash ()
|
Der SHA-256-Hash, der die Softwaredatei identifiziert.
|
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
|
|
filePath
|
filePath
|
Dateipfad
|
Der Speicherort der Malware-Datei.
|
filePath=/bin/my.jar
|
|
fsize
|
fsize
|
Dateigröße
|
Die Dateigröße in Byte.
|
fsize=16
|
|
aggregationType
|
aggregationType
|
Aggregationstyp
|
Eine ganze Zahl, die angibt, wie das Ereignis aggregiert wird:
Weitere Informationen zur Ereignisaggregation finden Sie unter Anzeigen von Application Control-Ereignisprotokollen.
|
aggregationType=2
|
|
repeatCount
|
repeatCount
|
Wiederholungsanzahl
|
Die Anzahl der Vorkommen des Ereignisses. Nicht aggregierte Ereignisse haben einen
Wert von 1. Aggregierte Ereignisse haben einen Wert von 2 oder mehr.
|
repeatCount=4
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=AppControl
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=gesperrt
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Application Control verwendet die Aktion als Beschreibung.
|
desc=gesperrt
|
Format des Firewall-Ereignisprotokolls
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|20|Protokoll für TCP-Port 80|0|cn1=1
cn1Label=Host-ID dvc=hostname act=Protokoll dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF
cs3Label=Fragmentierungsbits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP-Flags
cnt=1 TrendMicroDsPacketData=AFB...
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|21|cat=Firewall name=Remote
Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5
cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
act=Verweigern dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP
src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP
srcPort=23 dstPort=445 cnt=1 TrendMicroDsPacketData=AFB...
Sample TendMicroDsScannerIp Log Entry: CEF-Feld: (warte auf Überprüfung), LEEF-Feld: TrendMicroDsScannerIp, Name: Scanner-IP,
Beschreibung: Scanner-IP-Adresse, Beispiel: TrendMicroDsScannerIp=192.168.33.1
TrendMicroDsTargetPortList Log Entry: CEF-Feld: (Warteprüfung), LEEF-Feld: TrendMicroDsTargetPortList, Name: Zielportliste,
Beschreibung: Gescannte Portliste, Beispiel: TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
|
act=Protokollieren act=Verweigern
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cnt
|
cnt
|
Wiederholungsanzahl
|
Die Anzahl der Male, die dieses Ereignis nacheinander wiederholt wurde.
|
cnt=8
|
|
cs2
|
cs2
|
TCP-Flags
|
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP-Flags
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=TCP-Flags
|
|
cs3
|
cs3
|
Paketfragmentierungsinformationen
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentierungsbits
|
Der Namensschild für das Feld cs3.
|
cs3Label=Fragmentierungsbits
|
|
cs4
|
cs4
|
ICMP-Typ und Code
|
(Nur für das ICMP-Protokoll) Der ICMP-Typ und Code, durch ein Leerzeichen getrennt.
|
cs4=11 0 cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
Der Namensschild für das Feld cs4.
|
cs4Label=ICMP-Typ und Code
|
|
dmac
|
dstMAC
|
MAC-Zieladresse
|
MAC-Adresse der Netzwerk-Schnittstelle des Zielcomputers.
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
Zielport
|
(Nur für TCP- und UDP-Protokoll) Portnummer der Verbindung oder Sitzung des Zielcomputers.
|
dpt=80 dpt=135
|
|
dst
|
dst
|
Ziel-IP-Adresse
|
IP-Adresse des Zielcomputers.
|
dst=192.168.1.102 dst=10.30.128.2
|
|
in
|
in
|
Eingehende Byte gelesen
|
(Nur für eingehende Verbindungen) Anzahl der gelesenen eingehenden Byte.
|
in=137 in=21
|
|
aus
|
aus
|
Ausgehende Byte gelesen
|
(Nur für ausgehende Verbindungen) Anzahl der gelesenen ausgehenden Byte.
|
out=216 out=13
|
|
proto
|
proto
|
Transportprotokoll
|
Name des verwendeten Transportprotokolls.
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
MAC-Quelladresse
|
MAC-Adresse der Netzwerk-Schnittstelle des Quellcomputers.
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
Quellport
|
(Nur für TCP- und UDP-Protokoll) Portnummer der Verbindung oder Sitzung des Quellcomputers.
|
spt=1032 spt=443
|
|
src
|
src
|
IP-Quelladresse
|
Die Quell-IP-Adresse des Pakets bei diesem Ereignis.
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet-Rahmentyp
|
Verbindung Ethernet-Rahmentyp.
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Paketdaten
|
Die Paketdaten, dargestellt in Base64.
|
TrendMicroDsPacketData=AFB...
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=exch01.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=5
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Firewall
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Remote-Domain-Durchsetzung (Split-Tunnel)
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Firewall-Ereignisse verwenden den Ereignisnamen als Beschreibung.
|
desc=Remote-Domain-Durchsetzung (Split-Tunnel)
|
|
TrendMicroDsScannerIp
|
TrendMicroDsScannerIp
|
Scanner-IP
|
Scanner-IP-Adresse
|
TrendMicroDsScannerIp=192.168.33.1
|
|
TrendMicroDsZielPortListe
|
TrendMicroDsZielPortListe
|
Zielportliste
|
Gescanntes Port-Liste
|
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
Format des Ereignisprotokolls für Integritätsüberwachung
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|30|Neue Integritätsüberwachungsregel|6|cn1=1
cn1Label=Host-ID dvchost=hostname act=aktualisiert filePath=c:\windows\message.dll
suser=admin sproc=C:\Windows\System32\notepad.exe msg=lastModified,sha1,size
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|2002779|cat=Integritätsüberwachung
name=Microsoft Windows - Systemdatei geändert desc=Microsoft Windows - Systemdatei
geändert sev=8 cn1=37 cn1Label=Host-ID dvchost=www.example.com TrendMicroDsTenant=Primär
TrendMicroDsTenantId=0 act=aktualisiert suser=admin sproc=C:\Windows\System32\notepad.exe
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
Die durch die Integritätsregel erkannte Aktion. Kann enthalten: erstellt, aktualisiert,
gelöscht oder umbenannt.
|
act=erstellt act=gelöscht
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
filePath
|
filePath
|
Zielentität
|
Die Integritätsregel-Zieleinheit. Kann eine Datei oder einen Verzeichnispfad, einen
Registrierungsschlüssel usw. enthalten.
|
filePath=C:\WINDOWS\system32\drivers\etc\hosts
|
|
suser
|
suser
|
Quellbenutzer
|
Konto des Benutzers, der die überwachte Datei geändert hat.
|
suser=WIN-038M7CQDHIN\Administrator
|
|
sproc
|
sproc
|
Quellprozess
|
Der Name des Quellprozesses des Ereignisses.
|
sproc=C:\\Windows\\System32\\notepad.exe
|
|
msg
|
msg
|
Attributänderungen
|
(Nur für die Aktion "umbenannt") Eine Liste der geänderten Attributnamen. Wenn "Über
Manager weiterleiten" ausgewählt ist, enthalten alle Ereignisaktionstypen eine vollständige
Beschreibung.
|
msg=zuletzt geändert,sha1,Größe
|
|
oldfilePath
|
oldfilePath
|
Alte Zieleinheit
|
(Nur für die Aktion "umbenannt") Das vorherige Integritätsregel-Zielobjekt, um die
Umbenennungsaktion vom vorherigen Zielobjekt zum neuen zu erfassen, das im filePath-Feld
aufgezeichnet wird.
|
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=8
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Integritätsmonitor
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Microsoft Windows - Systemdatei geändert
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Die Integritätsüberwachung verwendet den Ereignisnamen als Beschreibung.
|
desc=Microsoft Windows - Systemdatei geändert
|
Format des Eindringschutz-Ereignisprotokolls
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|1001111|Test Intrusion Prevention
Rule|3|cn1=1 cn1Label=Host-ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF
cs3Label=Fragmentierungsbits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP-Flags
cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Paketposition cs5=10 cs5Label=Intrusion
Prevention Stromposition cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|1000940|cat=Intrusion Prevention
name=Sun Java RunTime Environment Multiple Pufferüberlauf Schwachstellen desc=Sun
Java RunTime Environment Multiple Pufferüberlauf Schwachstellen sev=10 cn1=6 cn1Label=Host
ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41
srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128
out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset
cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI
Flags TrendMicroDsPacketData=R0VUIC9zP3...
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
(IPS-Regeln, die vor Deep Security Version 7.5 SP1 geschrieben wurden, konnten zusätzlich
Einfügen-, Ersetzen- und Löschaktionen ausführen. Diese Aktionen werden nicht mehr
ausgeführt. Wenn eine ältere IPS-Regel ausgelöst wird, die weiterhin versucht, diese
Aktionen auszuführen, wird das Ereignis anzeigen, dass die Regel nur im Erkennungsmodus
angewendet wurde.)
|
act=Sperren
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cn3
|
cn3
|
Paketposition zum Eindringschutz
|
Position innerhalb des Datenpakets, das das Ereignis ausgelöst hat.
|
cn3=37
|
|
cn3Label
|
cn3Label
|
Paketposition zum Eindringschutz
|
Der Namensaufkleber für das Feld cn3.
|
cn3Label=Intrusion-Prevention-Paketposition
|
|
cnt
|
cnt
|
Wiederholungsanzahl
|
Die Anzahl der Male, die dieses Ereignis nacheinander wiederholt wurde.
|
cnt=8
|
|
cs1
|
cs1
|
Eindringschutzfilterhinweis
|
(Optional) Ein Notizfeld, das eine kurze Binär- oder Textnotiz enthalten kann, die
mit der Nutzlastdatei verknüpft ist. Wenn der Wert des Notizfeldes aus druckbaren
ASCII-Zeichen besteht, wird er als Text protokolliert, wobei Leerzeichen in Unterstriche
umgewandelt werden. Wenn es Binärdaten enthält, wird es mit Base-64-Codierung protokolliert.
|
cs1=Daten_löschen
|
|
cs1Label
|
cs1Label
|
Hinweis zur Eindringungsprävention
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=Eindringschutzhinweis
|
|
cs2
|
cs2
|
TCP-Flags
|
(Nur für das TCP-Protokoll) Das rohe TCP-Flag-Byte gefolgt von den URG-, ACK-, PSH-,
RST-, SYN- und FIN-Feldern kann vorhanden sein, wenn der TCP-Header gesetzt wurde.
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP-Flags
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=TCP-Flags
|
|
cs3
|
cs3
|
Paketfragmentierungsinformationen
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentierungsbits
|
Der Namensschild für das Feld cs3.
|
cs3Label=Fragmentierungsbits
|
|
cs4
|
cs4
|
ICMP-Typ und Code
|
(Nur für das ICMP-Protokoll) Der ICMP-Typ und der Code werden in ihrer jeweiligen
Reihenfolge durch ein Leerzeichen getrennt gespeichert.
|
cs4=11 0 cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
Der Namensschild für das Feld cs4.
|
cs4Label=ICMP-Typ und Code
|
|
cs5
|
cs5
|
Stream-Position des Eindringschutzes
|
Position innerhalb des Datenstroms, der das Ereignis ausgelöst hat.
|
cs5=128 cs5=20
|
|
cs5Label
|
cs5Label
|
Stream-Position des Eindringschutzes
|
Der Namensaufkleber für das Feld cs5.
|
cs5Label=Intrusion-Prevention-Stream-Position
|
|
cs6
|
cs6
|
Filter-Flags zum Eindringschutz
|
Ein kombinierter Wert, der die Summe der Flag-Werte enthält: 1 - Daten abgeschnitten
- Daten konnten nicht protokolliert werden. 2 - Protokollüberlauf - Protokoll überlief
nach diesem Protokoll. 4 - Unterdrückt - Protokollschwelle nach diesem Protokoll unterdrückt.
8 - Daten vorhanden - Enthält Paketdaten 16 - Referenzdaten - Verweist auf zuvor protokollierte
Daten.
|
Das folgende Beispiel wäre eine summierte Kombination von 1 (Daten abgeschnitten)
und 8 (Daten vorhanden): cs6=9
|
|
cs6Label
|
cs6Label
|
Eindringpräventionskennzeichen
|
Der Namensaufkleber für das Feld cs6.
|
cs6=Filterflags für Eindringungsschutz
|
|
dmac
|
dstMAC
|
MAC-Zieladresse
|
MAC-Adresse der Netzwerkschnittstelle des Zielcomputers.
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
Zielport
|
Anschlussport des Zielcomputers. Gilt nur für TCP- und UDP-Protokoll.
|
dpt=80 dpt=135
|
|
dst
|
dst
|
Ziel-IP-Adresse
|
Ziel-Computer-IP-Adresse.
|
dst=192.168.1.102 dst=10.30.128.2
|
|
xff
|
xff
|
X-Forwarded-For
|
Die IP-Adresse des letzten Hubs im X-Forwarded-For-Header. Dies ist typischerweise
die ursprüngliche IP-Adresse, jenseits des möglicherweise vorhandenen Proxys. Siehe
auch das Feld src. Um xff in Ereignisse einzubeziehen, aktivieren Sie die "1006540
- X-Forwarded-For HTTP-Header-Protokollierung aktivieren" Intrusion Prevention-Regel.
|
xff=192.168.137.1
|
|
in
|
in
|
Eingehende Byte gelesen
|
Anzahl der gelesenen eingehenden Byte. Nur für eingehende Verbindungen anwendbar.
|
in=137 in=21
|
|
aus
|
aus
|
Ausgehende Byte gelesen
|
Anzahl der gelesenen ausgehenden Byte. Gilt nur für ausgehende Verbindungen.
|
out=216 out=13
|
|
proto
|
proto
|
Transportprotokoll
|
Name des verwendeten Verbindungsprotokolls.
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
MAC-Quelladresse
|
Quellnetzwerkschnittstellen-MAC-Adresse des Computers.
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
Quellport
|
Quellcomputer-Verbindungsport. Nur anwendbar auf TCP- und UDP-Protokoll.
|
spt=1032 spt=443
|
|
src
|
src
|
IP-Quelladresse
|
Quellcomputer-IP-Adresse. Dies ist die IP des letzten Proxy-Servers, falls vorhanden,
oder die Client-IP. Siehe auch das xff-Feld.
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet-Rahmentyp
|
Verbindung Ethernet-Rahmentyp.
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Paketdaten
|
Die Paketdaten, dargestellt in Base64.
|
TrendMicroDsPacketData=R0VUIC9zP3...
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. Verwendet
stattdessen dvchost.
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. Verwendet stattdessen das
dvc-Feld.
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=Verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandantenname
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=10
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Eindringungsschutz
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Sun Java RunTime Environment Mehrere Pufferüberlauf-Schwachstellen
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Ereignisse zur Eindringungsprävention verwenden den Ereignisnamen
als Beschreibung.
|
desc=Mehrere Pufferüberlauf-Schwachstellen in der Sun Java Runtime Environment
|
|
cn2
|
cn2
|
Statuscode
|
Statuscode.
|
cn2=-501
|
Format des Protokollinspektionsereignisses
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|3002795|Microsoft Windows-Ereignisse|8|cn1=1
cn1Label=Host-ID dvchost=hostname cs1Label=LI Beschreibung cs1=Mehrere Windows-Anmeldefehler
fname=Security src=127.0.0.1 duser=(kein Benutzer) shost=WIN-RM6HM42G65V msg=WinEvtLog
Security: AUDIT_FAILURE(4625): Microsoft-Windows-Sicherheitsüberprüfung: (kein Benutzer):
keine Domäne: WIN-RM6HM42G65V: Ein Konto konnte sich nicht anmelden. Subjekt: ..
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|3003486|cat=Log-Inspektion
name=Mail Server - MDaemon desc=Serverabschaltung. sev=3 cn1=37 cn1Label=Host-ID dvchost=exch01.example.com
TrendMicroDsTenant=Primär TrendMicroDsTenantId=0 cs1=Serverabschaltung. cs1Label=LI-Beschreibung
fname= shost= msg=
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cs1
|
cs1
|
Spezifische Unterregel
|
Die Log-Inspektionsunterregel, die dieses Ereignis ausgelöst hat.
|
Mehrere Windows-Auditfehler-Ereignisse
|
|
cs1Label
|
cs1Label
|
LI Beschreibung
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=LI Beschreibung
|
|
duser
|
duser
|
Benutzerinformationen
|
(Wenn ein analysierbarer Benutzername existiert) Der Name des Zielbenutzers hat den
Protokolleintrag initiiert.
|
duser=(kein Benutzer) duser=NETZWERKDIENST
|
|
fname
|
fname
|
Zielentität
|
Das Zielobjekt der Protokollinspektionsregel. Kann einen Datei- oder Verzeichnispfad,
einen Registrierungsschlüssel usw. enthalten.
|
fname=Anwendung fname=C:\Programmdateien\CMS\logs\server0.log
|
|
msg
|
msg
|
Details
|
Details des Log-Inspektionsereignisses. Kann eine ausführliche Beschreibung des erkannten
Log-Ereignisses enthalten.
|
msg=WinEvtLog: Anwendung: AUDIT_FEHLER(20187): pgEvent: (kein Benutzer): keine Domäne:
SERVER01: Fehler bei der Remoteanmeldung für Benutzer 'xyz'
|
|
shost
|
shost
|
Quell-Hostname
|
Quell-Computer-Hostname.
|
shost=webserver01.corp.com
|
|
src
|
src
|
IP-Quelladresse
|
IP-Quelladresse des Computers.
|
src=192.168.1.105 src=10.10.251.231
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=3
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Protokollinspektion
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Mail Server - MDaemon
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung.
|
desc=Serverabschaltung
|
Web-Reputation-Ereignisformat
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|<Agent version>|5000000|WebReputation|5|cn1=1
cn1Label=Host-ID dvchost=hostname request=example.com msg=Von Admin gesperrt
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|5000000|cat=Web Reputation
name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host-ID dvchost=exch01.example.com
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm
msg=Verdächtig
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
Anforderung
|
Anforderung
|
Anforderung
|
Die URL der Anforderung.
|
request=http://www.example.com/index.php
|
|
msg
|
msg
|
Nachricht
|
Der Aktionstyp. Mögliche Werte sind: Echtzeit, Geplant und Manuell.
|
msg=Echtzeit msg=Geplant
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Web Reputation
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=WebReputation
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Web Reputation verwendet den Ereignisnamen als Beschreibung.
|
desc=WebReputation
|
Gerätesteuerungsereignisformat
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Sample CEF Log Entry: CEF:0|Trend Micro|Deep Security Agent|50.0.1063|7000000|Gerätesteuerung Gerätesteuerung|6|cn1=1
cn1Label=Host-ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1
device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName
serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain
deviceType=0 permission=0
Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Sample LEEF Log Entry: LEEF:2.0|Trend Micro|Deep Security Agent|50.0.1063|7000000|cat=Gerätesteuerung name=DeviceControl
desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName
TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2
vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName
domainName=computerDomain deviceType=0 permission=0
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Gerät
|
Gerät
|
Gerätename
|
Das Gerät, auf das zugegriffen wurde.
|
gerät=Sandisk_USB
|
|
processName
|
processName
|
Prozessname
|
Der Prozessname.
|
processName=someProcess.exe
|
|
FileName
|
FileName
|
Dateiname
|
Der Dateiname, auf den zugegriffen wurde.
|
fileName=E:\somepath\a.exe
|
|
vendor
|
vendor
|
Anbietername
|
Der Herstellername des Geräts.
|
anbieter=sandisk
|
|
seriell
|
seriell
|
Seriennummer
|
Die Seriennummer des Geräts.
|
serial=aaa-bbb-ccc
|
|
model
|
model
|
Modell
|
Der Produktname des Geräts.
|
model=A270_USB
|
|
computerName
|
computerName
|
Computername
|
Der Computername.
|
computerName=Jonh_Computer
|
|
domainName
|
domainName
|
Domänenname
|
Der Domänenname.
|
domainName=FirmenDomain
|
|
deviceType
|
deviceType
|
Gerätetyp
|
Der Gerätetyp des Geräts USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2)
|
deviceType=1
|
|
Berechtigung
|
Berechtigung
|
Berechtigung
|
Der Sperrgrund des Zugriffs SPERREN(0) SCHREIBGESCHÜTZT(2)
|
Berechtigung=0
|