 |
HinweisWenn ein Attack Discovery-Erkennungsprotokoll sich auf mehr als 4 Objekte bezieht,
leitet Apex Central nur die ersten 4 Objekte weiter.
|
|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Appliance-Hersteller
|
Trend Micro
|
|
Header (pname)
|
Appliance-Produkt
|
Apex Central
|
|
Header (pver)
|
Appliance-Version
|
2019
|
|
Header (eventid)
|
Ereignis-ID
|
700220
|
|
Header (eventName)
|
Protokollname
|
Erkennungen von Angriffsentdeckungen
|
|
Header (severity)
|
Schweregrad
|
3
|
|
deviceExternalId
|
ID
|
Beispiel:
38 |
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
dhost
|
Hostname des Endpunkts
|
Beispiel:
ApexOneClient01 |
|
dst
|
Client-IPv4-Adresse
|
Beispiel:
10.0.8.20 |
|
C6a3
|
Client-IPv6-Adresse
|
Beispiel:
fd96:7521:9502:6:b5b0:b2b5:4173:3f5d |
|
duser
|
Benutzername
|
Beispiel:
Admin004 |
|
customerExternalID
|
Instanz-ID
|
Beispiel:
8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 |
|
cn1Label
|
Entsprechende Bezeichnung für das Feld "cn1"
|
SLF_Risikostufe |
|
cn1
|
Risikostufe
|
Beispiel:
0
|
|
cn2Label
|
Entsprechende Bezeichnung für das Feld "cn2"
|
SLF_Musternummer |
|
cn2
|
Muster Nummer
|
Beispiel:
30.1012.00 |
|
cs1Label
|
Entsprechende Bezeichnung für das Feld "cs1"
|
SLF_RuleID |
|
cs1
|
Regel-ID
|
Beispiel:
powershell Ausdruck aufrufen |
|
cat
|
Kategorie-ID
|
Beispiel:
Einstiegspunkt |
|
cs2Label
|
Entsprechende Bezeichnung für das Feld "cs2"
|
SLF_ADEObjectGroup_Info_1 |
|
cs2
|
Attack Discovery Objektinformationen
|
Beispiel:
process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs3Label
|
Entsprechende Bezeichnung für das Feld "cs3"
|
SLF_ADEObjectGroup_Info_2 |
|
cs3
|
Attack Discovery Objektinformationen
|
Beispiel:
process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs4Label
|
Entsprechende Bezeichnung für das Feld "cs4"
|
SLF_ADEObjectGroup_Info_3 |
|
cs4
|
Attack Discovery Objektinformationen
|
Beispiel:
process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs5Label
|
Entsprechende Bezeichnung für das Feld "cs5"
|
SLF_ADEObjectGroup_Info_4 |
|
cs5
|
Attack Discovery Objektinformationen
|
Beispiel:
process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
deviceNtDomain
|
Active Directory-Domäne
|
Beispiel: APEXTMCM
|
|
dntdom
|
Apex One Domänenhierarchie
|
Beispiel: OSCEDomain1
|
|
TMCMLogDetectedHost
|
Endpunktname, an dem das Protokollereignis aufgetreten ist
|
Beispiel: Maschinenhostname
|
|
TMCMLogDetectedIP
|
IP-Adresse, bei der das Protokollereignis aufgetreten ist
|
Beispiel: 10.1.2.3
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
Endpunkt-Betriebssystem
|
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery
Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+
00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern
alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL
evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe
l=SLF_RuleID cs1=powershell invoke expression cat=point of e
ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - code9.
exe - {USER: administrator09} deviceNtDomain=APEXTMCM dntdom
=OSCEDomain1 TMCMLogDetectedHost=VCAC-Window-331 TMCMLogDete
ctedIP=10.201.86.150 ApexCentralHost=TW-CHRIS-W2019devicePay
loadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatfo
rm=Windows 7 6.1 (Build 7601) Service Pack 1