CEF – Verhaltensüberwachungsprotokolle | Trend Micro Service Central

Ansichten:

CEF-Schlüssel	Beschreibung	Wert
Header (logVer)	CEF-Formatversion	CEF:0
Header (vendor)	Produktanbieter	Trend Micro
Header (pname)	Produktname	Apex Central
Header (pver)	Produktversion	2019
Header (eventid)	Verhaltensüberwachung Richtlinien-ID	BM:1000
Header (eventName)	Protokollname	Verhaltensüberwachung
Header (severity)	Schweregrad	3
rt	Ereignisauslösezeit in UTC	Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
dvchost	Host-Name	Beispiel: localhost
cs2Label	Entsprechende Bezeichnung für das Feld cs2	Richtlinie
cs2	Richtlinientyp	Infizierte ausführbare Datei Neues Startprogramm Änderung der Hostdatei Einbringen einer Programmbibliothek Neues Plug-in für den Internet Explorer Einstellungsänderung in Internet Explorer Shell-Änderung Neuer Dienst Änderung der Sicherheitsrichtlinien Änderung der Firewall-Richtlinie Änderung von Systemdateien Duplikat-Systemdatei Layered Service Provider Änderung an Systemprozessen Verdächtiges Verhalten Neu erkannte Programme Nicht autorisierte Dateiverschlüsselung Analyse des Bedrohungsverhaltens Benutzerdefinierte Richtlinie
sproc	Ziel des Ereignisses	Beispiel: C:\\Windows\\SysWOW64\\rundll32.exe
cs3Label	Entsprechende Bezeichnung für das Feld cs3	Ereignistyp
cs3	Ereignistyp	Prozess Image des Vorgangs Registrierung Dateisystem Treiber SDT System-API Benutzermodus Schwachstelle Alle
cs4Label	Entsprechende Bezeichnung für das Feld cs4	Vorgang
cs4	Der Vorgang, der vom Ziel des Ereignisses ausgeführt werden soll	Prozess erstellen Öffnen Beenden Löschen Schreiben Zugreifen Datei erstellen Schließen Ausführen Aufrufen Schwachstelle Nicht verarbeitete Aktion
cs5Label	Entsprechende Bezeichnung für das Feld cs5	Risikostufe
cs5	Risikostufe	Beispiel: 1 0: Niedrig 1: Hoch
TMCMLogZiel	Zielhost	Beispiel: HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+
act	Übersetzte Aktion	Zulassen Fragen Verweigern Beenden Schreibgeschützt Nur Lesen/Schreiben Nur Lesen/Ausführen Feedback Säubern Unbekannt Bewerten Beendet. Dateien wurden wiederhergestellt. Beendet. Bestimmte Dateien wurden nicht wiederhergestellt. Beendet. Dateien wurden nicht wiederhergestellt. Beendet. Ergebnis des Neustarts: Dateien wurden wiederhergestellt. Beendet: Ergebnis des Neustarts: Bestimmte Dateien wurden nicht wiederhergestellt. Beendet: Ergebnis des Neustarts: Dateien wurden nicht wiederhergestellt.
shost	Quellhost (Endpunkt)	Beispiel: shost1
src	IP-Adresse des Quellhosts	Beispiel: '10.0.147.105'
deviceFacility	Produkt	Beispiel: Apex One
Grund	Kritische Bedrohungsart	Beispiel: E A: Bekannte erweiterte anhaltende Bedrohung (Advanced Persistent Threat, APT) B: Social-Engineering-Angriff C: Sicherheitslückenangriff D: Laterale Bewegung E: Unbekannte Bedrohungen F: C&C-Callback G: Ransomware
deviceNtDomain	Active Directory-Domäne	Beispiel: APEXTMCM
dntdom	Apex One Domänenhierarchie	Beispiel: OSCEDomain1
TMCMLogDetectedHost	Endpunktname, an dem das Protokollereignis aufgetreten ist	Beispiel: Maschinenhostname
TMCMLogDetectedIP	IP-Adresse, bei der das Protokollereignis aufgetreten ist	Beispiel: 10.1.2.3
ApexCentralHost	Apex Central Host-Name	Beispiel: TW-CHRIS-W2019
devicePayloadId	Eindeutige Nachrichten-GUID	Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform	Endpunkt-Betriebssystem	Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1

Protokollbeispiel:

CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor
ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs
5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior 
Analysis sproc=subject cs3Label=Event_Type cs3=File system 
TMCMLogTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVer
sion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create Proces
s shost=shost1 src=10.0.76.40 deviceFacility=Apex One reason
=G deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetecte
dHost=shost1 TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW
-CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F
-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service 
Pack 1

Keywords: Verhaltensüberwachung