|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Appliance-Hersteller
|
Trend Micro
|
|
Header (pname)
|
Appliance-Produkt
|
Apex Central
|
|
Header (pver)
|
Appliance-Version
|
2019
|
|
Header (eventid)
|
Ereignis-ID
|
700106
|
|
Header (eventName)
|
Protokollname
|
Prävention vor Datenverlust
|
|
Header (severity)
|
Schweregrad
|
3
|
|
cs1Label
|
Entsprechende Bezeichnung für das Feld
cs1 |
'Richtlinien-GUID'
|
|
cs1
|
Richtlinien-GUID
|
Beispiel: 'FAF492CF-164C-4672-9A79-F1AB9CB288A3'
|
|
cn1Label
|
Entsprechende Bezeichnung für das Feld
cn1 |
'Produkt'
|
|
cn1
|
Wert des Produkttyps
|
Beispiel: '15'
|
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
src
|
IP-Adresse des Quellhosts
|
Beispiel: '10.0.57.160'
|
|
smac
|
MAC-Adresse des Quellhosts
|
Beispiel: '74-27-00-0C-65-E7'
|
|
shost
|
Name des Quellhosts
|
Beispiel: 'shost1'
|
|
cs4Label
|
Entsprechende Bezeichnung für das Feld
cs4 |
'Incident_Source_(AD_Account)'
|
|
cs4
|
Der Benutzername mit Verstoß
|
Beispiel: 'Trend'
|
|
suser
|
E-Mail-Absender
|
Beispiel: 'sender@example.com'
|
|
Anforderung
|
Die URL, auf die zugegriffen wurde
|
Beispiel: 'https://example.com/api/content'
|
|
duser
|
Kommagetrennte (,) Liste der Empfänger
|
Beispiel:
user1@example.com;user2@example.com; |
|
msg
|
Betreff
|
Beispiel:
Sample,20171017 |
|
Dateipfad
|
Dateipfad
|
Beispiel:
D:\\Windows Live Mail\\Storage Folders\\Imported Fo e52\\Local Folders\\Sent Items\\Archive Aft de1\\Clients,Adv 22b\\ |
|
fname
|
Name der Auslöserdatei
|
Beispiel:
2B43363A-000000A4.eml |
|
fsize
|
Dateigröße in Byte
|
Beispiel:
3 |
|
cs5Label
|
Entsprechende Bezeichnung für das Feld
cs5 |
'Regel'
|
|
cs5
|
Regelname
|
Beispiel: 'SAMPLE RULE SET'
|
|
cs6Label
|
Entsprechende Bezeichnung für das Feld
cs6 |
Vorlage |
|
cs6
|
Vorlagenname
|
Beispiel:
Apex One-Richtlinie |
|
cn3Label
|
Entsprechende Bezeichnung für das Feld
cn3 |
Kanal |
|
cn3
|
Kanaltyp
|
Beispiel:
3 Weitere Informationen finden Sie unter Kanalzuordnungstabelle.
|
|
cn2Label
|
Entsprechende Bezeichnung für das Feld
cn2 |
Aktion |
|
cn2
|
Aktionsergebnis
|
Beispiel:
4 Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionsergebnisse.
|
|
cs2Label
|
Entsprechende Bezeichnung für das Feld
cs2 |
Richtlinie |
|
cs2
|
Name der Richtlinie
|
Beispiel:
OfficeScan |
|
cs3Label
|
Entsprechende Bezeichnung für das Feld
cs3 |
Product_Entity/Endpoint |
|
cs3
|
Hostname des Endpunkts
|
Beispiel:
Sample_Host |
|
dvchost
|
Hostname des Servers
|
Beispiel:
localhost |
|
deviceFacility
|
Produktname
|
Beispiel:
Apex One |
|
deviceNtDomain
|
Active Directory-Domäne
|
Beispiel: APEXTMCM
|
|
dntdom
|
Apex One Domänenhierarchie
|
Beispiel: OSCEDomain1
|
|
externalId
|
Ereignisprotokoll-ID
|
Beispiel:
101 |
|
cfp1Label
|
Entsprechende Bezeichnung für das Feld
cfp1Label |
ForensicFileAvailable |
|
cfp1
|
Gibt an, ob die forensic-Datei heruntergeladen werden kann
|
|
|
TMCMLogDetectedHost
|
Endpunktname, an dem das Protokollereignis aufgetreten ist
|
Beispiel: Maschinenhostname
|
|
TMCMLogDetectedIP
|
IP-Adresse, bei der das Protokollereignis aufgetreten ist
|
Beispiel: 10.1.2.3
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
Endpunkt-Betriebssystem
|
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|700106|Data Loss Prevent ion|3|cs3Label=Product_Entity/Endpoint cs3=Sample_Host dvc host=Sampledvchost cs2Label=Policy cs2=N/A cn1Label=Product cn1=15 rt=Oct 13 2017 02:54:04 GMT+00:00 src=10.0.9.34 smac= 34-E6-D7-84-BC-7F shost=shost1 cs4Label=Incident_Source_(AD_ Account) cs4=12467 filePath=D:\\2. DRIVER\\drivers WIN7\\Dri vers\\DP_CardReader_14032.7z\\O2Micro\\FORCED\\6x86\\ fname= O2MDFvst.INF cs5Label=Rule cs5=SAMPLE RULE SET cs6Label=Temp late cs6=Apex One policy cn3Label=Channel cn3=0 cn2Label=Act ion cn2=4 deviceFacility=Apex One deviceNtDomain=APEXTMCM dn tdom=OSCEDomain1 externalId=101 cfp1Label=ForensicFileAvaila ble cfp1=0 dvchost=localhost TMCMLogDetectedHost=ApexOneClie nt01 TMCMLogDetectedIP=10.201.86.187 ApexCentralHost=TW-CHRI S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1