Ansichten:

CEF – Protokoll zu Funden

CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF: 0
Header (vendor)
Appliance-Hersteller
Trend Micro
Header (pname)
Appliance-Produkt
TMES
Header (pver)
Appliance-Version
Beispiel: 1.0.0.0
Header (eventid)
Signatur-ID
100101
Header (eventName)
Beschreibung
Erkennung
Header (severity)
E-Mail-Schweregrad
6
rt
Zeitpunkt der Protokollerstellung
Beispiel: 2019-12-10T08:26:46.728Z
cs1Label
Ereignistyp
eventType
cs1
Ereignistyp
Beispiel: Ransomware
cs2Label
Domänenname
domainName
cs2
Domänenname
Beispiel: beispiel1.com
suser
E-Mail-Absender
Beispiel: user1@example1.com
duser
E-Mail-Empfänger
Beispiel: user2@example2.com
cs3Label
Richtung der E-Mail-Nachricht
Richtung
cs3
Richtung der E-Mail-Nachricht
  • eingehend
  • Ausgehend
cs4Label
Eindeutige Nachrichtenkennung
messageId
cs4
Eindeutige Nachrichtenkennung
Beispiel: 201605181642138223747@trend.com
msg
E-Mail-Betreff
Beispiel: hallo
cn1Label
E-Mail-Nachrichtengröße
Nachrichtengröße
cn1
E-Mail-Nachrichtengröße
Beispiel: 1809
cs5Label
Analyse des verletzten Ereignisses
policyName
cs5
Analyse des verletzten Ereignisses
Beispiel: Spam
cs6Label
Verletzte Ereignisdetails
Details
cs6
Verletzte Ereignisdetails
Beispiel: {"threatNames":"Troj", "fileInfo":[{"fileName":"file1","fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e", "threatName":"Troj"}]}
act
Aktion im Ereignisfall
  • Quarantäne
  • Umgehen
  • Anhang löschen
  • Stempel einfügen
  • Betreff kennzeichnen
  • Empfänger ändern
  • Nachricht löschen
  • Benachrichtigung senden
  • Säubern
  • BCC
  • Zustellen
  • X-Kopfzeile einfügen
  • Verschlüsselung läuft
Protokollbeispiel:
CEF:0|Trend Micro|TMES|1.0.0.0|100101|DETECTION|6|rt=2019-12-10T08:26:46.728Z 
cs1Label=eventType cs1=virus cs2Label=domainName cs2=example1.com 
suser=user1@example1.com duser=user2@example2.com cs3Label=direction
cs3=incoming cs4Label=messageId cs4=201605181642138223747@trend.com 
msg=test sample cn1Label=messageSize cn1=1809 cs5Label=policyName 
cs5=Test Rule act=Quarantine cs6Label=details cs6={"threatNames":"Troj",
"fileInfo":[{"fileName":"file1",
"fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]}