Ansichten:
CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF:0
Header (vendor)
Produktanbieter
Trend Micro
Header (pname)
Produktname
Apex Central
Header (pver)
Produktversion
2019
Header (eventid)
Ereignis-ID
Protokoll
Header (eventName)
Protokollname
Eindringschutz
Header (severity)
Schweregrad
3
dvchost
Anzeigename des verwalteten Endpunkts
Beispiel: localhost
rt
Ereignisauslösezeit in UTC
Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
src
Quell-IPv4-Adresse
Beispiel: "10.1.152.12"
c6a2Label
Entsprechende Bezeichnung für das Feld "c6a2"
SLF_SourceIPv6
c6a2
Quell-IPv6-Adresse
"2001:b011:1004:325b:8db7:6ca9:8fc5:321a"
smac
MAC-Adresse der Quelle
Beispiel: "18:31:BF:4F:30:DD"
spt
Quellport
Beispiel: "60886"
dst
Ziel-IPv4-Adresse
Beispiel: "10.1.153.151"
c6a3Label
Entsprechende Bezeichnung für das Feld "c6a3"
SLF_DestinationIPv6
c6a3
Ziel-IPv6-Adresse
Beispiel: "2001:b011:1004:325b:8db7:6ca9:8fc5:654a"
dmac
MAC-Zieladresse des Hosts
Beispiel: "D0:17:C2:95:ED:71"
dpt
Zielport
Beispiel: "139"
cn2Label
Entsprechende Bezeichnung für das Feld "cn2"
Modus
cn2
Gibt an, ob das System im "Nur-Erkennung"-Modus ist
Beispiel: "0"
  • 0 oder NULL = Nein
  • 1 = Ja
act
Aktion
Beispiel: "PROTOKOLL"
SLF_ACTION Karten:
  • 0 = UNBEKANNT
  • 3 = LÖSCHEN
  • 6 = PROTOKOLL
  • 10 = EINFÜGEN/ERSETZEN
  • 13 = SPERREN
  • 257 = ZURÜCKSETZEN
Geräterichtung
Eingehende oder ausgehende Richtung
Beispiel: "Apex One"
cn3Label
Entsprechende Bezeichnung für das Feld "cn3"
Priorität
cn3
Gewichtete Priorität des Vorfalls
Beispiel: "3"
Berechnet aus Schweregrad x Asset-Wert
cn4Label
Entsprechende Bezeichnung für das Feld "cn4"
Schweregrad
cn4
Der vom System definierte Schweregradwert des Vorfalls
Beispiel: "1"
  • 1 = NIEDRIG
  • 2 = Mittel
  • 3 = HOCH
  • 4 = KRITISCH
proto
Das ausgenutzte Netzwerkprotokoll
Beispiel: "10009"
  • 28 = ICMP
  • 46 = ICMPv6
  • 10003 = TCP
  • 10004 = UDP
  • 10005 = IGMP
  • 10006 = GGP
  • 10007 = PUP
  • 10008 = IDP
  • 10009 = ND
  • 10010 = ROH
cs2Label
Entsprechende Bezeichnung für das Feld "cs2"
Anwendungstyp
cs2
Der Name der Netzwerkanwendung
Beispiel: "DCERPC-Dienste"
cn1Label
Entsprechende Bezeichnung für das Feld "cn1"
Regel
cn1
Die ID der Inspektionsregel
Beispiel: "1005448"
cs1Label
Entsprechende Bezeichnung für das Feld "cs1"
Grund/Regel
cs1
Die Zeichenfolgenliterale der Regel-ID und Beschreibung
Beispiel: "1005448 - SMB Null-Sitzung erkannt - 1"
cnt
Aggregierte Anzahl
Beispiel: "1"
deviceFacility
Produkt
Beispiel: "Apex One"
deviceNtDomain
Active Directory-Domäne
Beispiel: APEXTMCM
dntdom
Apex One Domänenhierarchie
Beispiel: OSCEDomain1
TMCMLogDetectedHost
Endpunktname, an dem das Protokollereignis aufgetreten ist
Beispiel: Maschinenhostname
TMCMLogDetectedIP
IP-Adresse, bei der das Protokollereignis aufgetreten ist
Beispiel: 10.1.2.3
ApexCentralHost
Apex Central Host-Name
Beispiel: TW-CHRIS-W2019
devicePayloadId
Eindeutige Nachrichten-GUID
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
Endpunkt-Betriebssystem
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|Log|Intrusion Prevention|3|
rt=Apr 20 2020 03:33:20 GMT+00:00 dvchost=OSCEClient23 device
Facility=Apex One act=Log,src=10.1.1.9 dst=80.1.1.9 smac=54-B
F-64-84-7F-09 spt=89 dmac=54-BF-64-84-7F-19 dpt=449 cn2Label=
Mode cn2=0 deviceDirection=Inbound cn3Label=Priority cn3=1 cn
4Label=Severity cn4=1 proto=10009 cs2Label=Application_Type c
s2=N/A cn1Label=Rule cn1=1009549 cs1Label=Reason/Rule cs1=100
9549 - Detected Terminal Services (RDP) Server Traffic - 1 (A
TT&CK T1015,T1043,T1076,T1048,T1032,T1071) cnt=1 deviceNtDoma
in=APEXTMCM dntdom=OSCEDomain1 deviceFacility=Apex One TMCMLo
gDetectedHost=shost1 TMCMLogDetectedIP=10.1.1.9 devicePayload
Id=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=W
indows 7 6.1 (Build 7601) Service Pack 1
Keywords: Protokolle zur Eindringungsprävention