Ansichten:
CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF:0
Header (vendor)
Appliance-Hersteller
Trend Micro
Header (pname)
Appliance-Produkt
Apex Central
Header (pver)
Appliance-Version
2019
Header (eventid)
NCIE:Aktion
NCIE:Übergehen
Header (eventName)
Name
Verdächtige Verbindung
Header (severity)
Schweregrad
3
deviceExternalId
ID
Beispiel: 1
cat
Protokolltyp
Beispiel: 1756
deviceFacility
Produkt
Beispiel: Apex One
rt
Ereignisauslösezeit in UTC
Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
deviceProcessName
Prozess
Beispiel: C:\\Windows\\system32\\svchost-1.exe
src
Lokale IPv4-Adresse
Beispiel: 10.201.86.152
c6a2Label
Entsprechende Bezeichnung für das Feld c6a2
Beispiel: SLF_SourceIP
c6a2
Lokale IPv6-Adresse
Beispiel: 2620:101:4003:7a0:fd4b:52ed:53bd:ae3d
spt
Lokale IP-Adresse – Port
Beispiel: 54594
dst
Remote IPv4-Adresse
Beispiel: 10.69.81.64
c6a3Label
Entsprechende Bezeichnung für das Feld c6a3
Beispiel: SLF_DestinationIP
c6a3
Remote IPv6-Adresse
Beispiel: fe80::38ca:cd15:443c:40bb%11
dpt
Remote-IP-Adresse – Port
Beispiel: 80
act
Aktion
Beispiel: Übergeben
  • 0: Unbekannt
  • 1: Übergehen
  • 2: Sperren
  • 3: Überwachen
  • 4: Löschen
  • 5: Quarantäne
  • 6: Warnung senden
  • 7: Warnung senden und fortfahren
  • 8: Überschreiben
Geräterichtung
Richtung des Datenverkehrs
Beispiel: Eingehend
  • 0: Keine
  • 1: Eingehend
  • 2: Ausgehend
cn1Label
Entsprechende Bezeichnung für das Feld cn1
Beispiel: SLF_PatternType
cn1
Pattern-Typ
Beispiel: 2
  • 0: Allgemeines C&C-Pattern
  • 1: Relevanzregeln
  • 2: Benutzerdefinierte Sperrliste
cs2Label
Entsprechende Bezeichnung für das Feld cs2
Beispiel: NCIE_ThreatName
cs2
Bedrohungsname
Beispiel: Malicious_identified_CnC_querying_on_UDP_detected
Grund
Kritische Bedrohungsart
Beispiel: E
  • A: Bekannte erweiterte anhaltende Bedrohung (Advanced Persistent Threat, APT)
  • B: Social-Engineering-Angriff
  • C: Sicherheitslückenangriff
  • D: Laterale Bewegung
  • E: Unbekannte Bedrohungen
  • F: C&C-Callback
  • G: Ransomware
dvchost
Host-Name
Beispiel: "localhost"
deviceNtDomain
Active Directory-Domäne
Beispiel: APEXTMCM
dntdom
Apex One Domänenhierarchie
Beispiel: OSCEDomain1
TMCMLogDetectedHost
Endpunktname, an dem das Protokollereignis aufgetreten ist
Beispiel: Maschinenhostname
TMCMLogDetectedIP
IP-Adresse, bei der das Protokollereignis aufgetreten ist
Beispiel: 10.1.2.3
ApexCentralHost
Apex Central Host-Name
Beispiel: TW-CHRIS-W2019
devicePayloadId
Eindeutige Nachrichten-GUID
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
Endpunkt-Betriebssystem
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|NCIE:Pass|Suspicious 
Connection|3|deviceExternalId=1 rt=Oct 11 2017 06:34:06 GMT+0
0:00 cat=1756 deviceFacility=Apex One deviceProcessName=C:\\W
indows\\system32\\svchost-1.exe act=Pass src=10.201.86.152 ds
t=10.69.81.64 spt=54594 dpt=80 deviceDirection=None cn1Label=
SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Malicious_
identified_CnC_querying_on_UDP_detected reason=F deviceNtDoma
in=APEXTMCM dntdom=OSCEDomain1 dvchost=shost1 TMCMLogDetected
Host=shost1 TMCMLogDetectedIP=10.1.2.3ApexCentralHost=TW-CHRI
S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1
Keywords: Prüfung der Netzwerkinhalte