|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Produktanbieter
|
Trend Micro
|
|
Header (pname)
|
Produktname
|
Apex Central
|
|
Header (pver)
|
Produktversion
|
2019
|
|
Header (eventid)
|
PML:Aktionsergebnis
|
PML:Datei bereinigt
|
|
Header (eventName)
|
Erkennungs-Name
|
virusa
|
|
Header (severity)
|
Schweregrad
|
3
|
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
dvchost
|
Produktserver
|
Beispiel:
Sample_Host |
|
cn1Label
|
Entsprechende Bezeichnung für das Feld
cn1 |
ThreatType |
|
cn1
|
Wahrscheinliche Bedrohungsart
|
Beispiel:
35143 Weitere Informationen finden Sie unter Zuordnungstabelle für Bedrohungstypen.
|
|
cs2Label
|
Entsprechende Bezeichnung für das Feld
cs2 |
Erkennungsname |
|
cs2
|
Sicherheitsbedrohung
|
Beispiel:
Troj.Win32.TRX.XXPE002FF017 |
|
shost
|
Infizierter Endpunkt
|
Beispiel:
10.0.0.1 |
|
suser
|
Benutzer anmelden
|
Beispiel:
TREND\\Benutzer |
|
cn2Label
|
Entsprechende Bezeichnung für das Feld
cn2 |
Erkennungstyp |
|
cn2
|
Erkennungstyp
|
Beispiel:
0
|
|
filePath
|
Dateipfad
|
Beispiel: 'D:\\'
|
|
fname
|
Dateiname
|
Beispiel: 'ALCORMP.EXE'
|
|
deviceCustomDate1
|
Zeitpunkt der Dateierstellung
|
Beispiel:
2017-04-26 05:53:27.000 |
|
sproc
|
Systemprozess
|
Beispiel:
notepad.exe |
|
cn4Label
|
Entsprechende Bezeichnung für das Feld
cn4 |
ProzessBefehlszeile |
|
cs4
|
Prozessbefehl
|
Beispiel:
notepad.exe |
|
duser
|
Besitzer des Prozesses
|
Beispiel:
Benutzer1 |
|
app
|
Angriffskanal
|
Beispiel:
10
|
|
cs3Label
|
Entsprechende Bezeichnung für das Feld
cs3 |
Infektionsort |
|
cs3
|
Infektionsquelle
|
Beispiel:
http://10.0.0.1/ |
|
dst
|
Produkt/IPv4-Adresse des Endpunkts
|
Beispiel:
10.0.17.6 |
|
c6a3Label
|
Entsprechende Bezeichnung für das Feld
c6a3 |
IP-Adresse des Produkts/Endpunkts |
|
c6a3
|
Produkt/IPv6-Adresse des Endpunkts
|
Beispiel:
fd66:5168:9882:6:b5b0:b2b5:4173:3f5d |
|
cn3Label
|
Entsprechende Bezeichnung für das Feld
cn3 |
Vertrauen |
|
cn3
|
Bedrohungsprobabilität
|
Beispiel:
82 |
|
act
|
Aktionsergebnis
|
Beispiel:
21 Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionen.
|
|
filehash
|
SHA-1-Datei
|
Beispiel:
52c17c785b45ee961f68fb17744276076f383085 |
|
dhost
|
Produktentität/Endpunkt
|
Beispiel:
dhost1 |
|
deviceExternalId
|
Laufende Protokollnummer
|
Beispiel:
100 |
|
deviceFacility
|
Produkt
|
Beispiel:
Apex One |
|
Grund
|
Kritische Bedrohungsart
|
Beispiel:
E
|
|
deviceNtDomain
|
Active Directory-Domäne
|
Beispiel: APEXTMCM
|
|
dntdom
|
Apex One Domänenhierarchie
|
Beispiel: OSCEDomain1
|
|
TMCMLogDetectedHost
|
Endpunktname, an dem das Protokollereignis aufgetreten ist
|
Beispiel: Maschinenhostname
|
|
TMCMLogDetectedIP
|
IP-Adresse, bei der das Protokollereignis aufgetreten ist
|
Beispiel: 10.1.2.3
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
Endpunkt-Betriebssystem
|
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|Detecti on01|3|deviceExternalId=1 rt=Dec 01 2018 16:01:00 GMT+00:00 deviceFacility=15 dvchost=OSCE01 cn1Label=ThreatType cn1=1 c s2Label=DetectionName cs2=Detection01 shost=10.0.0.1 suser=S ample_Domain\\Sample_User cn2Label=DetectionType cn2=0 fileP ath=C:\\test01\\aaa.exe fname=aaa.exe deviceCustomDate1Label =FileCreationDate deviceCustomDate1=Dec 02 2018 00:01:00 GMT +00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4=not epad.exe -test duser=admin01 app=1 cs3Label=InfectionLocatio n cs3=https://10.1.1.1 dst=80.1.1.1 cn3Label=Confidence cn3= 81 act=21 fileHash=177750B65A21A9043105FD0820B85B58CF148A01 dhost=OSCEClient11 reason=E deviceNtDomain=APEXTMCM dntdom=O SCEDomain1 TMCMLogDetectedHost=OSCEClient11 TMCMLogDetectedI P=80.1.1.1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C 00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windo ws 7 6.1 (Build 7601) Service Pack 1