|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Produktanbieter
|
Trend Micro
|
|
Header (pname)
|
Produktname
|
Apex Central
|
|
Header (pver)
|
Produktversion
|
2019
|
|
Header (eventid)
|
Ereignis-ID
|
1745
|
|
Header (eventName)
|
Protokollname
|
Produktprüfungsereignisse
|
|
Header (severity)
|
Schweregrad
|
3
|
|
cat
|
Protokolltyp
|
1745
|
|
deviceFacility
|
Verwaltetes Produkt
|
Beispiel:
Apex One |
|
dvchost
|
Anzeigename des verwalteten Endpunkts
|
Beispiel:
localhost |
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
cn1Label
|
Entsprechende Bezeichnung für das Feld
cn1 |
SLF_KategorieID
|
|
cn1
|
Kategorie-ID
|
Beispiel:
536.870.912 |
|
cn2Label
|
Entsprechende Bezeichnung für das Feld "cn2"
|
SLF_SeverityLevel
|
|
cn2
|
Schweregrad
|
Beispiel:
4
|
|
suser
|
Der Name des Benutzers, in dessen Auftrag das Ereignis aufgetreten ist
|
Beispiel: "Administrator"
|
|
deviceNtDomain
|
Active Directory-Domäne
|
Beispiel: APEXTMCM
|
|
dntdom
|
Apex One Domänenhierarchie
|
Beispiel: OSCEDomain1
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|Delete|1009490 - Block A dministrative Share - 1 (ATT&CK T1077,T1105)|3|rt=Apr 20 202 0 03:33:15 GMT+00:00 dvchost=OSCEClient22 deviceFacility=Ape x One act=Delete, src=10.1.1.8 dst=80.1.1.8 smac=54-BF-64-84 -7F-08 spt=88 dmac=54-BF-64-84-7F-18 dpt=448 cn2Label=SLF_Is DetectionOnly cn2=1 deviceDirection=Outbound cn3Label=SLF_Ra nk cn3=100 cn4Label=SLF_SeverityCode cn4=4 proto=10008 cs2La bel=SLF_ConnectionType cs2=Suspicious Client Application Act ivity cn1Label=SLF_RuleID cn1=1009490 cs1Label=SLF_RuleConte nt cs1=1009490 - Block Administrative Share - 1 (ATT&CK T107 7,T1105) cnt=1 deviceNtDomain=APEXTMCM dntdom=OSCEDomain1