Ansichten:
Hinweis
Hinweis
Sandbox-Erkennungsprotokolle werden in der Apex Central-Konsole als Virtual Analyzer-Erkennungen bezeichnet.
CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF:0
Header (vendor)
Appliance-Hersteller
Trend Micro
Header (pname)
Appliance-Produkt
Apex Central
Header (pver)
Appliance-Version
2019
Header (eventid)
Geräteereignis-Klassen-ID
VAD
Header (eventName)
Ereignisname
Erkennungs-Name des Virtual Analyzer
Header (severity)
Schweregrad
3
deviceExternalId
ID
Beispiel: 2
rt
Ereignisauslösezeit in UTC
Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
deviceFacility
Produkt
Beispiel: Apex One
dvchost
Servername
Beispiel: OSCE01
dhost
Endpunktname
Beispiel: ClientA isolieren
dst
IPv4-Adresse des Endpunkts
Beispiel: 10.0.17.6
c6a3
IPv6-Adresse des Endpunkts
Beispiel: fe80::38ca:cd15:443c:40bb%11
app
Eingangskanal
Beispiel: 0
Weitere Informationen finden Sie unter Protokollzuordnungstabelle.
sourceServiceName
Adresse
Beispiel: Test1@tmcm.extbeta.com
destinationServiceName
Ziel
Beispiel: Test2@tmcm.extbeta.com;Test3@tmcm.extbeta.com
sproc
Prozessname
Beispiel: VA
fileHash
SHA-1-Datei-Hash
Beispiel: D6712CAE5EC821F910E14945153AE7871AA536CA
fname
Dateiname
Beispiel: C:\\\\QA_Log.zip
Anforderung
URL
Beispiel: http://127.1.1.1
cs1
Der Name der Sicherheitsbedrohung, die von Virtual Analyzer erkannt wurde
Beispiel: VAN_RANSOMWARE.umxxhelloransom_abc
cn1
Zeigt die durch Virtual Analyzer zugewiesene Risikostufe an
Beispiel: 0
  • 0: Kein Risiko
  • 1: Niedriges Risiko
  • 2: Mittleres Risiko
  • 3: Hohes Risiko
  • 9999: Unbekannt
cs2
Zeigt den Typ der Sicherheitsbedrohung an
Beispiel: Anti-Sicherheit, Selbstschutz
cs3
Cloud-Speicher-Anbieter
Beispiel: Google Drive
  • Dropbox
  • Box
  • Google Drive
  • Microsoft OneDrive
  • SugarSync
  • Hightail
  • Evernote
  • Microsoft Exchange Online
  • Microsoft SharePoint Online
  • Unbekannt
  • N/A
Grund
Kritische Bedrohungsart
Beispiel: E
  • A: Bekannte erweiterte anhaltende Bedrohung (Advanced Persistent Threat, APT)
  • B: Social-Engineering-Angriff
  • C: Sicherheitslückenangriff
  • D: Laterale Bewegung
  • E: Unbekannte Bedrohungen
  • F: C&C-Callback
  • G: Ransomware
deviceNtDomain
Active Directory-Domäne
Beispiel: APEXTMCM
dntdom
Apex One Domänenhierarchie
Beispiel: OSCEDomain1
TMCMLogDetectedHost
Endpunktname, an dem das Protokollereignis aufgetreten ist
Beispiel: Maschinenhostname
TMCMLogDetectedIP
IP-Adresse, bei der das Protokollereignis aufgetreten ist
Beispiel: 10.1.2.3
ApexCentralHost
Apex Central Host-Name
Beispiel: TW-CHRIS-W2019
devicePayloadId
Eindeutige Nachrichten-GUID
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
Endpunkt-Betriebssystem
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
Protokollbeispiel:
CEF: 0|Trend Micro|Apex Central|2019|VAD|VAN_RANSOMWARE.um
xxhelloransom_abc|3|deviceExternalId=2 rt=Mar 22 2018 08:23:
23 GMT+00:00 deviceFacility=Apex One dvchost=OSCE01 dhost=
Isolate-ClientA dst=0.0.0.0 app=1 sourceServiceNameTest1@tre
nd.com.tw destinationServiceName=Test2@tmcm.extbeta.com;Test
3@tmcm.extbeta.com sproc=VA fileHash=3395856CE81F2B7382DEE72
602F798B642F14140 fname=C:\\\\QA_Log.zip request=http://127.
1.1.1 cs1Label=Security_Threat cs1=VAN_RANSOMWARE.umxxhellor
ansom_abc cn1Label=Risk_Level cn1=0 cs2Label=Threat_Categori
es cs2=Anti-security, self-preservation cs3Label=Cloud_Servi
ce_Vendor cs3=Google Drive reason=E deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 TMCMLogDetectedHost=OSCEClient TMCMLogDe
tectedIP=0.0.0.0 ApexCentralHost=TW-CHRIS-W2019 devicePaylo
adId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatfor
m=Windows 7 6.1 (Build 7601) Service Pack 1
Keywords: Virtual Analyzer,Sandbox-Erkennungsprotokolle