|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Appliance-Hersteller
|
Trend Micro
|
|
Header (pname)
|
Appliance-Produkt
|
Apex Central
|
|
Header (pver)
|
Appliance-Version
|
2019
|
|
Header (eventid)
|
Geräteereignis-Klassen-ID
|
Spyware entdeckt
|
|
Header (eventName)
|
Ereignisname
|
Spyware entdeckt
|
|
Header (severity)
|
Schweregrad
|
3
|
|
cnt
|
Anzahl der Funde
|
Beispiel:
10 |
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
cn1Label
|
Entsprechende Bezeichnung für das Feld
cn1 |
Beispiel:
Pattern-Typ |
|
cn1
|
Pattern-Typ
|
Beispiel:
1073741840 |
|
cs1Label
|
Entsprechende Bezeichnung für das Feld
cs1 |
Beispiel:
VirusName |
|
cs1
|
Spyware/Grayware
|
Beispiel:
ADW_OPENCANDY |
|
cs2Label
|
Entsprechende Bezeichnung für das Feld
cs2 |
Beispiel:
EngineVersion |
|
cs2
|
Engine-Version
|
Beispiel:
6.2.3027 |
|
cs5Label
|
Entsprechende Bezeichnung für das Feld
cs5 |
Beispiel:
ActionResult |
|
cs5
|
Aktion
|
Beispiel:
Neustart des Systems erfolgreich Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionen.
|
|
cs6Label
|
Entsprechende Bezeichnung für das Feld
cs6 |
Beispiel:
PatternVersion |
|
cs6
|
Pattern-Version
|
Beispiel:
1297 |
|
cat
|
Protokolltyp
|
Beispiel:
1727 |
|
dvchost
|
Hostname des Endpunkts
|
Beispiel:
ApexOneClient01 |
|
deviceExternalId
|
ID
|
Beispiel:
3 |
|
fname
|
Ressource
|
Beispiel:
F:\\Malware\\psas\\rsrc2.bin |
|
filePath
|
Ressource
|
Beispiel:
F:\\Malware\\psas\\rsrc2.bin |
|
dhost
|
Hostname des Endpunkts
|
Beispiel:
ApexOneClient01 |
|
dst
|
IPv4-Adresse des Endpunkts
|
Beispiel:
50.8.1.1 |
|
c6a3Label
|
Entsprechende Bezeichnung für das Feld
c6a3 |
Beispiel:
SLP_DestinationIP |
|
c6a3
|
IPv6-Adresse des Endpunkts
|
Beispiel:
fe80::38ca:cd15:443c:40bb%11 |
|
fileHash
|
SHA-1-Datei
|
Beispiel:
D6712CAE5EC821F910E14945153AE7871AA536CA |
|
deviceFacility
|
Produkt
|
Beispiel:
Apex One |
|
duser
|
Benutzername
|
Beispiel:
Admin004 |
|
cn2Label
|
Entsprechende Bezeichnung für das Feld
cn2 |
Beispiel:
Scan_Type |
|
cn2
|
Suchtyp
|
Beispiel:
Jetzt durchsuchen Weitere Informationen finden Sie unter Tabelle zur Zuordnung von Spyware-/Grayware-Suchtypen.
|
|
cn3Label
|
Entsprechende Bezeichnung für das Feld
cn3 |
Beispiel:
Sicherheitsbedrohungstyp |
|
cn3
|
Sicherheitsbedrohungstyp
|
Beispiel:
Adware Weitere Informationen finden Sie unter Tabelle zur Zuordnung von Spyware/Grayware-Risikotypen.
|
|
deviceNtDomain
|
Active Directory-Domäne
|
Beispiel: APEXTMCM
|
|
dntdom
|
Apex One Domänenhierarchie
|
Beispiel: OSCEDomain1
|
|
TMCMLogDetectedHost
|
Endpunktname, an dem das Protokollereignis aufgetreten ist
|
Beispiel: Maschinenhostname
|
|
TMCMLogDetectedIP
|
IP-Adresse, bei der das Protokollereignis aufgetreten ist
|
Beispiel: 10.1.2.3
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
Endpunkt-Betriebssystem
|
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|Spyware Detected|Spywa re Detected|3|deviceExternalId=3 rt=Oct 06 2017 08:39:46 GMT +00:00 cnt=1 dhost=ApexOneClient01 cn1Label=PatternType cn1= 1073741840 cs1Label=VirusName cs1=ADW_OPENCANDY cs2Label=Eng ineVersion cs2=6.2.3027 cs5Label=ActionResult cs5=Reboot sys tem successfully cs6Label=PatternVersion cs6=1297 cat=1727 d vchost=ApexOneClient01 fname=F:\\Malware\\psas\\rsrc2.bin fi lePath=F:\\Malware\\psas\\rsrc2.bin dst=50.8.1.1 deviceFacil ity=Apex One deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCM LogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=50.8.1.1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360- 9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Bu ild 7601) Service Pack 1