Ansichten:
CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF:0
Header (vendor)
Appliance-Hersteller
Trend Micro
Header (pname)
Appliance-Produkt
Apex Central
Header (pver)
Appliance-Version
2019
Header (eventid)
FH:Aktion
FH:Protokoll
Header (eventName)
Name
Verdächtige Dateien
Header (severity)
Schweregrad
3
deviceExternalId
ID
Beispiel: 1
cat
Protokolltyp
Beispiel: 1766
deviceFacility
Produkt
Beispiel: Apex One
cn1Label
Entsprechende Bezeichnung für das Feld cn1
Beispiel: SLF_ProductVersion
cn1
Produktversion
Beispiel: 11
rt
Ereignisauslösezeit in UTC
Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
dst
IPv4-Adresse des Endpunkts
Beispiel: 10.201.86.151
c6a3Label
Entsprechende Bezeichnung für das Feld c6a3
Beispiel: IPv6-Adresse des Endpunkts
c6a3
IPv6-Adresse des Endpunkts
Beispiel: 2620:101:4003:7a0:fd4b:52ed:53bd:ae3d
dhost
Hostname des Endpunkts
Beispiel: APEX-ONE-CLIENT-1
cs2Label
Entsprechende Bezeichnung für das Feld cs2
Beispiel: SLF_TrueFileType
cs2
Dateityp
Beispiel: TEXT
fileHash
SHA-1-Datei
Beispiel: D6712CAE5EC821F910E14945153AE7871AA536CA
cs3Label
Entsprechende Bezeichnung für das Feld cs3
Beispiel: SLF_FileSource
cs3
Dateipfad
Beispiel: C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE
cn2Label
Entsprechende Bezeichnung für das Feld cn2
Beispiel: SLF_SourceType
cn2
C&C-Listenquelle
Beispiel: 0
  • 0: Sandbox
  • 1: Benutzerdefiniert
act
Aktion
Beispiel: Protokoll
  • 1: Protokoll
  • 2: Sperren
  • 3: Quarantäne
cn3Label
Entsprechende Bezeichnung für das Feld cn3
Beispiel: SLF_ScanType
cn3
Suchtyp
Beispiel: 1
  • 1: Zeitgesteuerte Suche
  • 2: Manuelle Suche
  • 3: Jetzt durchsuchen
  • 4: Echtzeitsuche
Grund
Kritische Bedrohungsart
Beispiel: E
  • A: Bekannte erweiterte anhaltende Bedrohung (Advanced Persistent Threat, APT)
  • B: Social-Engineering-Angriff
  • C: Sicherheitslückenangriff
  • D: Laterale Bewegung
  • E: Unbekannte Bedrohungen
  • F: C&C-Callback
  • G: Ransomware
deviceNtDomain
Active Directory-Domäne
Beispiel: APEXTMCM
dntdom
Apex One Domänenhierarchie
Beispiel: OSCEDomain1
TMCMLogDetectedHost
Endpunktname, an dem das Protokollereignis aufgetreten ist
Beispiel: Maschinenhostname
TMCMLogDetectedIP
IP-Adresse, bei der das Protokollereignis aufgetreten ist
Beispiel: 10.1.2.3
ApexCentralHost
Apex Central Host-Name
Beispiel: TW-CHRIS-W2019
devicePayloadId
Eindeutige Nachrichten-GUID
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
Endpunkt-Betriebssystem
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|FH:Log|Suspicious File
s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat
=1766 deviceFacility=Apex One cn1Label=SLF_ProductVersion cn
1=11 dst=10.201.86.151 dhost=APEX-ONE-CLIENT-1 cs2Label=SLF_
TrueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F91
0E14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\User
s\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\0
17545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label=
SLF_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1 rea
son=E deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDete
ctedHost=APEX-ONE-CLIENT-1 TMCMLogDetectedIP=10.201.86.151
ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360-
9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Bu
ild 7601) Service Pack 1
Keywords: Verdächtige Datei