Ansichten:
CEF-Schlüssel
Beschreibung
Wert
Header (logVer)
CEF-Formatversion
CEF:0
Header (vendor)
Appliance-Hersteller
Trend Micro
Header (pname)
Appliance-Produkt
Apex Central
Header (pver)
Appliance-Version
2019
Header (eventid)
AV:Aktion
AV:Datei umbenannt
Header (eventName)
Viren-/Malware-Name
JS_EXPLOIT.SMDN
Header (severity)
Schweregrad
3
cnt
Funde
Beispiel: 10
dhost
Endpunkt
Beispiel: ApexOneClient01
duser
Benutzer
Beispiel: Admin004
act
Aktion
Beispiel: Datei umbenannt
Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionen.
rt
Ereignisauslösezeit in UTC
Beispiel: 22. Mär 2018 08:23:23 GMT+00:00
cn1Label
Entsprechende Bezeichnung für das Feld cn1
Beispiel: VLF_PatternNumber
cn1
Pattern-/Regelversion
Beispiel: 920500
cn2Label
Entsprechende Bezeichnung für das Feld cn2
Beispiel: VLF_SecondAction
cn2
Zweite Aktion
Beispiel: 3
Weitere Informationen finden Sie unter Zweite Zuordnungstabelle für Aktionen.
cs1Label
Entsprechende Bezeichnung für das Feld cs1
Beispiel: VLF_FunctionCode
cs1
Suchtyp
Beispiel: Manuelle Suche
  • 0: Unbekannt
  • 1: N/V
  • 11: Echtzeitsuche
  • 12: Manuelle Suche
  • 13: Zeitgesteuerte Suche
  • 16: Jetzt durchsuchen
  • 17: Kartensuche
  • 18: Damage Cleanup Services
  • 19: Speichersuche
cs2Label
Entsprechende Bezeichnung für das Feld cs2
Beispiel: VLF_EngineVersion
cs2
Engine-Version
Beispiel: 9.500.1005
cs3Label
Entsprechende Bezeichnung für das Feld cs3
Beispiel: CLF_ProductVersion
cs3
Produktversion
Beispiel: 11
cs4Label
Entsprechende Bezeichnung für das Feld cs4
Beispiel: CLF_ReasonCode
cs4
Ursachencode
Beispiel: Virenprotokolle
cs5Label
Entsprechende Bezeichnung für das Feld cs5
Beispiel: VLF_FirstActionResult
cs5
Ergebnis der ersten Aktion
Beispiel: Die Datei kann nicht gesäubert werden
Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionen.
cs6Label
Entsprechende Bezeichnung für das Feld cs6
Beispiel: Ergebnis der zweiten Aktion
cs6
Ergebnis der zweiten Aktion
Beispiel: Die Datei kann nicht gesäubert werden. übergangen
Weitere Informationen finden Sie unter Zuordnungstabelle für Aktionen.
cat
Protokolltyp
Beispiel: 1703
dvchost
Produkt-Servername
Beispiel: ApexOneServer01
cn3Label
Entsprechende Bezeichnung für das Feld cn3
Beispiel: Gesamtrisiko-Bewertung
cn3
Schweregradcode
Beispiel: 0
  • 0: Niedrig
  • 1: Niedrig
  • 2: Mittel
  • 3: Hoch
deviceExternalId
ID
Beispiel: 3
fname
Datei
Beispiel: FakeMalwareRebootDel.exe
filePath
Dateipfad
Beispiel: C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\
msg
Datei in komprimierter Datei
Beispiel: BMAC Schedule of Events.xls
shost
Quellhost, UNC oder E-Mail-Adresse
Hinweis
Hinweis
Das System darf diesen Schlüssel möglicherweise nicht in Protokollen aufnehmen.
Beispiel: xxx@test.com
dst
IPv4-Adresse des Endpunkts
Beispiel: 50.8.1.1
c6a3Label
Entsprechende Bezeichnung für das Feld c6a3
Beispiel: SLP_DestinationIP
c6a3
IPv6-Adresse des Endpunkts
Beispiel: fe80::38ca:cd15:443c:40bb%11
fileHash
SHA-1-Datei
Beispiel: D6712CAE5EC821F910E14945153AE7871AA536CA
deviceFacility
Produkt
Beispiel: Apex One
Grund
Kritische Bedrohungsart
Beispiel: E
  • A: Bekannte erweiterte anhaltende Bedrohung (Advanced Persistent Threat, APT)
  • B: Social-Engineering-Angriff
  • C: Sicherheitslückenangriff
  • D: Laterale Bewegung
  • E: Unbekannte Bedrohungen
  • F: C&C-Callback
  • G: Ransomware
deviceNtDomain
Active Directory-Domäne
Beispiel: APEXTMCM
dntdom
Apex One Domänenhierarchie
Beispiel: OSCEDomain1
TMCMLogDetectedHost
Endpunktname, an dem das Protokollereignis aufgetreten ist
Beispiel: Maschinenhostname
TMCMLogDetectedIP
IP-Adresse, bei der das Protokollereignis aufgetreten ist
Beispiel: 10.1.2.3
ApexCentralHost
Apex Central Host-Name
Beispiel: TW-CHRIS-W2019
devicePayloadId
Eindeutige Nachrichten-GUID
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
Endpunkt-Betriebssystem
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP
LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G
MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi
le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=
VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua
l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=
CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi
rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs
6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape
xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6
93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\
\Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\
\ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1
0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom
ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS-
W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack
 1
Zugehörige Informationen
Keywords: Virus/Malware