Ansichten:

Verstehen Sie die Inhaltszuordnung zwischen dem Internetzugriffsprotokoll-Ausgabe und dem CEF-Syslog-Format.

Protokolle des CEF Internetzugangs vor Ort Gateway

CEF-Schlüssel
Beschreibung
Typ
Wert
Header (logVer)
CEF-Formatversion
Zeichenfolge
CEF:0
Header (vendor)
Anbieter von Appliance-Produkten
Zeichenfolge
Trend Micro
Header (pname)
Produktname
Zeichenfolge
Zero Trust Secure Access - Internetzugang
Header (pver)
Appliance-Version
Zeichenfolge
Beispiel: 1.0.0.2000
Header (eventid)
Eindeutiger Bezeichner pro Ereignistyp
Zeichenfolge
Beispiel: 100000
Header (eventName)
Kategorie des Ereignisses
Zeichenfolge
Aktivitätsprotokoll
Header (severity)
Risikostufe
Ganzzahl
  • 0: act=erlauben/analysieren
  • 1: act=überwachen/warnen/überschreiben
  • 2: act=sperren
rt
UTC-Zeitstempel der Protokollerstellung
Zeitstempel
Beispiel: 05. Jul 2018 07:54:15 +0000
act
Durchgeführte Aktion für den Verstoß
Zeichenfolge
  • erlauben
  • Monitor
  • Sperren
  • warn
  • überschreiben
  • analysieren
app
Anwendungsprotokoll
Zeichenfolge
Beispiel: HTTP
cat
URL-Kategorie
Zeichenfolge
Beispiel: Suchmaschinen/Portale
customerExternalId
Unternehmens-ID
Zeichenfolge
Beispiel: 7800fcab-7611-416c-9ab4-721b7bd6b076
suser
Benutzerprinzipalname
Zeichenfolge
Beispiel: user_name@example.com
devicePayloadId
GUID dieses Ereignisprotokolls
Zeichenfolge
Beispiel: aabb2233-a1b1-41dc-9abc-3f45ab290b0a
deviceExternalId
GUID des Endpunkts mit installiertem Secure Access Module
Zeichenfolge
Beispiel: 66f0cb71-4150-4437-ba8b-91151bb12345
shost
Hostname des Endpunkts mit installiertem Secure Access Module
Zeichenfolge
Beispiel: mein Laptop
dvchost
Name des Standorts des lokalen Gateway
Zeichenfolge
Beispiel: US_Office_on_premise_GW
dst
Ziel-IP-Adresse einer Anfrage
Zeichenfolge
Beispiel: 54.231.184.240
src
Quell-IP-Adresse einer Anfrage
Zeichenfolge
Beispiel: 10.204.214.188
aus
Größe einer Anfrage
Ganzzahl
Einheit: Byte
Beispiel: 501
in
Größe einer Antwort
Ganzzahl
Einheit: Byte
Beispiel: 220529
dproc
Anwendungsname
Zeichenfolge
Beispiel: Google
destinationServiceName
App- und Aktionsname der granularen Zugriffskontrolle
Zeichenfolge
Beispiel: OneDrive-Datei herunterladen
cn1
Malware-Typ
Ganzzahl
  • 1: Virus
  • 2: Spyware
  • 3: Witz
  • 4: Trojaner
  • 5: Test_Virus
  • 6: Packer
  • 7: Allgemein
  • 8: Sonstiges
  • 9: Botnet
cn1Label
Entsprechende Bezeichnung für das Feld "cn1"
Zeichenfolge
malwareTyp
cn2
Web-Reputation-Dienste-Score
Ganzzahl
Beispiel: 81
cn2Label
Entsprechende Bezeichnung für das Feld "cn2"
Zeichenfolge
wrsScore
cn3
Erkennungstyp
Ganzzahl
  • 0: Keine übereinstimmende Zero Trust Secure Access-Regel
  • 1: Fehlendes oder ungültiges Client-Zertifikat
  • 2: Nicht vertrauenswürdiges Serverzertifikat
  • 3: Zero Trust Secure Access
  • 4: HTTPS-Inspektionsausnahme
  • 5: HTTPS-Inspektionsfehler
  • 6: HTTPS-Übergehen bei Inspektionsfehler
  • 9: Zulässige URLs
  • 10: Gesperrte Links
  • 15: Zugriff auf private IP-Adresse
  • 20: Web Reputation
  • 21: URL-Filter
  • 30: Eingeschränkter Dateityp
  • 33: Eingeschränkter MIME-Typ
  • 34: Eingeschränkter Dateierweiterungstyp
  • 40: Anti-malware-Suche
  • 41: Datei-Scan-Exception
  • 45: Vorausschauendes Maschinenlernen
  • 50: Botnet
  • 60: Application Control
  • 70: Virtual Analyzer-Einreichung
  • 90: Liste 'Gesperrt' der verdächtigen Objekte
  • 100: Prävention vor Datenverlust
  • 110: Ransomware
  • 120: Risikokontrolle
  • 130: Nicht konformes Gerät
cn3label
Entsprechende Bezeichnung für das Feld "cn3"
Zeichenfolge
Erkennungstyp
cs1
Malware-Name
Zeichenfolge
Beispiel: HEUR_OLEXP.B
cs1Label
Entsprechende Bezeichnung für das Feld "cs1"
Zeichenfolge
malwareName
cs2
Name der Richtlinie
Zeichenfolge
Beispiel: Standard
cs2Label
Entsprechende Bezeichnung für das Feld "cs2"
Zeichenfolge
policyName
cs3
!!Profile name!!
Zeichenfolge
Beispiel: Standard
cs3Label
Entsprechende Bezeichnung für das Feld "cs3"
Zeichenfolge
Profilname
cs4
Vorlagenname für Prävention vor Datenverlust
Zeichenfolge
Beispiel: HIPAA, PII
cs4Label
Entsprechende Bezeichnung für das Feld "cs4"
Zeichenfolge
dlpDetails
cs5
SHA-256-Datei
Zeichenfolge
Beispiel: ba9edecdd09de1307714564c24409bd25508e22fe11c768053a08f173f263e93
cs5Label
Entsprechende Bezeichnung für das Feld "cs5"
Zeichenfolge
fileHashSha256
cs6
Benutzergruppenname
Zeichenfolge
Beispiel: F&E
cs6Label
Entsprechende Bezeichnung für das Feld "cs6"
Zeichenfolge
Benutzergruppenname
fname
Dateiname
Zeichenfolge
Beispiel: beispiel.doc
Dateityp
Dateityp
Zeichenfolge
Beispiel: Microsoft Words
fsize
Dateigröße
Ganzzahl
Einheit: Byte
Beispiel: 12.345
fileHash
SHA-1-Datei
Zeichenfolge
Beispiel: 3f21be4521b5278fb14b8f47afcabe08a17dc504
dhost
Domänenname einer Anfrage
Zeichenfolge
Beispiel: www.example.com
Typ
Geben Sie an, ob die HTTPS-Inspektion fehlgeschlagen ist (Nur für HTTPS-Anfragen anwendbar)
Ganzzahl
  • 0: Erfolgreich
  • 1: Erfolglos
requestClientApplication
Benutzeragent einer Anfrage
Zeichenfolge
Beispiel: Mozilla/5.0
requestMethod
HTTP/HTTPS-Anforderungsmethode
Zeichenfolge
Beispiel: ABRUFEN
Anforderungskontext
MIME-Typ einer Anforderungsnutzlast
Zeichenfolge
Beispiel: text/html
Grund
MIME-Typ einer Antwortnutzlast
Zeichenfolge
Beispiel: text/html
outcome
Status oder Antwortcode einer Anfrage
Zeichenfolge
Beispiel: 200
proto
Netzwerkprotokoll für die Datenübertragung
Zeichenfolge
Beispiel: TCP
Anforderung
Vollständige URL einer Anfrage
Zeichenfolge
Beispiel: https://www.example.com/page.html
suid
Authentifizierte Benutzer-ID
Zeichenfolge
Beispiel: user@example.com