 |
WichtigAb dem 31. März 2026 hat Trend Micro die Produkte in TrendAI™ umbenannt. Wenn Sie
nach diesem Datum Probleme beim Empfang von Syslogs haben, überprüfen Sie, ob Sie
Filter für
Trend Micro haben und aktualisieren Sie die Begriffe auf TrendAI™. |
Die Protokollnachrichtenformate Common Event Format (CEF) und Log Event Extended Format
(LEEF) unterscheiden sich geringfügig. Zum Beispiel entspricht die Spalte "Source
User" in der GUI einem Feld namens "suser" in CEF; in LEEF wird dasselbe Feld stattdessen
"usrName" genannt. Die Protokollnachrichtenfelder variieren auch je nachdem, ob das
Ereignis vom Agenten oder Server- und Workload Protection stammt und welches Feature die Protokollnachricht erstellt hat.
 |
Hinweis
|
Wenn die Syslog-Nachrichten von Server- und Workload Protection gesendet werden, gibt es mehrere Unterschiede. Um den ursprünglichen Agent-Hostnamen
(die Quelle des Ereignisses) zu erhalten, ist eine neue Erweiterung ("dvc" oder "dvchost")
vorhanden. "dvc" wird verwendet, wenn der Hostname eine IPv4-Adresse ist; "dvchost"
wird für Hostnamen und IPv6-Adressen verwendet.
Zusätzlich wird die Erweiterung "TrendMicroDsTags" verwendet, wenn die Ereignisse
getaggt sind. Dies gilt nur für die automatische Tagging-Funktion mit zukünftiger
Ausführung, da Ereignisse nur dann über Syslog weitergeleitet werden, wenn sie von
Server- und Workload Protection erfasst werden. Das Produkt für Protokolle, die über Workload Security weitergeleitet
werden, wird weiterhin als "Deep Security Agent" angezeigt; die Produktversion entspricht
jedoch der Version von Server- und Workload Protection.
CEF-Syslog-Nachrichtenformat
Alle CEF-Ereignisse enthalten 'dvc=IPv4-Adresse' oder 'dvchost=Hostname' (oder die
IPv6-Adresse), um den ursprünglichen Agenten zu bestimmen, der die Quelle des Ereignisses
war. Diese Erweiterung ist wichtig für Ereignisse, die von Server- und Workload Protection gesendet werden, da in diesem Fall der Syslog-Absender der Nachricht nicht der Urheber
des Ereignisses ist.
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionUm festzustellen, ob der Protokolleintrag von Server- und Workload Protection oder einem Agenten stammt, schauen Sie sich das Feld "Geräteprodukt" an:
Sample CEF Log Entry:
Jan 18 11:07:53 dsmhost CEF:0|TrendAI™|Workload Security Manager|<Workload Security
version>|600|Administrator Signed In|4|suser=Master... |
HinweisEreignisse, die auf einer VM auftreten, die durch ein virtuelles Gerät geschützt ist,
aber keinen In-Guest-Agenten hat, werden dennoch als von einem Agenten stammend identifiziert.
|
Um weiter zu bestimmen, welche Art von Regel das Ereignis ausgelöst hat, schauen Sie
sich die Felder "Signatur-ID" und "Name" an:
Sample Log Entry:
Mar 19 15:19:15 root CEF:0|TrendAI™|Deep Security Agent|<Agent version>|123|Out Of
Allowed Policy|5|cn1=1...Der Wert "Signatur-ID" gibt an, welche Art von Ereignis ausgelöst wurde:
|
Signatur-IDs
|
Beschreibung
|
|
10
|
Benutzerdefinierte Eindringschutzregel (IPS)
|
|
20
|
Nur-Protokoll-Firewall-Regel
|
|
21
|
Firewall-Regel verweigern
|
|
30
|
Benutzerdefinierte Integritätsüberwachungsregel
|
|
40
|
Benutzerdefinierte Protokollüberprüfungsregel
|
|
100-7499
|
Systemereignisse
|
|
100-199
|
Firewall-Richtlinie und zustandsbehaftete Firewall-Konfiguration
|
|
200-299
|
IPS interne Fehler
|
|
300-399
|
SSL/TLS-Ereignisse
|
|
500-899
|
IPS-Normalisierung
|
|
1.000.000-1.999.999
|
TrendAI™ IPS-Regel. Die Signatur-ID ist identisch mit der IPSregel-ID.
|
|
2.000.000-2.999.999
|
Integritätsüberwachungsregel. Die Signatur-ID ist die Integritätsüberwachungsregel-ID
+ 1.000.000.
|
|
3.000.000-3.999.999
|
Protokollinspektionsregel. Die Signatur-ID ist die Protokollinspektionsregel-ID +
2.000.000.
|
|
4.000.000-4.999.999
|
Anti-Malware-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
5.000.000-5.999.999
|
Web Reputation-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
6.000.000-6.999.999
|
Application Control-Ereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
7.000.000-7.999.999
|
Gerätesteuerungsereignisse. Derzeit werden nur diese Signatur-IDs verwendet:
|
|
Hinweis
|
LEEF 2.0 Syslog-Nachrichtenformat
Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF 2.0 Log Entry (Workload Security System Event Log Sample):
LEEF:2.0|TrendAI™|Server- und Workload Protection Manager|<Agent version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold
Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System
msg=Alert: CPUWarning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity:Warning
TrendMicroDsTenant=PrimaryEreignisse, die in Server- und Workload Protection ihren Ursprung haben
Systemereignisprotokollformat
Base CEF Format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Server- und Workload Protection Manager|<Server- und Workload Protection version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User
signed in from 2001:db8::5Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF 2.0 Log Entry:
LEEF:2.0|TrendAI™|Server- und Workload Protection Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold
Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System
msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning
TrendMicroDsTenant=Primary |
HinweisLEEF-Format verwendet einen reservierten "sev"-Schlüssel zur Anzeige der Schwere und
"name" für den Namen-Wert.
|
|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
||
|
src
|
src
|
IP-Quelladresse
|
Server- und Workload Protection IP-Adresse.
|
src=10.52.116.23
|
||
|
suser
|
usrName
|
Quellbenutzer
|
Server- und Workload Protection Administratorkonto.
|
suser=MasterAdmin
|
||
|
Ziel
|
Ziel
|
Zielentität
|
Das Thema des Ereignisses. Es kann das Administrator-Konto sein, das bei Server- und Workload Protection angemeldet ist, oder ein Computer.
|
target=MasterAdmin target=server01
|
||
|
targetID
|
targetID
|
Ziel-Entitäts-ID
|
Die Kennung wurde in Server- und Workload Protection hinzugefügt.
|
targetID=1
|
||
|
targetType
|
targetType
|
Zielentitätstyp
|
Der Entitätstyp des Ereignisziels.
|
Zieltyp=Host
|
||
|
msg
|
msg
|
Details
|
Details des Systemereignisses. Kann eine ausführliche Beschreibung des Ereignisses
enthalten.
|
msg=Benutzerpasswort für den Benutzernamen MasterAdmin bei einem Anmeldeversuch von
127.0.0.1 ist falsch msg=Ein Durchsuchen nach Empfehlungen auf dem Computer (localhost)
wurde abgeschlossen...
|
||
|
TrendMicroDsProcessImagePath
|
TrendMicroDsProcessImagePath
|
Pfad des Image des Vorgangs
|
Der vollständige Pfad des Prozesses, der eine Malware-Ereigniserkennung generiert.
|
TrendMicroDsProcessImagePath=/usr/bin/bash
|
||
|
TrendMicroDsProcessPid
|
TrendMicroDsProcessPid
|
Prozess-PID
|
Die PID des Prozesses, der ein Anti-Malware-Ereignis erkennt
|
TrendMicroDsProcessPid=4422
|
||
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
||
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
||
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
||
|
TrendMicroDsReasonId
|
TrendMicroDsReasonId
|
Ereignisgrund-ID
|
Gibt die Grund-ID für Ereignisbeschreibungen an. Jedes Ereignis hat seine eigene Grund-ID-Definition.
|
TrendMicroDsReasonId=1
|
||
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=3
|
||
|
Keine
|
cat
|
Kategorie
|
Ereigniskategorie
|
cat=System
|
||
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Alarm beendet
|
||
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung
|
desc:Alarm: CPU-Warnschwelle überschritten
|
Ereignisse, die vom Agenten ausgehen
Anti-Malware-Ereignisformat
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|4000000|Eicar_test_file|6|cn1=1
cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size cs6=ContainerImageName
| ContainerName | ContainerID cs6Label=Container filePath=C:\Users\trend\Desktop\eicar.exe
act=Delete result=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F
TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SMBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF: 2.0|TrendAI™|Deep Security Agent|<Agent version>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT
desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe
act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File
System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cn2
|
cn2
|
Dateigröße
|
Die Größe der Quarantäne-Datei. Diese Erweiterung wird nur einbezogen, wenn die "direkte
Weiterleitung" vom Agenten/Gerät ausgewählt ist.
|
cn2=100
|
|
cn2Label
|
cn2Label
|
Dateigröße
|
Der Namensaufkleber für das Feld cn2.
|
cn2Label=Dateigröße der Quarantäne
|
|
cs3
|
cs3
|
Infizierte Ressource
|
Der Pfad des Spyware-Elements. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
|
|
cs3Label
|
cs3Label
|
Infizierte Ressource
|
Der Namensbezeichner für das Feld cs3. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs3Label=Infizierte Ressource
|
|
cs4
|
cs4
|
Ressourcentyp
|
Ressourcentyp-Werte:
Zum Beispiel, wenn es eine Spyware-Datei namens spy.exe gibt, die einen Registrierungsschlüssel
erstellt, um ihre Persistenz nach einem Systemneustart aufrechtzuerhalten, werden
zwei Elemente im Spyware-Bericht angezeigt: das Element für spy.exe hat cs4=10 (Dateien
und Verzeichnisse), und das Element für den Registrierungsschlüssel hat cs4=11 (Systemregistrierung).
Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs4=10
|
|
cs4Label
|
cd4Label
|
Ressourcentyp
|
Der Namensbezeichner für das Feld cs4. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs4Label=Ressourcentyp
|
|
cs5
|
cs5
|
Risikostufe
|
Risikostufenwerte:
Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs5=25
|
|
cs5Label
|
cs5Label
|
Risikostufe
|
Der Namensbezeichner für das Feld cs5. Dieses Feld ist nur für Spyware-Erkennungsereignisse.
|
cs5Label=Risikostufe
|
|
cs6
|
cs6
|
Container
|
Der Bildname des Docker-Containers, der Containername und die Container-ID, in denen
die Malware erkannt wurde.
|
cs6=ContainerImageName | ContainerName | ContainerID
|
|
cs6Label
|
cs6Label
|
Container
|
Der Namensaufkleber für das Feld cs6.
|
cs6Label=Behälter
|
|
filePath
|
filePath
|
Dateipfad
|
Der Speicherort der Malware-Datei.
|
filePath=C:\\Benutzer\\Mei\\Desktop\\virus.exe
|
|
act
|
act
|
Aktion
|
Die Aktion, die von der Anti-Malware-Engine durchgeführt wird. Mögliche Werte sind:
Zugriff verweigern, Quarantäne, Löschen, Übergehen, Bereinigen, Beenden und Nicht
spezifiziert.
|
act=Bereinigen
act=Übergehen
|
|
Ergebnis
|
Ergebnis
|
Ergebnis
|
Das Ergebnis der fehlgeschlagenen Anti-Malware-Aktion.
|
Ergebnis=Bestanden
Ergebnis=Gelöscht
Ergebnis=Quarantäne
result=Entfernt
result=Zugriff verweigert
result=Beendet
Ergebnis=Protokoll
Ergebnis=Fehlgeschlagen
Ergebnis=Übergehen Fehlgeschlagen
Ergebnis=Löschen fehlgeschlagen
Ergebnis=Quarantäne fehlgeschlagen
Ergebnis=Bereinigung fehlgeschlagen
Ergebnis=Beenden fehlgeschlagen
Protokoll fehlgeschlagen
Ergebnis=DURCHSUCHEN fehlgeschlagen
Ergebnis=Bestanden (Durchsuchen fehlgeschlagen)
Ergebnis=Quarantäne (Durchsuchung fehlgeschlagen)
Ergebnis=Quarantäne fehlgeschlagen (Durchsuchung fehlgeschlagen)
result=Zugriff verweigern (Durchsuchung fehlgeschlagen)
|
|
msg
|
msg
|
Nachricht
|
Der Typ des DURCHSUCHENS. Mögliche Werte sind: Echtzeit, Geplant und Manuell.
|
Echtzeit
msg=Geplant
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=fe80::f018:a3c6:20f9:afa6%5
|
|
TrendMicroDsVerhaltensregelID
|
TrendMicroDsVerhaltensregelID
|
Verhaltensüberwachungsregel-ID
|
Die Verhaltensüberwachungsregel-ID für die interne Nachverfolgung von Malware-Fällen.
|
Verhaltensregel-ID=CS913
|
|
TrendMicroDsVerhaltenstyp
|
TrendMicroDsVerhaltenstyp
|
Verhaltensüberwachungstyp
|
Der erkannte Typ des Verhaltensüberwachungsereignisses.
|
BehaviorType=Bedrohungserkennung
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
TrendMicroDsMalwareZielanzahl
|
TrendMicroDsMalwareZielanzahl
|
Zielanzahl
|
Die Anzahl der Zieldateien.
|
TrendMicroDsMalwareTargetCount=3
|
|
TrendMicroDsMalwareZiel
|
TrendMicroDsMalwareZiel
|
Ziel(e)
|
Die Datei, der Prozess oder der Registrierungsschlüssel (falls vorhanden), den die
Malware zu beeinflussen versuchte. Wenn die Malware versuchte, mehr als einen zu beeinflussen,
enthält dieses Feld den Wert "Mehrere"
Nur die Überwachung verdächtiger Aktivitäten und die Überwachung unautorisierter Änderungen
haben Werte für dieses Feld.
|
TrendMicroDsMalwareTarget=N/A
TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings
TrendMicroDsMalwareTarget=Mehrere
|
|
TrendMicroDsMalwareZieltyp
|
TrendMicroDsMalwareZieltyp
|
Zieltyp
|
Die Art der Systemressource, die diese Malware zu beeinträchtigen versuchte, wie das
Dateisystem, ein Prozess oder die Windows-Registrierung.
Nur die Überwachung verdächtiger Aktivitäten und die Überwachung unautorisierter Änderungen
haben Werte für dieses Feld.
|
TrendMicroDsMalwareTargetType=N/A
TrendMicroDsMalwareTargetType=Exploit
TrendMicroDsMalwareTargetType=Dateisystem
TrendMicroDsMalwareTargetType=Prozess
TrendMicroDsMalwareTargetType=Registrierung
|
|
TrendMicroDsProzess
|
TrendMicroDsProzess
|
Prozess
|
Prozessname
|
TrendMicroDsProcess= abc.exe
|
|
TrendMicroDsFileMD5
|
TrendMicroDsFileMD5
|
MD5-Datei
|
Der MD5-Hash der Datei
|
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
|
|
TrendMicroDsFileSHA1
|
TrendMicroDsFileSHA1
|
Datei SHA1
|
Der SHA1-Hash der Datei
|
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
|
|
TrendMicroDsFileSHA256
|
TrendMicroDsFileSHA256
|
Datei SHA256
|
Der SHA256-Hash der Datei
|
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
|
|
TrendMicroDsErkennungszuversicht
|
TrendMicroDsErkennungszuversicht
|
Bedrohungsprobabilität
|
Gibt an, wie genau (in %) die Datei mit dem Malware-Modell übereinstimmt
|
TrendMicroDsDetectionConfidence=95
|
|
TrendMicroDsRelevanteErkennungsnamen
|
TrendMicroDsRelevanteErkennungsnamen
|
Wahrscheinliche Bedrohungsart
|
Gibt die wahrscheinlichste in der Datei enthaltene Bedrohungsart an, nachdem die Analyse
mittels 'Vorausschauendes Maschinenlernen' mit anderen bekannten Bedrohungen verglichen
wurde (getrennt durch Semikolon ";")
|
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Anti-Malware
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=SPYWARE_KEYL_AKTIV
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Anti-Malware verwendet den Ereignisnamen als Beschreibung.
|
desc=SPYWARE_KEYL_AKTIV
|
|
TrendMicroDsBefehlszeile
|
TrendMicroDsBefehlszeile
|
Befehlszeile
|
Die Befehle, die der Zielprozess ausführt
|
TrendMicroDsCommandLine=/tmp/orca-testkit-sample/testsys_m64 -u 1000 -g 1000 -U 1000
-G 1000 -e cve_2017_16995 1 -d 4000000
|
|
TrendMicroDsCve
|
TrendMicroDsCve
|
CVE
|
CVE-Informationen, wenn das Prozessverhalten in einer der Common Vulnerabilities and
Exposures identifiziert wird.
|
TrendMicroDsCve=CVE-2016-5195,CVE-2016-5195,CVE-2016-5195
|
|
TrendMicroDsMitre
|
TrendMicroDsMitre
|
MITRE
|
Die MITRE-Informationen, falls das Prozessverhalten in einem der MITRE-Angriffszenarien
identifiziert wird.
|
TrendMicroDsMitre=T1068,T1068,T1068
|
|
suser
|
suser
|
Benutzername
|
Der Name des Benutzerkontos, das dieses Ereignis ausgelöst hat
|
suser=root
|
Application Control Ereignisformat
Base CEF format: CEF:Version|Device Vendor|Device Product|Device Version|Signatur ID|Name|Severity|Extension
Example CEF Log Entry:
CEF: 0|TrendAI™|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202
cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root
suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20
aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C
cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5Base LEEF 2.0 format: LEEF:2.0|Anbieter|Produkt|Version|Ereignis-ID|(Trennzeichen, optional, wenn das Trennzeichen
ein Tabulator ist)|Erweiterung
Example LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked
sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root
suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1
cs1=notWhitelisted cs1Label=actionReason|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=2
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cs1
|
cs1
|
Grund
|
Der Grund, warum Application Control die angegebene Aktion ausgeführt hat, wie "notWhitelisted"
(die Software hatte keine übereinstimmende Regel, und Application Control war so konfiguriert,
dass nicht erkannte Software gesperrt wird).
|
cs1=nichtAufDerWhitelist
|
|
cs1Label
|
cs1Label
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=Aktionsgrund
|
|
|
cs2
|
cs2
|
Falls berechnet, der SHA-1-Hash der Datei.
|
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
|
|
|
cs2Label
|
cs2Label
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=sha1
|
|
|
cs3
|
cs3
|
Falls berechnet, der MD5-Hash der Datei.
|
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
|
|
|
cs3Label
|
cs3Label
|
Der Namensschild für das Feld cs3.
|
cs3Label=md5
|
|
|
act
|
act
|
Aktion
|
Die Aktion, die von der Application Control-Engine ausgeführt wird. Mögliche Werte
sind: Gesperrt, Erlaubt.
|
act=gesperrt
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.1.10
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
suid
|
suid
|
Benutzer-ID
|
Die Kontonummer des Benutzernamens.
|
suid=0
|
|
suser
|
suser
|
Benutzername
|
Der Name des Benutzerkontos, das die Software auf dem geschützten Computer installiert
hat.
|
suser=root
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandantenname.
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID-Nummer.
|
TrendMicroDsTenantId=0
|
|
fileHash
|
fileHash
|
Datei-Hash ()
|
Der SHA-256-Hash, der die Softwaredatei identifiziert.
|
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
|
|
filePath
|
filePath
|
Dateipfad
|
Der Speicherort der Malware-Datei.
|
filePath=/bin/my.jar
|
|
fsize
|
fsize
|
Dateigröße
|
Die Dateigröße in Byte.
|
fsize=16
|
|
aggregationType
|
aggregationType
|
Aggregationstyp
|
Eine ganze Zahl, die angibt, wie das Ereignis aggregiert wird:
Weitere Informationen zur Ereignisaggregation finden Sie unter Anzeigen von Application Control-Ereignisprotokollen.
|
aggregationType=2
|
|
repeatCount
|
repeatCount
|
Wiederholungsanzahl
|
Die Anzahl der Vorkommen des Ereignisses. Nicht aggregierte Ereignisse haben einen
Wert von 1. Aggregierte Ereignisse haben einen Wert von 2 oder mehr.
|
repeatCount=4
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=AppControl
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=gesperrt
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Application Control verwendet die Aktion als Beschreibung.
|
desc=gesperrt
|
Format des Firewall-Ereignisprotokolls
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|20|Log for TCP Port 80|0|cn1=1
cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF
cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP
Flags cnt=1 TrendMicroDsPacketData=AFB...Sample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|21|cat=Firewall name=Remote
Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5
cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP
src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP
srcPort=23 dstPort=445 cnt=1 TrendMicroDsPacketData=AFB...Sample TendMicroDsScannerIp Log Entry:
CEF Field : (wait check), LEEF Field: TrendMicroDsScannerIp, Name: Scanner IP, Description:
Scanner IP Address, Example: TrendMicroDsScannerIp=192.168.33.1TrendMicroDsTargetPortList Log Entry:
CEF Field : (wait check), LEEF Field: TrendMicroDsTargetPortList, Name: Target Port
List, Description: Scanned Port List, Example: TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
|
act=Protokoll
act=Verweigern
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cnt
|
cnt
|
Wiederholungsanzahl
|
Die Anzahl der Male, die dieses Ereignis nacheinander wiederholt wurde.
|
cnt=8
|
|
cs2
|
cs2
|
TCP-Flags
|
|
cs2=0x10 ACK
cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP-Flags
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=TCP-Flags
|
|
cs3
|
cs3
|
Paketfragmentierungsinformationen
|
|
cs3=DF
cs3=MF
cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentierungsbits
|
Der Namensschild für das Feld cs3.
|
cs3Label=Fragmentierungsbits
|
|
cs4
|
cs4
|
ICMP-Typ und Code
|
(Nur für das ICMP-Protokoll) Der ICMP-Typ und Code, durch ein Leerzeichen getrennt.
|
cs4=11 0
cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
Der Namensschild für das Feld cs4.
|
cs4Label=ICMP-Typ und Code
|
|
dmac
|
dstMAC
|
MAC-Zieladresse
|
MAC-Adresse der Netzwerk-Schnittstelle des Zielcomputers.
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
Zielport
|
(Nur für TCP- und UDP-Protokoll) Portnummer der Verbindung oder Sitzung des Zielcomputers.
|
dpt=80
dpt=135
|
|
dst
|
dst
|
Ziel-IP-Adresse
|
IP-Adresse des Zielcomputers.
|
dst=192.168.1.102
dst=10.30.128.2
|
|
in
|
in
|
Eingehende Byte gelesen
|
(Nur für eingehende Verbindungen) Anzahl der gelesenen eingehenden Byte.
|
in=137
in=21
|
|
aus
|
aus
|
Ausgehende Byte gelesen
|
(Nur für ausgehende Verbindungen) Anzahl der gelesenen ausgehenden Byte.
|
out=216
out=13
|
|
proto
|
proto
|
Transportprotokoll
|
Name des verwendeten Transportprotokolls.
|
proto=tcp
proto=udp
proto=icmp
|
|
smac
|
srcMAC
|
MAC-Quelladresse
|
MAC-Adresse der Netzwerk-Schnittstelle des Quellcomputers.
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
Quellport
|
(Nur für TCP- und UDP-Protokoll) Portnummer der Verbindung oder Sitzung des Quellcomputers.
|
spt=1032
spt=443
|
|
src
|
src
|
IP-Quelladresse
|
Die Quell-IP-Adresse des Pakets bei diesem Ereignis.
|
src=192.168.1.105
src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet-Rahmentyp
|
Verbindung Ethernet-Rahmentyp.
|
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Paketdaten
|
Die Paketdaten, dargestellt in Base64.
|
TrendMicroDsPacketData=AFB...
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=exch01.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=5
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Firewall
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Remote-Domain-Durchsetzung (Split-Tunnel)
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Firewall-Ereignisse verwenden den Ereignisnamen als Beschreibung.
|
desc=Remote-Domain-Durchsetzung (Split-Tunnel)
|
|
TrendMicroDsScannerIp
|
TrendMicroDsScannerIp
|
Scanner-IP
|
Scanner-IP-Adresse
|
TrendMicroDsScannerIp=192.168.33.1
|
|
TrendMicroDsZielPortListe
|
TrendMicroDsZielPortListe
|
Zielportliste
|
Gescanntes Port-Liste
|
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
Format des Ereignisprotokolls für Integritätsüberwachung
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|30|New Integrity Monitoring Rule|6|cn1=1
cn1Label=Host ID dvchost=hostname act=updated filePath=c:\windows\message.dll suser=admin
sproc=C:\Windows\System32\notepad.exe msg=lastModified,sha1,sizeBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|2002779|cat=Integrity Monitor
name=Microsoft Windows - System file modified desc=Microsoft Windows - System file
modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 act=updated suser=admin sproc=C:\Windows\System32\notepad.exe|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
Die durch die Integritätsregel erkannte Aktion. Kann enthalten: erstellt, aktualisiert,
gelöscht oder umbenannt.
|
act=erstellt
act=gelöscht
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
filePath
|
filePath
|
Zielentität
|
Die Integritätsregel-Zieleinheit. Kann eine Datei oder einen Verzeichnispfad, einen
Registrierungsschlüssel usw. enthalten.
|
filePath=C:\WINDOWS\system32\drivers\etc\hosts
|
|
suser
|
suser
|
Quellbenutzer
|
Konto des Benutzers, der die überwachte Datei geändert hat.
|
suser=WIN-038M7CQDHIN\Administrator
|
|
sproc
|
sproc
|
Quellprozess
|
Der Name des Quellprozesses des Ereignisses.
|
sproc=C:\\Windows\\System32\\notepad.exe
|
|
msg
|
msg
|
Attributänderungen
|
(Nur für die Aktion "umbenannt") Eine Liste der geänderten Attributnamen. Wenn "Über
Manager weiterleiten" ausgewählt ist, enthalten alle Ereignisaktionstypen eine vollständige
Beschreibung.
|
msg=zuletzt geändert,sha1,Größe
|
|
oldfilePath
|
oldfilePath
|
Alte Zieleinheit
|
(Nur für die Aktion "umbenannt") Das vorherige Integritätsregel-Zielobjekt, um die
Umbenennungsaktion vom vorherigen Zielobjekt zum neuen zu erfassen, das im filePath-Feld
aufgezeichnet wird.
|
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=8
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Integritätsmonitor
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Microsoft Windows - Systemdatei geändert
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Die Integritätsüberwachung verwendet den Ereignisnamen als Beschreibung.
|
desc=Microsoft Windows - Systemdatei geändert
|
Format des Eindringschutz-Ereignisprotokolls
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|1001111|Test Intrusion Prevention
Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF
cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP
Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10
cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention
Flags TrendMicroDsPacketData=R0VUIC9zP3...Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|1000940|cat=Intrusion Prevention
name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun
Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host
ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41
srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128
out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset
cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI
Flags TrendMicroDsPacketData=R0VUIC9zP3...|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
act
|
act
|
Aktion
|
(IPS-Regeln, die vor Deep Security Version 7.5 SP1 geschrieben wurden, konnten zusätzlich
Einfügen-, Ersetzen- und Löschaktionen ausführen. Diese Aktionen werden nicht mehr
ausgeführt. Wenn eine ältere IPS-Regel ausgelöst wird, die weiterhin versucht, diese
Aktionen auszuführen, wird das Ereignis anzeigen, dass die Regel nur im Erkennungsmodus
angewendet wurde.)
|
act=Sperren
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cn3
|
cn3
|
Paketposition zum Eindringschutz
|
Position innerhalb des Datenpakets, das das Ereignis ausgelöst hat.
|
cn3=37
|
|
cn3Label
|
cn3Label
|
Paketposition zum Eindringschutz
|
Der Namensaufkleber für das Feld cn3.
|
cn3Label=Intrusion-Prevention-Paketposition
|
|
cnt
|
cnt
|
Wiederholungsanzahl
|
Die Anzahl der Male, die dieses Ereignis nacheinander wiederholt wurde.
|
cnt=8
|
|
cs1
|
cs1
|
Eindringschutzfilterhinweis
|
(Optional) Ein Notizfeld, das eine kurze Binär- oder Textnotiz enthalten kann, die
mit der Nutzlastdatei verknüpft ist. Wenn der Wert des Notizfeldes aus druckbaren
ASCII-Zeichen besteht, wird er als Text protokolliert, wobei Leerzeichen in Unterstriche
umgewandelt werden. Wenn es Binärdaten enthält, wird es mit Base-64-Codierung protokolliert.
|
cs1=Daten_löschen
|
|
cs1Label
|
cs1Label
|
Hinweis zur Eindringungsprävention
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=Eindringschutzhinweis
|
|
cs2
|
cs2
|
TCP-Flags
|
(Nur für das TCP-Protokoll) Das rohe TCP-Flag-Byte gefolgt von den URG-, ACK-, PSH-,
RST-, SYN- und FIN-Feldern kann vorhanden sein, wenn der TCP-Header gesetzt wurde.
|
cs2=0x10 ACK
cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP-Flags
|
Der Namensbezeichner für das Feld cs2.
|
cs2Label=TCP-Flags
|
|
cs3
|
cs3
|
Paketfragmentierungsinformationen
|
|
cs3=DF
cs3=MF
cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentierungsbits
|
Der Namensschild für das Feld cs3.
|
cs3Label=Fragmentierungsbits
|
|
cs4
|
cs4
|
ICMP-Typ und Code
|
(Nur für das ICMP-Protokoll) Der ICMP-Typ und der Code werden in ihrer jeweiligen
Reihenfolge durch ein Leerzeichen getrennt gespeichert.
|
cs4=11 0
cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
Der Namensschild für das Feld cs4.
|
cs4Label=ICMP-Typ und Code
|
|
cs5
|
cs5
|
Stream-Position des Eindringschutzes
|
Position innerhalb des Datenstroms, der das Ereignis ausgelöst hat.
|
cs5=128
cs5=20
|
|
cs5Label
|
cs5Label
|
Stream-Position des Eindringschutzes
|
Der Namensaufkleber für das Feld cs5.
|
cs5Label=Intrusion-Prevention-Stream-Position
|
|
cs6
|
cs6
|
Filter-Flags zum Eindringschutz
|
Ein kombinierter Wert, der die Summe der Flaggenwerte enthält:
|
Das folgende Beispiel wäre eine summierte Kombination von 1 (Daten abgeschnitten)
und 8 (Daten vorhanden): cs6=9
|
|
cs6Label
|
cs6Label
|
Eindringpräventionskennzeichen
|
Der Namensaufkleber für das Feld cs6.
|
cs6=Filterflags für Eindringungsschutz
|
|
dmac
|
dstMAC
|
MAC-Zieladresse
|
MAC-Adresse der Netzwerkschnittstelle des Zielcomputers.
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
Zielport
|
Anschlussport des Zielcomputers. Gilt nur für TCP- und UDP-Protokoll.
|
dpt=80
dpt=135
|
|
dst
|
dst
|
Ziel-IP-Adresse
|
Ziel-Computer-IP-Adresse.
|
dst=192.168.1.102
dst=10.30.128.2
|
|
xff
|
xff
|
X-Forwarded-For
|
Die IP-Adresse des letzten Hubs im X-Forwarded-For-Header. Dies ist typischerweise
die ursprüngliche IP-Adresse, jenseits des möglicherweise vorhandenen Proxys. Siehe
auch das Feld src. Um xff in Ereignisse einzubeziehen, aktivieren Sie die "1006540
- X-Forwarded-For HTTP-Header-Protokollierung aktivieren" Intrusion Prevention-Regel.
|
xff=192.168.137.1
|
|
in
|
in
|
Eingehende Byte gelesen
|
Anzahl der gelesenen eingehenden Byte. Nur für eingehende Verbindungen anwendbar.
|
in=137
in=21
|
|
aus
|
aus
|
Ausgehende Byte gelesen
|
Anzahl der gelesenen ausgehenden Byte. Gilt nur für ausgehende Verbindungen.
|
out=216
out=13
|
|
proto
|
proto
|
Transportprotokoll
|
Name des verwendeten Verbindungsprotokolls.
|
proto=tcp
proto=udp
proto=icmp
|
|
smac
|
srcMAC
|
MAC-Quelladresse
|
Quellnetzwerkschnittstellen-MAC-Adresse des Computers.
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
Quellport
|
Quellcomputer-Verbindungsport. Nur anwendbar auf TCP- und UDP-Protokoll.
|
spt=1032
spt=443
|
|
src
|
src
|
IP-Quelladresse
|
Quellcomputer-IP-Adresse. Dies ist die IP des letzten Proxy-Servers, falls vorhanden,
oder die Client-IP. Siehe auch das xff-Feld.
|
src=192.168.1.105
src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet-Rahmentyp
|
Verbindung Ethernet-Rahmentyp.
|
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Paketdaten
|
Die Paketdaten, dargestellt in Base64.
|
TrendMicroDsPacketData=R0VUIC9zP3...
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. Verwendet
stattdessen dvchost.
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. Verwendet stattdessen das
dvc-Feld.
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=Verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandantenname
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=10
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Eindringungsschutz
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Sun Java RunTime Environment Mehrere Pufferüberlauf-Schwachstellen
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Ereignisse zur Eindringungsprävention verwenden den Ereignisnamen
als Beschreibung.
|
desc=Mehrere Pufferüberlauf-Schwachstellen in der Sun Java Runtime Environment
|
|
cn2
|
cn2
|
Statuscode
|
Statuscode.
|
cn2=-501
|
Format des Protokollinspektionsereignisses
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|3002795|Microsoft Windows Events|8|cn1=1
cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon
Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog
Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no user): no
domain: WIN-RM6HM42G65V: An account failed to log on. Subject: ..Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|3003486|cat=Log Inspection name=Mail
Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI
Description fname= shost= msg=|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=113
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
cs1
|
cs1
|
Spezifische Unterregel
|
Die Log-Inspektionsunterregel, die dieses Ereignis ausgelöst hat.
|
Mehrere Windows-Auditfehler-Ereignisse
|
|
cs1Label
|
cs1Label
|
LI Beschreibung
|
Der Namensaufkleber für das Feld cs1.
|
cs1Label=LI Beschreibung
|
|
duser
|
duser
|
Benutzerinformationen
|
(Wenn ein analysierbarer Benutzername existiert) Der Name des Zielbenutzers hat den
Protokolleintrag initiiert.
|
duser=(kein Benutzer)
duser=NETZWERKDIENST
|
|
fname
|
fname
|
Zielentität
|
Das Zielobjekt der Protokollinspektionsregel. Kann einen Datei- oder Verzeichnispfad,
einen Registrierungsschlüssel usw. enthalten.
|
fname=Anwendung
fname=C:\Programmdateien\CMS\logs\server0.log
|
|
msg
|
msg
|
Details
|
Details des Log-Inspektionsereignisses. Kann eine ausführliche Beschreibung des erkannten
Log-Ereignisses enthalten.
|
msg=WinEvtLog: Anwendung: AUDIT_FEHLER(20187): pgEvent: (kein Benutzer): keine Domäne:
SERVER01: Fehler bei der Remoteanmeldung für Benutzer 'xyz'
|
|
shost
|
shost
|
Quell-Hostname
|
Quell-Computer-Hostname.
|
shost=webserver01.corp.com
|
|
src
|
src
|
IP-Quelladresse
|
IP-Quelladresse des Computers.
|
src=192.168.1.105
src=10.10.251.231
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=3
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Protokollinspektion
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=Mail Server - MDaemon
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung.
|
desc=Serverabschaltung
|
Web-Reputation-Ereignisformat
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|5000000|WebReputation|5|cn1=1 cn1Label=Host
ID dvchost=hostname request=example.com msg=Blocked By AdminBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|5000000|cat=Web Reputation name=WebReputation
desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
Anforderung
|
Anforderung
|
Anforderung
|
Die URL der Anforderung.
|
request=http://www.example.com/index.php
|
|
msg
|
msg
|
Nachricht
|
Der Aktionstyp. Mögliche Werte sind: Echtzeit, Geplant und Manuell.
|
Echtzeit
msg=Geplant
|
|
dvc
|
dvc
|
Geräteadresse
|
Der IPv4-Adress für cn1.
Erscheint nicht, wenn die Quelle eine IPv6-Adresse oder ein Hostname ist. (Verwendet
stattdessen dvchost.)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Ereignis-Tags
|
Server- und Workload Protection Ereignis-Tags, die dem Ereignis zugewiesen sind
|
TrendMicroDsTags=verdächtig
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Keine
|
sev
|
Schweregrad
|
Der Schweregrad des Ereignisses. 1 ist am wenigsten schwerwiegend; 10 ist am schwerwiegendsten.
|
sev=6
|
|
Keine
|
cat
|
Kategorie
|
Kategorie
|
cat=Web Reputation
|
|
Keine
|
name
|
Name
|
Ereignisname
|
name=WebReputation
|
|
Keine
|
desc
|
Beschreibung
|
Ereignisbeschreibung. Web Reputation verwendet den Ereignisnamen als Beschreibung.
|
desc=WebReputation
|
Gerätesteuerungsereignisformat
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1
cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1
device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName
serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain
deviceType=0 permission=0Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|50.0.1063|7000000|cat=Device Control name=DeviceControl
desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName
TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2
vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName
domainName=computerDomain deviceType=0 permission=0|
CEF-Erweiterungsfeld
|
LEEF-Erweiterungsfeld
|
Name
|
Beschreibung
|
Beispiele
|
|
cn1
|
cn1
|
Host-Identifikator
|
Die interne eindeutige Kennung des Agenten-Computers.
|
cn1=1
|
|
cn1Label
|
cn1Label
|
Host-ID
|
Der Namensaufkleber für das Feld cn1.
|
cn1Label=Host-ID
|
|
dvchost
|
dvchost
|
Gerät-Host-Name
|
Der Hostname oder die IPv6-Adresse für cn1.
Erscheint nicht, wenn die Quelle eine IPv4-Adresse ist. (Verwendet stattdessen das
dvc-Feld.)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsMandant
|
TrendMicroDsMandant
|
Mandantenname
|
Server- und Workload Protection Mandant
|
TrendMicroDsTenant=Primär
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
Mandanten-ID
|
Server- und Workload Protection Mandanten-ID
|
TrendMicroDsTenantId=0
|
|
Gerät
|
Gerät
|
Gerätename
|
Das Gerät, auf das zugegriffen wurde.
|
gerät=Sandisk_USB
|
|
processName
|
processName
|
Prozessname
|
Der Prozessname.
|
processName=someProcess.exe
|
|
FileName
|
FileName
|
Dateiname
|
Der Dateiname, auf den zugegriffen wurde.
|
fileName=E:\somepath\a.exe
|
|
vendor
|
vendor
|
Anbietername
|
Der Herstellername des Geräts.
|
anbieter=sandisk
|
|
seriell
|
seriell
|
Seriennummer
|
Die Seriennummer des Geräts.
|
serial=aaa-bbb-ccc
|
|
model
|
model
|
Modell
|
Der Produktname des Geräts.
|
model=A270_USB
|
|
computerName
|
computerName
|
Computername
|
Der Computername.
|
computerName=Jonh_Computer
|
|
domainName
|
domainName
|
Domänenname
|
Der Domänenname.
|
domainName=FirmenDomain
|
|
deviceType
|
deviceType
|
Gerätetyp
|
Der Gerätetyp des Geräts USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2)
|
deviceType=1
|
|
Berechtigung
|
Berechtigung
|
Berechtigung
|
Der Sperrgrund des Zugriffs SPERREN(0) SCHREIBGESCHÜTZT(2)
|
Berechtigung=0
|