ビュー:
注:

1つのAttack Discoveryによる検出ログに関連するオブジェクトが4つを超える場合、Apex Centralでは最初の4つのオブジェクトのみが転送されます。

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

イベントID

700220

ヘッダ (eventName)

ログ名

Attack Discovery Detections

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "38"

rt

ログ生成日時 (UTC)

例: "Mar 22 2018 08:23:23 GMT+00:00"

dhost

エンドポイントのホスト名

例: "ApexOneClient01"

dst

クライアントのIPv4アドレス

例: "10.0.8.20"

C6a3

クライアントのIPv6アドレス

例: "fd96:7521:9502:6:b5b0:b2b5:4173:3f5d"

duser

ユーザ名

例: "Admin004"

customerExternalID

インスタンスID

例: "8c1e2d8f-a03b-47ea-aef8-5aeab99ea697"

cn1Label

「cn1」フィールドに対応するラベル

"SLF_RiskLevel"

cn1

リスクレベル

例: "0"

  • 0: 不明

  • 100: リスク低

  • 500: リスク中

  • 1000: リスク高

cn2Label

「cn2」フィールドに対応するラベル

"SLF_PatternNumber"

cn2

パターンファイル番号

例: "30.1012.00"

cs1Label

「cs1」フィールドに対応するラベル

"SLF_RuleID"

cs1

ルールID

例: "powershell invoke expression"

cat

カテゴリID

例: "point of entry"

cs2Label

「cs2」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_1"

cs2

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs3Label

「cs3」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_2"

cs3

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs4Label

「cs4」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_3"

cs4

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs5Label

「cs5」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_4"

cs5

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

ログの例:

CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery 
Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+
00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern
alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL
evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe
l=SLF_RuleID cs1=powershell invoke expression cat=point of e
ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - powers
hell.exe - {#012   "META_FILE_MD5" : "7353f60b1739074eb17c5f
4dddefe239",#012   "META_FILE_NAME" : "powershell.exe",#012 
  "META_FILE_SHA1" : "6cbce4a295c163791b60fc23d285e6d84f28ee
4c",#012   "META_FILE_SHA2" : "de96a6e69944335375dc1ac238336
066889d9ffc7d73628ef4fe1b1b160ab32c",#012   "META_PATH" : "c
:\\\\windows\\\\system32\\\\windowspowershell\\\\v1.0\\\\",#
012   "META_PROCESS_CMD" : [ "powershell  iex test2" ],#012 
  "META_PROCESS_PID" : 10924,#012   "META_SIGNER" : "microso
ft windows",#012   "META_SIGNER_VALIDATION" : true,#012   "M
ETA_USER_USER_NAME" : "Administrator",#012   "META_USER_USER
_SERVERNAME" : "VCAC-WINDOW-331",#012   "OID" : 1#012}#012