1つのAttack Discoveryによる検出ログに関連するオブジェクトが4つを超える場合、Apex Centralでは最初の4つのオブジェクトのみが転送されます。
CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
イベントID |
700220 |
ヘッダ (eventName) |
ログ名 |
Attack Discovery Detections |
ヘッダ (severity) |
重大度 |
3 |
deviceExternalId |
ID |
例: "38" |
rt |
ログ生成日時 (UTC) |
例: "Mar 22 2018 08:23:23 GMT+00:00" |
dhost |
エンドポイントのホスト名 |
例: "ApexOneClient01" |
dst |
クライアントのIPv4アドレス |
例: "10.0.8.20" |
C6a3 |
クライアントのIPv6アドレス |
例: "fd96:7521:9502:6:b5b0:b2b5:4173:3f5d" |
duser |
ユーザ名 |
例: "Admin004" |
customerExternalID |
インスタンスID |
例: "8c1e2d8f-a03b-47ea-aef8-5aeab99ea697" |
cn1Label |
「cn1」フィールドに対応するラベル |
"SLF_RiskLevel" |
cn1 |
リスクレベル |
例: "0"
|
cn2Label |
「cn2」フィールドに対応するラベル |
"SLF_PatternNumber" |
cn2 |
パターンファイル番号 |
例: "30.1012.00" |
cs1Label |
「cs1」フィールドに対応するラベル |
"SLF_RuleID" |
cs1 |
ルールID |
例: "powershell invoke expression" |
cat |
カテゴリID |
例: "point of entry" |
cs2Label |
「cs2」フィールドに対応するラベル |
"SLF_ADEObjectGroup_Info_1" |
cs2 |
Attack Discoveryのオブジェクト情報 |
例: process - powershell.exe - { "META_FILE_MD5" : "9393f60b1739074eb17c5f4ddd efe239", "META_FILE_NAME" : "powershell.exe", "META_FILE_SHA1" : "887ce4a295c163791b60fc23d2 85e6d84f28ee4c", "META_FILE_SHA2" : "de96a6e50044335375dc1ac238 336066889d9ffc7d73628ef4fe 1b1b160ab32c", "META_PATH" : "c:\\windows\\system32\\wi ndowspowershell\\v1.0\\", "META_PROCESS_CMD" : [ "powershell cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" : "microsoft windows", "META_SIGNER_VALIDATION" : true, "META_USER_USER_NAME" : "Administrator", "META_USER_USER_SERVERNAME" : "Host", "OID" : 1 } |
cs3Label |
「cs3」フィールドに対応するラベル |
"SLF_ADEObjectGroup_Info_2" |
cs3 |
Attack Discoveryのオブジェクト情報 |
例: process - powershell.exe - { "META_FILE_MD5" : "9393f60b1739074eb17c5f4ddd efe239", "META_FILE_NAME" : "powershell.exe", "META_FILE_SHA1" : "887ce4a295c163791b60fc23d2 85e6d84f28ee4c", "META_FILE_SHA2" : "de96a6e50044335375dc1ac238 336066889d9ffc7d73628ef4fe 1b1b160ab32c", "META_PATH" : "c:\\windows\\system32\\wi ndowspowershell\\v1.0\\", "META_PROCESS_CMD" : [ "powershell cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" : "microsoft windows", "META_SIGNER_VALIDATION" : true, "META_USER_USER_NAME" : "Administrator", "META_USER_USER_SERVERNAME" : "Host", "OID" : 1 } |
cs4Label |
「cs4」フィールドに対応するラベル |
"SLF_ADEObjectGroup_Info_3" |
cs4 |
Attack Discoveryのオブジェクト情報 |
例: process - powershell.exe - { "META_FILE_MD5" : "9393f60b1739074eb17c5f4ddd efe239", "META_FILE_NAME" : "powershell.exe", "META_FILE_SHA1" : "887ce4a295c163791b60fc23d2 85e6d84f28ee4c", "META_FILE_SHA2" : "de96a6e50044335375dc1ac238 336066889d9ffc7d73628ef4fe 1b1b160ab32c", "META_PATH" : "c:\\windows\\system32\\wi ndowspowershell\\v1.0\\", "META_PROCESS_CMD" : [ "powershell cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" : "microsoft windows", "META_SIGNER_VALIDATION" : true, "META_USER_USER_NAME" : "Administrator", "META_USER_USER_SERVERNAME" : "Host", "OID" : 1 } |
cs5Label |
「cs5」フィールドに対応するラベル |
"SLF_ADEObjectGroup_Info_4" |
cs5 |
Attack Discoveryのオブジェクト情報 |
例: process - powershell.exe - { "META_FILE_MD5" : "9393f60b1739074eb17c5f4ddd efe239", "META_FILE_NAME" : "powershell.exe", "META_FILE_SHA1" : "887ce4a295c163791b60fc23d2 85e6d84f28ee4c", "META_FILE_SHA2" : "de96a6e50044335375dc1ac238 336066889d9ffc7d73628ef4fe 1b1b160ab32c", "META_PATH" : "c:\\windows\\system32\\wi ndowspowershell\\v1.0\\", "META_PROCESS_CMD" : [ "powershell cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" : "microsoft windows", "META_SIGNER_VALIDATION" : true, "META_USER_USER_NAME" : "Administrator", "META_USER_USER_SERVERNAME" : "Host", "OID" : 1 } |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+ 00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe l=SLF_RuleID cs1=powershell invoke expression cat=point of e ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - powers hell.exe - {#012 "META_FILE_MD5" : "7353f60b1739074eb17c5f 4dddefe239",#012 "META_FILE_NAME" : "powershell.exe",#012 "META_FILE_SHA1" : "6cbce4a295c163791b60fc23d285e6d84f28ee 4c",#012 "META_FILE_SHA2" : "de96a6e69944335375dc1ac238336 066889d9ffc7d73628ef4fe1b1b160ab32c",#012 "META_PATH" : "c :\\\\windows\\\\system32\\\\windowspowershell\\\\v1.0\\\\",# 012 "META_PROCESS_CMD" : [ "powershell iex test2" ],#012 "META_PROCESS_PID" : 10924,#012 "META_SIGNER" : "microso ft windows",#012 "META_SIGNER_VALIDATION" : true,#012 "M ETA_USER_USER_NAME" : "Administrator",#012 "META_USER_USER _SERVERNAME" : "VCAC-WINDOW-331",#012 "OID" : 1#012}#012