CEF挙動監視ログ

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

挙動監視: ポリシーID

BM:1000

ヘッダ (eventName)

ログ名

Behavior Monitoring

ヘッダ (severity)

重大度

3

rt

ログ生成日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

dvchost

ホスト名

例: "localhost"

cs2Label

"cs2"フィールドに対応するラベル

"Policy"

cs2

ポリシーの種類

• 感染実行可能ファイル

• スタートアッププログラムの追加

• ホストファイルの変更

• DLL (プログラムライブラリ) インジェクション

• Internet Explorerプラグインの追加

• Internet Explorer設定の変更

• シェル設定の変更

• サービスの追加

• セキュリティポリシー設定の変更

• ファイアウォールポリシー設定の変更

• システムファイルの変更

• システムファイルの複製

• レイヤードサービスプロバイダ

• システムプロセスの変更

• 不審な挙動

• 新たに検出されたプログラム

• 不正なファイル暗号化

• 脅威の挙動分析

• ユーザ定義ポリシー

sproc

Aegisの件名

例: "C:\\Windows\\SysWOW64\\rundll32.exe"

cs3Label

"cs3"フィールドに対応するラベル

"Event_Type"

cs3

イベントの種類

• プロセス

• プロセスイメージ

• レジストリ

• ファイルシステム

• ドライバ

• SDT

• システムAPI

• ユーザモード

• 攻撃コード

• すべて

cs4Label

"cs4"フィールドに対応するラベル

"Operation"

cs4

変換されたAegisオブジェクトに対する操作

• プロセス作成

• 開く

• 終了

• 削除

• 書き込み

• 診断

• ファイル作成

• 閉じる

• 実行

• 起動

• 攻撃コード

• 未処理のオペレーション

cs5Label

"cs5"フィールドに対応するラベル

"Risk_Level"

cs5

リスクレベル

例: "1"

• 0: 低

• 1: 高

cs1Label

"cs1"フィールドに対応するラベル

"Target"

cs1

対象ホスト

例: "HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+"

act

変換された処理

• 許可

• 確認

• 拒否

• 終了

• 読み取りのみ許可

• 読み取り/書き込みのみ許可

• 読み取り/実行のみ許可

• フィードバック

• 駆除

• 不明

• 診断

• 強制終了。ファイルは復元されました。

• 強制終了。一部のファイルは復元されませんでした。

• 強制終了。ファイルは復元されませんでした。

• 強制終了。再開結果: ファイルは復元されました。

• 強制終了: 再開結果: 一部のファイルは復元されませんでした。

• 強制終了: 再開結果: ファイルは復元されませんでした。

shost

送信元ホスト (エンドポイント)

例: "shost1"

src

送信元ホストIPアドレス

例: 10.0.147.105

deviceFacility

製品

例: "Apex One"

理由

重大な脅威の種類

例: "E"

• A: 既知のAPT (標的型サイバー攻撃)

• B: ソーシャルエンジニアリング攻撃

• C: 脆弱性に対する攻撃

• D: 侵入拡大

• E: 未知の脅威

• F: C&Cコールバック

• G: ランサムウェア