CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
製品ベンダ |
Trend Micro |
ヘッダ (pname) |
製品名 |
Apex Central |
ヘッダ (pver) |
製品バージョン |
2019 |
ヘッダ (eventid) |
挙動監視: ポリシーID |
BM:1000 |
ヘッダ (eventName) |
ログ名 |
Behavior Monitoring |
ヘッダ (severity) |
重大度 |
3 |
rt |
ログ生成日時 (UTC) |
例: "Feb 14 2017 11:14:08 GMT+00:00" |
dvchost |
ホスト名 |
例: "localhost" |
cs2Label |
"cs2"フィールドに対応するラベル |
"Policy" |
cs2 |
ポリシーの種類 |
|
sproc |
Aegisの件名 |
例: "C:\\Windows\\SysWOW64\\rundll32.exe" |
cs3Label |
"cs3"フィールドに対応するラベル |
"Event_Type" |
cs3 |
イベントの種類 |
|
cs4Label |
"cs4"フィールドに対応するラベル |
"Operation" |
cs4 |
変換されたAegisオブジェクトに対する操作 |
|
cs5Label |
"cs5"フィールドに対応するラベル |
"Risk_Level" |
cs5 |
リスクレベル |
例: "1"
|
cs1Label |
"cs1"フィールドに対応するラベル |
"Target" |
cs1 |
対象ホスト |
例: "HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+" |
act |
変換された処理 |
|
shost |
送信元ホスト (エンドポイント) |
例: "shost1" |
src |
送信元ホストIPアドレス |
例: 10.0.147.105 |
deviceFacility |
製品 |
例: "Apex One" |
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs 5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior Analysis sproc=subject cs3Label=Event_Type cs3=File system c s1Label=Target cs1=HKCU\\Software\\Microsoft\\Windows\\Curre ntVersion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create P rocess shost=shost1 src=10.0.76.40 deviceFacility=Apex One r eason=G