CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
CnC: 処理 |
CnC:Block |
ヘッダ (eventName) |
名前 |
CnC Callback |
ヘッダ (severity) |
重大度 |
3 |
deviceExternalId |
ID |
例: "12" |
cat |
ログの種類 |
例: "1756" |
deviceFacility |
製品名 |
例: "Apex One" |
cs2Label |
"cs2"フィールドに対応するラベル |
例: "El_ProductVersion" |
cs2 |
製品バージョン |
例: "11.0" |
rt |
ログ生成日時 (UTC) |
例: "Oct 11 2017 06:34:09 GMT+00:00" |
shost |
エンドポイントのホスト名 |
例: "ApexOneClient01" |
src |
エンドポイントのIPv4アドレス |
例: "10.201.86.187" |
c6a2Label |
"c6a2"フィールドに対応するラベル |
例: "SLF_ClientIP" |
c6a2 |
エンドポイントのIPv6アドレス |
例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d" |
cs3Label |
"cs3"フィールドに対応するラベル |
例: "SLF_DomainName" |
cs3 |
ドメイン名 |
例: "DOMAIN1" |
cs4Label |
"cs4"フィールドに対応するラベル |
例: "SLF_PolicyName" |
cs4 |
ポリシー名 |
例: "C&C Server URL in Web Reputation Services database - HTTP (Request)" |
act |
処理 |
例: "2"
|
cn1Label |
"cn1"フィールドに対応するラベル |
例: "SLF_CCCA_RiskLevel" |
cn1 |
C&Cリスクレベル |
例: "1"
|
cn2Label |
"cn2"フィールドに対応するラベル |
例: "SLF_CCCA_DetectionSource" |
cn2 |
C&Cリストのソース |
例: "1"
|
cn3Label |
"cn3"フィールドに対応するラベル |
例: "SLF_CCCA_DetectionFormat" |
cn3 |
コールバックアドレスの形式 |
例: "1"
|
request |
URL |
例: "http://CC13.jojo.com" |
deviceCustomDate1Label |
"deviceCustomDate1"フィールドに対応するラベル |
例: "SLF_FirstSeen" |
deviceCustomDate1 |
コールバック試行が初めて監視されたときのUTC時間 |
例: "Oct 10 2017 16:58:03 GMT+00:00" |
deviceCustomDate2Label |
"deviceCustomDate2"フィールドに対応するラベル |
例: "SLF_LastSeen" |
deviceCustomDate2 |
コールバック試行が最後に監視されたときのUTC時間 |
例: "Oct 11 2017 10:58:03 GMT+00:00" |
cs5Label |
"cs5"フィールドに対応するラベル |
例: "CnCDestination" |
cs5 |
コールバックURLアドレス |
例: "http://CC13.jojo.com" |
dst |
コールバックIPv4アドレス |
例: "10.201.86.195" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "CnCDestination" |
c6a3 |
コールバックIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
deviceProcessName |
プロセス名 |
例: "C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe" |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|CnC:Block|CnC Callback |3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat =1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2 =11.0 shost=ApexOneClient01 src=10.201.86.187 cs3Label=SLF_D omainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel c n1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CC CA_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNa me=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe