ビュー:

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンス製品バージョン

2019

ヘッダ (eventid)

MS: フィルタ処理

MS:1

ヘッダ (eventName)

ポリシー名

Policy

ヘッダ (severity)

重大度

3

cnt

検出数

例: 10

dhost

すべての受信者のリスト

例: employee_a1@Acompany.com;employee_a2@Acompany.com

duser

受信者の1人

例: employee_a1@Acompany.com

act

フィルタ処理

例: "2"

詳細については、フィルタ処理マッピングテーブルを参照してください。

cs1Label

"cs1"フィールドに対応するラベル

例: "SL_PolicyContent"

cs1

ポリシー設定

例: "Default_policy"

cs2Label

"cs2"フィールドに対応するラベル

例: "CLF_ProductVersion"

cs2

製品バージョン

例: "11"

cs3Label

"cs3"フィールドに対応するラベル

例: "SL_FilterType"

cs3

フィルタの種類

例: "2"

  • 0: 不明

  • 1: ContentFilter

  • 2: AttachmentFilter

  • 3: StandardFilter

  • 4: SizeFilter

  • 5: DisclaimerMgr

  • 6: SpamFilter

  • 7: OPP

  • 8: ImportFilter

  • 9: PhishingFilter

  • 10: UrlReputationFilter

cs4Label

"cs4"フィールドに対応するラベル

例: "CLF_ReasonCode"

cs4

理由コード

例: "access"

cs5Label

"cs5"フィールドに対応するラベル

例: "CLF_ReasonCodeSource"

cs5

理由コードの送信元

例: "web"

cs6Label

"cs6"フィールドに対応するラベル

例: "SL_MessageAction"

cs6

処理

例: "3"

  • 0: 不明

  • 1: 該当なし

  • 2: 配信

  • 3: 削除

  • 4: 隔離

  • 5: 保留

  • 6: 通知

  • 7: 置換

  • 8: アーカイブ

  • 100: 削除 (ストリップ)

  • 101: 放置

cat

ログの種類

例: "1705"

dvchost

エンドポイントのホスト名

例: "ApexOneClient01"

rt

ログ生成日時 (UTC)

例: "Nov 15 2017 08:45:57 GMT+00:00"

cn1Label

"cn1"フィールドに対応するラベル

例: "CLF_SeverityCode"

cn1

重大度コード

例: "0"

  • 0: 不明

  • 1: 情報

  • 2: 警告

  • 3: エラー

  • 4: 重大

deviceExternalId

ID

例: "5"

fname

ファイル

例: "RERERW~42w.exe"

msg

件名

例: "Open this email to win a free phone"

shost

すべての違反送信者/ユーザのリスト

例: "bear" <bear@abc.mail.com>;"yumi" <yumi@abc.mail.com>

suser

違反送信者/ユーザの1人

例: "bear" <bear@abc.mail.com>

deviceFacility

製品

例: "Deep Discovery Email Inspector"

src

メール送信者のIPアドレス

例: "10.206.155.122"

filepath

不審ファイルの場所

例: "https://ca91-1.testurl.com:443"

request

不審URL

例: "https://ca91-1.testurl.com:443"

理由

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

ログの例:

CEF:0|Trend Micro|Apex Central|2019|MS:0|This is a policy 
name|3|deviceExternalId=90045 rt=Sep 17 2018 01:27:42 GMT+00
:00 dhost=user@test.com duser=user@test.com act=0 cs2Label=C
LF_ProductVersion cs2=3.2 cs3Label=SL_FilterType cs3=0 cs5La
bel=CLF_ReasonCodeSource cs5=20 cs6Label=SL_MessageAction cs
6=0 cat=1705 dvchost=ApexOneClient01 cn1Label=CLF_ServerityC
ode cn1=2 fname=NE_AEP.1550 msg=plain_qp_no8_av1u_NE_AEP.155
0 shost=user2@test.com suser=user2@test.com deviceFacility=D
eep Discovery Email Inspector src=10.206.155.122 reason=B,G
親トピック: Syslogコンテンツマッピング - CEF