CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
FH: 処理 |
FH:Log |
ヘッダ (eventName) |
名前 |
Suspicious Files |
ヘッダ (severity) |
重大度 |
3 |
deviceExternalId |
ID |
例: "1" |
cat |
ログの種類 |
例: "1766" |
deviceFacility |
製品 |
例: "Apex One" |
cn1Label |
"cn1"フィールドに対応するラベル |
例: "SLF_ProductVersion" |
cn1 |
製品バージョン |
例: "11" |
rt |
検出日時 |
例: "Nov 15 2017 02:47:21 GMT+00:00" |
dst |
エンドポイントのIPv4アドレス |
例: "10.201.86.151" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "Endpoint IPv6 Address" |
c6a3 |
エンドポイントのIPv6アドレス |
例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d" |
dhost |
エンドポイントのホスト名 |
例: "APEX-ONE-CLIENT-1" |
cs2Label |
"cs2"フィールドに対応するラベル |
例: "SLF_TrueFileType" |
cs2 |
ファイルタイプ |
例: "TEXT" |
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
cs3Label |
"cs3"フィールドに対応するラベル |
例: "SLF_FileSource" |
cs3 |
ファイルパス |
例: "C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE" |
cn2Label |
"cn2"フィールドに対応するラベル |
例: "SLF_SourceType" |
cn2 |
C&Cリストのソース |
例: "0"
|
act |
処理 |
例: "1"
|
cn3Label |
"cn3"フィールドに対応するラベル |
例: "SLF_ScanType" |
cn3 |
検索の種類 |
例: "1"
|
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|FH:Log|Suspicious File s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat =1766 deviceFacility=Apex One cn1Label=SLF_ProductVersion cn 1=11 dst=10.201.86.151 dhost=APEX-ONE-CLIENT-1 cs2Label=SLF_ TrueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F91 0E14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\User s\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\0 17545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label= SLF_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1 rea son=E