CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
製品ベンダ |
Trend Micro |
ヘッダ (pname) |
製品名 |
Apex Central |
ヘッダ (pver) |
製品バージョン |
2019 |
ヘッダ (eventid) |
イベントID |
|
ヘッダ (eventName) |
ログ名 |
|
ヘッダ (severity) |
重大度 |
3 |
dvchost |
管理下のエンドポイントの表示名 |
例: "localhost" |
rt |
ログ生成日時 (UTC) |
例: "Nov 15 2017 08:43:57 GMT +00:00" |
src |
送信元IPv4アドレス |
例: 10.1.152.12 |
c6a2Label |
「c6a2」フィールドに対応するラベル |
SLF_SourceIPv6 |
c6a2 |
送信元IPv6アドレス |
2001:b011:1004:325b:8db7:6ca9:8fc5:321a |
smac |
送信元MACアドレス |
例: 18:31:BF:4F:30:DD |
spt |
送信元ポート |
例: 60886 |
dst |
送信先IPv4アドレス |
例: 10.1.153.151 |
c6a3Label |
「c6a3」フィールドに対応するラベル |
SLF_DestinationIPv6 |
c6a3 |
送信先IPv6アドレス |
例: 2001:b011:1004:325b:8db7:6ca9:8fc5:654a |
dmac |
送信先ホストMACアドレス |
例: D0:17:C2:95:ED:71 |
dpt |
送信先ポート |
例: 139 |
cn2Label |
「cn2」フィールドに対応するラベル |
SLF_IsDetectionOnly |
cn2 |
システムが「検出のみ」モードであるかどうかを示す |
例: 0
|
act |
処理 |
例: LOG SLF_ACTIONマップ:
|
deviceDirection |
受信方向または送信方向 |
例: Apex One |
cn3Label |
「cn3」フィールドに対応するラベル |
SLF_Rank |
cn3 |
イベントの重み付けされた優先度 |
例: 3 重大度xアセット値から算出 |
cn4Label |
「cn4」フィールドに対応するラベル |
SLF_SeverityCode |
cn4 |
システム定義のイベント重大度値 |
例: 1
|
proto |
脆弱性を利用されているネットワークプロトコル |
例: 10009
|
cs2Label |
「cs2」フィールドに対応するラベル |
SLF_ConnectionType |
cs2 |
ネットワークアプリケーション名 |
例: DCERPC Services |
cn1Label |
「cn1」フィールドに対応するラベル |
SLF_RuleID |
cn1 |
監視ルールのID |
例: 1005448 |
cs1Label |
「cs1」フィールドに対応するラベル |
SLF_RuleContent |
cs1 |
ルールIDおよび説明の文字列リテラル |
例: 1005448 - SMB Null Session Detected - 1 |
cnt |
集計数 |
例: 1 |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|Log|1009549 - Detected T erminal Services (RDP) Server Traffic - 1 (ATT&CK T1015,T104 3,T1076,T1048,T1032,T1071)|3|rt=Apr 20 2020 03:33:20 GMT+00: 00 dvchost=OSCEClient23 deviceFacility=Apex One act=Log,src= 10.1.1.9 dst=80.1.1.9 smac=54-BF-64-84-7F-09 spt=89 dmac=54- BF-64-84-7F-19 dpt=449 cn2Label=SLF_IsDetectionOnly cn2=0 de viceDirection=Inbound cn3Label=SLF_Rank cn3=1 cn4Label=SLF_S everityCode cn4=1 proto=10009 cs2Label=SLF_ConnectionType cs 2=N/A cn1Label=SLF_RuleID cn1=1009549 cs1Label=SLF_RuleConte nt cs1=1009549 - Detected Terminal Services (RDP) Server Tra ffic - 1 (ATT&CK T1015,T1043,T1076,T1048,T1032,T1071) cnt=1