CEF侵入防御イベントログ

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

イベントID

ヘッダ (eventName)

ログ名

ヘッダ (severity)

重大度

3

dvchost

管理下のエンドポイントの表示名

例: "localhost"

rt

ログ生成日時 (UTC)

例: "Nov 15 2017 08:43:57 GMT +00:00"

src

送信元IPv4アドレス

例: 10.1.152.12

c6a2Label

「c6a2」フィールドに対応するラベル

SLF_SourceIPv6

c6a2

送信元IPv6アドレス

2001:b011:1004:325b:8db7:6ca9:8fc5:321a

smac

送信元MACアドレス

例: 18:31:BF:4F:30:DD

spt

送信元ポート

例: 60886

dst

送信先IPv4アドレス

例: 10.1.153.151

c6a3Label

「c6a3」フィールドに対応するラベル

SLF_DestinationIPv6

c6a3

送信先IPv6アドレス

例: 2001:b011:1004:325b:8db7:6ca9:8fc5:654a

dmac

送信先ホストMACアドレス

例: D0:17:C2:95:ED:71

dpt

送信先ポート

例: 139

cn2Label

「cn2」フィールドに対応するラベル

SLF_IsDetectionOnly

cn2

システムが「検出のみ」モードであるかどうかを示す

例: 0

• 0またはNULL = No

• 1 = Yes

act

処理

例: LOG

SLF_ACTIONマップ:

• 0 =不明

• 3 =削除

• 6 =ログ

• 10 =挿入/置換

• 13 =ブロック

• 257 =リセット

deviceDirection

受信方向または送信方向

例: Apex One

cn3Label

「cn3」フィールドに対応するラベル

SLF_Rank

cn3

イベントの重み付けされた優先度

例: 3

重大度xアセット値から算出

cn4Label

「cn4」フィールドに対応するラベル

SLF_SeverityCode

cn4

システム定義のイベント重大度値

例: 1

• 1 =低

• 2 =中

• 3 =高

• 4 =重大

proto

脆弱性を利用されているネットワークプロトコル

例: 10009

• 28 = ICMP

• 46 = ICMPv6

• 10003 = TCP

• 10004 = UDP

• 10005 = IGMP

• 10006 = GGP

• 10007 = PUP

• 10008 = IDP

• 10009 = ND

• 10010 = RAW

cs2Label

「cs2」フィールドに対応するラベル

SLF_ConnectionType

cs2

ネットワークアプリケーション名

例: DCERPC Services

cn1Label

「cn1」フィールドに対応するラベル

SLF_RuleID

cn1

監視ルールのID

例: 1005448

cs1Label

「cs1」フィールドに対応するラベル

SLF_RuleContent

cs1

ルールIDおよび説明の文字列リテラル

例: 1005448 - SMB Null Session Detected - 1

cnt

集計数

例: 1