CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
NCIE: 処理 |
NCIE:Pass |
ヘッダ (eventName) |
名前 |
Suspicious Connection |
ヘッダ (severity) |
重大度 |
3 |
deviceExternalId |
ID |
例: "1" |
cat |
ログの種類 |
例: "1756" |
deviceFacility |
製品 |
例: "Apex One" |
rt |
ログ生成日時 (UTC) |
例: "Oct 11 2017 06:34:06 GMT+00:00" |
deviceProcessName |
プロセス |
例: "C:\\Windows\\system32\\svchost-1.exe" |
src |
ローカルIPv4アドレス |
例: "10.201.86.152" |
c6a2Label |
"c6a2"フィールドに対応するラベル |
例: "SLF_SourceIP" |
c6a2 |
ローカルIPv6アドレス |
例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d" |
spt |
ローカルIPアドレスポート番号 |
例: "54594" |
dst |
リモートIPv4アドレス |
例: "10.69.81.64" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "SLF_DestinationIP" |
c6a3 |
リモートIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
dpt |
リモートIPアドレスポート番号 |
例: "80" |
act |
処理 |
例: "1"
|
deviceDirection |
トラフィックの方向 |
例: "1"
|
cn1Label |
"cn1"フィールドに対応するラベル |
例: "SLF_PatternType" |
cn1 |
パターンファイルの種類 |
例: "2"
|
cs2Label |
"cs2"フィールドに対応するラベル |
例: "NCIE_ThreatName" |
cs2 |
脅威の名前 |
例: "Malicious_identified_CnC_querying_on_UDP_detected" |
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|NCIE:Pass|Suspicious C onnection|3|deviceExternalId=1 rt=Oct 11 2017 06:34:06 GMT+0 0:00 cat=1756 deviceFacility=Apex One deviceProcessName=C: \\Windows\\system32\\svchost-1.exe act=Pass src=10.201.86.15 2 dst=10.69.81.64 spt=54594 dpt=80 deviceDirection=None cn1L abel=SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Mali cious_identified_CnC_querying_on_UDP_detected reason=F