CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
製品ベンダ |
Trend Micro |
ヘッダ (pname) |
製品名 |
Apex Central |
ヘッダ (pver) |
製品バージョン |
2019 |
ヘッダ (eventid) |
PML: 処理結果 |
PML:File cleaned |
ヘッダ (eventName) |
検出名 |
virusa |
ヘッダ (severity) |
重大度 |
3 |
rt |
検出日時 (UTC) |
例: "Feb 14 2017 11:14:08 GMT+00:00" |
dvchost |
製品サーバ |
例: "Sample_Host" |
cn1Label |
"cn1"フィールドに対応するラベル |
"ThreatType" |
cn1 |
潜在的な脅威の種類 |
例: "35.143" 詳細については、脅威の種類のマッピングテーブルを参照してください。 |
cs2Label |
"cs2"フィールドに対応するラベル |
"DetectionName" |
cs2 |
セキュリティの脅威 |
例: "Troj.Win32.TRX.XXPE002FF017" |
shost |
感染エンドポイント |
例: "10.0.0.1" |
suser |
ログオンユーザ |
例: "TREND\\User" |
cn2Label |
"cn2"フィールドに対応するラベル |
"DetectionType" |
cn2 |
検出の種類 |
例: "0"
|
filePath |
ファイルパス |
例: "D:\\" |
fname |
ファイル名 |
例: ALCORMP.EXE |
deviceCustomDate1 |
ファイル作成日時 |
例: "2017-04-26 05:53:27.000" |
sproc |
システムプロセス |
例: "notepad.exe" |
cn4Label |
"cn4"フィールドに対応するラベル |
"ProcessCommandLine" |
cs4 |
プロセスコマンド |
例: "notepad.exe" |
duser |
プロセス所有者 |
例: "user1" |
app |
感染経路 |
例: "10"
|
cs3Label |
"cs3"フィールドに対応するラベル |
"InfectionLocation" |
cs3 |
感染元 |
例: "http://10.0.0.1/" |
dst |
製品/エンドポイントのIPv4アドレス |
例: "10.0.17.6" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
"Product/Endpoint IP" |
c6a3 |
製品/エンドポイントのIPv6アドレス |
例: "fd66:5168:9882:6:b5b0:b2b5:4173:3f5d" |
cn3Label |
"cn3"フィールドに対応するラベル |
"Confidence" |
cn3 |
脅威の可能性 |
例: "82" |
act |
処理結果 |
例: "21" 詳細については、処理マッピングテーブルを参照してください。 |
filehash |
ファイルSHA-1 |
例: "52c17c785b45ee961f68fb17744276076f383085" |
dhost |
製品のエンティティ名/エンドポイント |
例: "dhost1" |
deviceExternalId |
ログの番号 |
例: "100" |
deviceFacility |
製品 |
例: "Apex One" |
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|Detecti on01|3|deviceExternalId=1 rt=Dec 01 2018 16:01:00 GMT+00:00 deviceFacility=15 dvchost=OSCE01 cn1Label=ThreatType cn1=1 c s2Label=DetectionName cs2=Detection01 shost=10.0.0.1 suser=S ample_Domain\\Sample_User cn2Label=DetectionType cn2=0 fileP ath=C:\\test01\\aaa.exe fname=aaa.exe deviceCustomDate1Label =FileCreationDate deviceCustomDate1=Dec 02 2018 00:01:00 GMT +00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4=not epad.exe -test duser=admin01 app=1 cs3Label=InfectionLocatio n cs3=https://10.1.1.1 dst=80.1.1.1 cn3Label=Confidence cn3= 81 act=21 fileHash=177750B65A21A9043105FD0820B85B58CF148A01 dhost=OSCEClient11 reason=E