CEFキー |
説明 |
値 |
|---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
|
ヘッダ (vendor) |
製品ベンダ |
Trend Micro |
|
ヘッダ (pname) |
製品名 |
Apex Central |
|
ヘッダ (pver) |
製品バージョン |
2019 |
|
ヘッダ (eventid) |
イベントID |
1745 |
|
ヘッダ (eventName) |
ログ名 |
製品監査イベント |
|
ヘッダ (severity) |
重大度 |
3 |
|
cat |
ログの種類 |
1745 |
|
deviceFacility |
管理下の製品 |
例: "Apex One" |
|
dvchost |
管理下のエンドポイントの表示名 |
例: "localhost" |
|
rt |
ログ生成日時 (UTC) |
例: Apr 20 2020 03:33:15 GMT+00:00 |
|
cn1Label |
"cn1"フィールドに対応するラベル |
SLF_CategoryID |
|
cn1 |
カテゴリID |
例: "536,870,912" |
|
cn2Label |
「cn2」フィールドに対応するラベル |
SLF_SeverityLevel |
|
cn2 |
重大度レベル |
例: "4"
|
|
suser |
イベントを発生させたユーザの名前 |
例: administrator |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|Delete|1009490 - Block A dministrative Share - 1 (ATT&CK T1077,T1105)|3|rt=Apr 20 202 0 03:33:15 GMT+00:00 dvchost=OSCEClient22 deviceFacility=Ape x One act=Delete, src=10.1.1.8 dst=80.1.1.8 smac=54-BF-64-84 -7F-08 spt=88 dmac=54-BF-64-84-7F-18 dpt=448 cn2Label=SLF_Is DetectionOnly cn2=1 deviceDirection=Outbound cn3Label=SLF_Ra nk cn3=100 cn4Label=SLF_SeverityCode cn4=4 proto=10008 cs2La bel=SLF_ConnectionType cs2=Suspicious Client Application Act ivity cn1Label=SLF_RuleID cn1=1009490 cs1Label=SLF_RuleConte nt cs1=1009490 - Block Administrative Share - 1 (ATT&CK T107 7,T1105) cnt=1