サンドボックス検出ログは、Apex Central管理コンソールでは「仮想アナライザによる検出」と表記されます。
CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
デバイスイベントクラスID |
VAD |
ヘッダ (eventName) |
イベント名 |
Virtual Analyzer detection name |
ヘッダ (severity) |
重大度 |
3 |
deviceExternalId |
ID |
例: "2" |
rt |
ログ生成日時 (UTC) |
例: "Mar 22 2018 08:23:23 GMT+00:00" |
deviceFacility |
製品 |
例: "Apex One" |
dvchost |
サーバ名 |
例: "OSCE01" |
dhost |
エンドポイント名 |
例: "Isolate-ClientA" |
dst |
エンドポイントのIPv4アドレス |
例: "10.0.17.6" |
c6a3 |
エンドポイントのIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
app |
エントリチャネル |
例: "0" 詳細については、プロトコルマッピングテーブルを参照してください。 |
sourceServiceName |
ソース |
例: "Test1@tmcm.extbeta.com" |
destinationServiceName |
配信先 |
例: "Test2@tmcm.extbeta.com;Test3@tmcm.extbeta.com" |
sproc |
プロセス名 |
例: "VA" |
fileHash |
ファイルSHA-1ハッシュ |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
fname |
ファイル名 |
例: "C:\\\\QA_Log.zip" |
request |
URL |
例: "http://127.1.1.1" |
cs1 |
仮想アナライザによって判別されたセキュリティの脅威の名前 |
例: "VAN_RANSOMWARE.umxxhelloransom_abc" |
cn1 |
仮想アナライザによって割り当てられたリスクレベルを示します。 |
例: "0"
|
cs2 |
セキュリティの脅威の種類を示します。 |
例: "Anti-security, self-preservation" |
cs3 |
クラウドストレージベンダ |
例: "Google Drive"
|
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF: 0|Trend Micro|Apex Central|2019|VAD|VAN_RANSOMWARE.um xxhelloransom_abc|3|deviceExternalId=2 rt=Mar 22 2018 08:23: 23 GMT+00:00 deviceFacility=Apex One dvchost=OSCE01 dhost= Isolate-ClientA dst=0.0.0.0 app=1 sourceServiceNameTest1@tre nd.com.tw destinationServiceName=Test2@tmcm.extbeta.com;Test 3@tmcm.extbeta.com sproc=VA fileHash=3395856CE81F2B7382DEE72 602F798B642F14140 fname=C:\\\\QA_Log.zip request=http://127. 1.1.1 cs1Label=Security_Threat cs1=VAN_RANSOMWARE.umxxhellor ansom_abc cn1Label=Risk_Level cn1=0 cs2Label=Threat_Categori es cs2=Anti-security, self-preservation cs3Label=Cloud_Servi ce_Vendor cs3=Google Drive reason=E