CEFスパイウェア/グレーウェアのログ

ビュー:

CEFキー	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF:0
ヘッダ (vendor)	アプライアンスベンダ	Trend Micro
ヘッダ (pname)	アプライアンス製品	Apex Central
ヘッダ (pver)	アプライアンスバージョン	2019
ヘッダ (eventid)	デバイスイベントクラスID	Spyware Detected
ヘッダ (eventName)	イベント名	Spyware Detected
ヘッダ (severity)	重大度	3
cnt	検出数	例: "10"
rt	ログ生成日時 (UTC)	例: "Oct 06 2017 08:39:46 GMT+00:00"
cn1Label	"cn1"フィールドに対応するラベル	例: "Pattern Type"
cn1	パターンファイルの種類	例: "1073741840"
cs1Label	"cs1"フィールドに対応するラベル	例: "VirusName"
cs1	スパイウェア/グレーウェア	例: "ADW_OPENCANDY"
cs2Label	"cs2"フィールドに対応するラベル	例: "EngineVersion"
cs2	検索エンジンバージョン	例: "6.2.3027"
cs5Label	"cs5"フィールドに対応するラベル	例: "ActionResult"
cs5	処理	例: "Reboot system successfully" 詳細については、処理マッピングテーブルを参照してください。
cs6Label	"cs6"フィールドに対応するラベル	例: "PatternVersion"
cs6	パターンファイルバージョン	例: "1297"
cat	ログの種類	例: "1727"
dvchost	エンドポイントのホスト名	例: "ApexOneClient01"
deviceExternalId	ID	例: "3"
fname	リソース	例: "F:\\Malware\\psas\\rsrc2.bin"
filePath	リソース	例: "F:\\Malware\\psas\\rsrc2.bin"
dhost	エンドポイントのホスト名	例: "ApexOneClient01"
dst	エンドポイントのIPv4アドレス	例: "50.8.1.1"
c6a3Label	"c6a3"フィールドに対応するラベル	例: "SLP_DestinationIP"
c6a3	エンドポイントのIPv6アドレス	例: "fe80::38ca:cd15:443c:40bb%11"
fileHash	ファイルSHA-1	例: "D6712CAE5EC821F910E14945153AE7871AA536CA"
deviceFacility	製品名	例: "Apex One"
duser	ユーザ名	例: "Admin004"
cn2Label	"cn2"フィールドに対応するラベル	例: "Scan_Type"
cn2	検索の種類	例: "ScanNow" 詳細については、スパイウェア検索の種類のマッピングテーブルを参照してください。
cn3Label	"cn3"フィールドに対応するラベル	例: "Security_Threat_Type"
cn3	セキュリティの脅威の種類	例: "Adware" 詳細については、スパイウェアのリスクの種類のマッピングテーブルを参照してください。

ログの例:

CEF:0|Trend Micro|Apex Central|2019|Spyware Detected|Spywa
re Detected|3|deviceExternalId=3 rt=Oct 06 2017 08:39:46 GMT
+00:00 cnt=1 dhost=ApexOneClient01 cn1Label=PatternType cn1=
1073741840 cs1Label=VirusName cs1=ADW_OPENCANDY cs2Label=Eng
ineVersion cs2=6.2.3027 cs5Label=ActionResult cs5=Reboot sys
tem successfully cs6Label=PatternVersion cs6=1297 cat=1727 d
vchost=ApexOneClient01 fname=F:\\Malware\\psas\\rsrc2.bin fi
lePath=F:\\Malware\\psas\\rsrc2.bin dst=50.8.1.1 deviceFacil
ity=Apex One