CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
デバイスイベントクラスID |
Spyware Detected |
ヘッダ (eventName) |
イベント名 |
Spyware Detected |
ヘッダ (severity) |
重大度 |
3 |
cnt |
検出数 |
例: "10" |
rt |
ログ生成日時 (UTC) |
例: "Oct 06 2017 08:39:46 GMT+00:00" |
cn1Label |
"cn1"フィールドに対応するラベル |
例: "Pattern Type" |
cn1 |
パターンファイルの種類 |
例: "1073741840" |
cs1Label |
"cs1"フィールドに対応するラベル |
例: "VirusName" |
cs1 |
スパイウェア/グレーウェア |
例: "ADW_OPENCANDY" |
cs2Label |
"cs2"フィールドに対応するラベル |
例: "EngineVersion" |
cs2 |
検索エンジンバージョン |
例: "6.2.3027" |
cs5Label |
"cs5"フィールドに対応するラベル |
例: "ActionResult" |
cs5 |
処理 |
例: "Reboot system successfully" 詳細については、処理マッピングテーブルを参照してください。 |
cs6Label |
"cs6"フィールドに対応するラベル |
例: "PatternVersion" |
cs6 |
パターンファイルバージョン |
例: "1297" |
cat |
ログの種類 |
例: "1727" |
dvchost |
エンドポイントのホスト名 |
例: "ApexOneClient01" |
deviceExternalId |
ID |
例: "3" |
fname |
リソース |
例: "F:\\Malware\\psas\\rsrc2.bin" |
filePath |
リソース |
例: "F:\\Malware\\psas\\rsrc2.bin" |
dhost |
エンドポイントのホスト名 |
例: "ApexOneClient01" |
dst |
エンドポイントのIPv4アドレス |
例: "50.8.1.1" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "SLP_DestinationIP" |
c6a3 |
エンドポイントのIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
deviceFacility |
製品名 |
例: "Apex One" |
duser |
ユーザ名 |
例: "Admin004" |
cn2Label |
"cn2"フィールドに対応するラベル |
例: "Scan_Type" |
cn2 |
検索の種類 |
例: "ScanNow" 詳細については、スパイウェア検索の種類のマッピングテーブルを参照してください。 |
cn3Label |
"cn3"フィールドに対応するラベル |
例: "Security_Threat_Type" |
cn3 |
セキュリティの脅威の種類 |
例: "Adware" 詳細については、スパイウェアのリスクの種類のマッピングテーブルを参照してください。 |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|Spyware Detected|Spywa re Detected|3|deviceExternalId=3 rt=Oct 06 2017 08:39:46 GMT +00:00 cnt=1 dhost=ApexOneClient01 cn1Label=PatternType cn1= 1073741840 cs1Label=VirusName cs1=ADW_OPENCANDY cs2Label=Eng ineVersion cs2=6.2.3027 cs5Label=ActionResult cs5=Reboot sys tem successfully cs6Label=PatternVersion cs6=1297 cat=1727 d vchost=ApexOneClient01 fname=F:\\Malware\\psas\\rsrc2.bin fi lePath=F:\\Malware\\psas\\rsrc2.bin dst=50.8.1.1 deviceFacil ity=Apex One