CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
AV: 処理 |
AV:File renamed |
ヘッダ (eventName) |
ウイルス/不正コード名 |
JS_EXPLOIT.SMDN |
ヘッダ (severity) |
重大度 |
3 |
cnt |
検出数 |
例: "10" |
dhost |
エンドポイント |
例: "ApexOneClient01" |
duser |
ユーザ |
例: "Admin004" |
act |
処理 |
例: "File renamed" 詳細については、処理マッピングテーブルを参照してください。 |
rt |
ログ生成日時 (UTC) |
例: Oct 06 2017 08:39:46 GMT+00:00 |
cn1Label |
"cn1"フィールドに対応するラベル |
例: "VLF_PatternNumber" |
cn1 |
パターンファイル/ルールのバージョン |
例: "920500" |
cn2Label |
"cn2"フィールドに対応するラベル |
例: "VLF_SecondAction" |
cn2 |
2次処理 |
例: "3" 詳細については、2次処理マッピングテーブルを参照してください。 |
cs1Label |
"cs1"フィールドに対応するラベル |
例: "VLF_FunctionCode" |
cs1 |
検索の種類 |
例: "12"
|
cs2Label |
"cs2"フィールドに対応するラベル |
例: "VLF_EngineVersion" |
cs2 |
検索エンジンバージョン |
例: "9.500.1005" |
cs3Label |
"cs3"フィールドに対応するラベル |
例: "CLF_ProductVersion" |
cs3 |
製品バージョン |
例: "11" |
cs4Label |
"cs4"フィールドに対応するラベル |
例: "CLF_ReasonCode" |
cs4 |
理由コード |
例: "virus log" |
cs5Label |
"cs5"フィールドに対応するラベル |
例: "VLF_FirstActionResult" |
cs5 |
1次処理結果 |
例: "Unable to clean file" 詳細については、処理マッピングテーブルを参照してください。 |
cs6Label |
"cs6"フィールドに対応するラベル |
例: "Second Action Result" |
cs6 |
2次処理結果 |
例: "Unable to clean file. Passed" 詳細については、処理マッピングテーブルを参照してください。 |
cat |
ログの種類 |
例: "1703" |
dvchost |
製品サーバ名 |
例: "ApexOneServer01" |
cn3Label |
"cn3"フィールドに対応するラベル |
例: "CLF_SeverityCode" |
cn3 |
重大度コード |
例: "2"
|
deviceExternalId |
ID |
例: "3" |
fname |
ファイル |
例: "FakeMalwareRebootDel.exe" |
filePath |
ファイルパス |
例: "C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\" |
msg |
圧縮ファイル内のファイル |
例: "BMAC Schedule of Events.xls" |
shost |
送信元ホスト |
例: "ABC-OSCE-WKS12" |
suser |
送信元ホスト |
例: "ABC-OSCE-WKS12" |
dst |
エンドポイントのIPv4アドレス |
例: "50.8.1.1" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "SLP_DestinationIP" |
c6a3 |
エンドポイントのIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
deviceFacility |
製品 |
例: "Apex One" |
理由 |
重大な脅威の種類 |
例: "E"
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 GMT +00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=File r enamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=VLF_Se condAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manual Scan c s2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=CLF_Produc tVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=virus log cs5L abel=VLF_FirstActionResult cs5=File renamed cs6Label=VLF_Sec ondActionResult cs6=N/A cat=1703 dvchost=ApexOneServer01 cn3 Label=CLF_ServerityCode cn3=2 fname=0348C693056617D34FC5B5BA B4643885FEE5FEDF;0xD5D56AC2 filePath=C:\\Users\\Administrato r\\Desktop\\trend_test_virus\\Trojans\\ msg=BMAC Schedule of Events.xls shost=ABC-OSCE-WKS12 suser=ABC-OSCE-WKS12 dst=10 .201.129.24 deviceFacility=Apex One reason=B