ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
製品ベンダ
Trend Micro
ヘッダ (pname)
製品名
Apex Central
ヘッダ (pver)
製品バージョン
2019
ヘッダ (eventid)
挙動監視ポリシーID
BM:1000
ヘッダ (eventName)
ログ名
Behavior Monitoring
ヘッダ (severity)
重大度
3
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
dvchost
ホスト名
例: localhost
cs2Label
cs2フィールドに対応するラベル
Policy
cs2
ポリシーの種類
  • 感染実行可能ファイル
  • スタートアッププログラムの追加
  • ホストファイルの変更
  • DLL (プログラムライブラリ) インジェクション
  • Internet Explorerプラグインの追加
  • Internet Explorer設定の変更
  • シェル設定の変更
  • サービスの追加
  • セキュリティポリシー設定の変更
  • ファイアウォールポリシー設定の変更
  • システムファイルの変更
  • システムファイルの複製
  • レイヤードサービスプロバイダ
  • システムプロセスの変更
  • 不審な挙動
  • 新たに検出されたプログラム
  • 不正なファイル暗号化
  • 脅威の挙動分析
  • ユーザ定義ポリシー
sproc
イベントの対象
例: C:\\Windows\\SysWOW64\\rundll32.exe
cs3Label
cs3フィールドに対応するラベル
Event_Type
cs3
イベントの種類
  • プロセス
  • プロセスイメージ
  • レジストリ
  • ファイルシステム
  • ドライバ
  • SDT
  • システムAPI
  • ユーザモード
  • 攻撃コード
  • すべて
cs4Label
cs4フィールドに対応するラベル
Operation
cs4
イベントの対象によって実行される操作
  • プロセス作成
  • 開く
  • 終了
  • 削除
  • 書き込み
  • 診断
  • ファイル作成
  • 閉じる
  • 実行
  • 起動
  • 攻撃コード
  • 未処理のオペレーション
cs5Label
cs5フィールドに対応するラベル
Risk_Level
cs5
リスクレベル
例: 1
  • 0: 低
  • 1: 高
TMCMLogTarget
対象ホスト
例: HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+
act
変換された処理
  • 許可
  • 確認
  • 拒否
  • 終了
  • 読み取りのみ許可
  • 読み取り/書き込みのみ許可
  • 読み取り/実行のみ許可
  • フィードバック
  • 駆除
  • 不明
  • 診断
  • 強制終了。ファイルは復元されました。
  • 強制終了。一部のファイルは復元されませんでした。
  • 強制終了。ファイルは復元されませんでした。
  • 強制終了。再開結果: ファイルは復元されました。
  • 強制終了: 再開結果: 一部のファイルは復元されませんでした。
  • 強制終了: 再開結果: ファイルは復元されませんでした。
shost
送信元ホスト (エンドポイント)
例: shost1
src
送信元ホストIPアドレス
例: 10.0.147.105
deviceFacility
製品
例: Apex One
reason
重大な脅威の種類
例: E
  • A: 既知のAPT (標的型サイバー攻撃)
  • B: ソーシャルエンジニアリング攻撃
  • C: 脆弱性に対する攻撃
  • D: 侵入拡大
  • E: 未知の脅威
  • F: C&Cコールバック
  • G: ランサムウェア
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor
ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs
5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior 
Analysis sproc=subject cs3Label=Event_Type cs3=File system 
TMCMLogTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVer
sion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create Proces
s shost=shost1 src=10.0.76.40 deviceFacility=Apex One reason
=G deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetecte
dHost=shost1 TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW
-CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F
-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service 
Pack 1
Keywords: 挙動監視