ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
製品ベンダ
Trend Micro
ヘッダ (pname)
製品名
Apex Central
ヘッダ (pver)
製品バージョン
2019
ヘッダ (eventid)
イベントID
  
ヘッダ (eventName)
ログ名
  
ヘッダ (severity)
重大度
3
dvchost
管理下のエンドポイントの表示名
例: localhost
rt
ログ生成日時 (UTC)
例: Nov 15 2017 08:43:57 GMT +00:00
src
送信元IPv4アドレス
例: 10.1.152.12
c6a2Label
「c6a2」フィールドに対応するラベル
SLF_SourceIPv6
c6a2
送信元IPv6アドレス
2001:b011:1004:325b:8db7:6ca9:8fc5:321a
smac
送信元MACアドレス
例: 18:31:BF:4F:30:DD
spt
送信元ポート
例: 60886
dst
送信先IPv4アドレス
例: 10.1.153.151
c6a3Label
「c6a3」フィールドに対応するラベル
SLF_DestinationIPv6
c6a3
送信先IPv6アドレス
例: 2001:b011:1004:325b:8db7:6ca9:8fc5:654a
dmac
送信先ホストMACアドレス
例: D0:17:C2:95:ED:71
dpt
送信先ポート
例: 139
cn2Label
「cn2」フィールドに対応するラベル
SLF_IsDetectionOnly
cn2
システムが「検出のみ」モードであるかどうかを示す
例: 0
  • 0またはNULL = No
  • 1 = Yes
act
処理
例: LOG
SLF_ACTIONマップ:
  • 0 =不明
  • 3 =削除
  • 6 =ログ
  • 10 =挿入/置換
  • 13 =ブロック
  • 257 =リセット
deviceDirection
受信方向または送信方向
例: Apex One
cn3Label
「cn3」フィールドに対応するラベル
SLF_Rank
cn3
イベントの重み付けされた優先度
例: 3
重大度xアセット値から算出
cn4Label
「cn4」フィールドに対応するラベル
SLF_SeverityCode
cn4
システム定義のイベント重大度値
例: 1
  • 1 =低
  • 2 =中
  • 3 =高
  • 4 =重大
proto
脆弱性を利用されているネットワークプロトコル
例: 10009
  • 28 = ICMP
  • 46 = ICMPv6
  • 10003 = TCP
  • 10004 = UDP
  • 10005 = IGMP
  • 10006 = GGP
  • 10007 = PUP
  • 10008 = IDP
  • 10009 = ND
  • 10010 = RAW
cs2Label
「cs2」フィールドに対応するラベル
SLF_ConnectionType
cs2
ネットワークアプリケーション名
例: DCERPC Services
cn1Label
「cn1」フィールドに対応するラベル
SLF_RuleID
cn1
監視ルールのID
例: 1005448
cs1Label
「cs1」フィールドに対応するラベル
SLF_RuleContent
cs1
ルールIDおよび説明の文字列リテラル
例: 1005448 - SMB Null Session Detected - 1
cnt
集計数
例: 1
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|Log|1009549 - Detected T
erminal Services (RDP) Server Traffic - 1 (ATT&CK T1015,T104
3,T1076,T1048,T1032,T1071)|3|rt=Apr 20 2020 03:33:20 GMT+00:
00 dvchost=OSCEClient23 deviceFacility=Apex One act=Log,src=
10.1.1.9 dst=80.1.1.9 smac=54-BF-64-84-7F-09 spt=89 dmac=54-
BF-64-84-7F-19 dpt=449 cn2Label=SLF_IsDetectionOnly cn2=0 de
viceDirection=Inbound cn3Label=SLF_Rank cn3=1 cn4Label=SLF_S
everityCode cn4=1 proto=10009 cs2Label=SLF_ConnectionType cs
2=N/A cn1Label=SLF_RuleID cn1=1009549 cs1Label=SLF_RuleConte
nt cs1=1009549 - Detected Terminal Services (RDP) Server Tra
ffic - 1 (ATT&CK T1015,T1043,T1076,T1048,T1032,T1071) cnt=1 
deviceNtDomain=APEXTMCM dntdom=OSCEDomain1
Keywords: 侵入防御イベントログ