|
CEFキー
|
説明
|
値
|
||
|
ヘッダ (logVer)
|
CEF形式バージョン
|
CEF:0
|
||
|
ヘッダ (vendor)
|
アプライアンスベンダ
|
Trend Micro
|
||
|
ヘッダ (pname)
|
アプライアンス製品
|
Apex Central
|
||
|
ヘッダ (pver)
|
アプライアンスバージョン
|
2019
|
||
|
ヘッダ (eventid)
|
AV: 処理
|
AV:File renamed
|
||
|
ヘッダ (eventName)
|
ウイルス/不正コード名
|
JS_EXPLOIT.SMDN
|
||
|
ヘッダ (severity)
|
重大度
|
3
|
||
|
cnt
|
検出数
|
例:
10 |
||
|
dhost
|
エンドポイント
|
例:
ApexOneClient01 |
||
|
duser
|
ユーザ
|
例:
Admin004 |
||
|
act
|
処理
|
例:
File renamed 詳細については、処理マッピングテーブルを参照してください。
|
||
|
rt
|
ログ生成日時 (UTC)
|
例: Oct 06 2017 08:39:46 GMT+00:00
|
||
|
cn1Label
|
cn1フィールドに対応するラベル |
例:
VLF_PatternNumber |
||
|
cn1
|
パターンファイル/ルールのバージョン
|
例:
920500 |
||
|
cn2Label
|
cn2フィールドに対応するラベル |
例:
VLF_SecondAction |
||
|
cn2
|
2次処理
|
例:
3 詳細については、2次処理マッピングテーブルを参照してください。
|
||
|
cs1Label
|
cs1フィールドに対応するラベル |
例:
VLF_FunctionCode |
||
|
cs1
|
検索の種類
|
例:
12
|
||
|
cs2Label
|
cs2フィールドに対応するラベル |
例:
VLF_EngineVersion |
||
|
cs2
|
検索エンジンバージョン
|
例:
9.500.1005 |
||
|
cs3Label
|
cs3フィールドに対応するラベル |
例:
CLF_ProductVersion |
||
|
cs3
|
製品バージョン
|
例:
11 |
||
|
cs4Label
|
cs4フィールドに対応するラベル |
例:
CLF_ReasonCode |
||
|
cs4
|
理由コード
|
例:
virus log |
||
|
cs5Label
|
cs5フィールドに対応するラベル |
例:
VLF_FirstActionResult |
||
|
cs5
|
1次処理結果
|
例:
Unable to clean file 詳細については、処理マッピングテーブルを参照してください。
|
||
|
cs6Label
|
cs6フィールドに対応するラベル |
例:
Second Action Result |
||
|
cs6
|
2次処理結果
|
例:
Unable to clean file.Passed 詳細については、処理マッピングテーブルを参照してください。
|
||
|
cat
|
ログの種類
|
例:
1703 |
||
|
dvchost
|
製品サーバ名
|
例:
ApexOneServer01 |
||
|
cn3Label
|
cn3フィールドに対応するラベル |
例:
CLF_SeverityCode |
||
|
cn3
|
重大度コード
|
例:
2
|
||
|
deviceExternalId
|
ID
|
例:
3 |
||
|
fname
|
ファイル
|
例:
FakeMalwareRebootDel.exe |
||
|
filePath
|
ファイルパス
|
例:
C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\ |
||
|
msg
|
圧縮ファイル内のファイル
|
例:
BMAC Schedule of Events.xls |
||
|
shost
|
配信元ホスト、UNC、メールアドレス
|
例:
xxx@test.com |
||
|
dst
|
エンドポイントのIPv4アドレス
|
例:
50.8.1.1 |
||
|
c6a3Label
|
c6a3フィールドに対応するラベル |
例:
SLP_DestinationIP |
||
|
c6a3
|
エンドポイントのIPv6アドレス
|
例:
fe80::38ca:cd15:443c:40bb%11 |
||
|
fileHash
|
ファイルSHA-1
|
例:
D6712CAE5EC821F910E14945153AE7871AA536CA |
||
|
deviceFacility
|
製品
|
例:
Apex One |
||
|
reason
|
重大な脅威の種類
|
例:
E
|
||
|
deviceNtDomain
|
Active Directoryドメイン
|
例: APEXTMCM
|
||
|
dntdom
|
Apex Oneドメイン階層
|
例: OSCEDomain1
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label= VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label= CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs 6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6 93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\ \Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\ \ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1 0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS- W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697