ビュー:

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

トレンドマイクロ

ヘッダ (pname)

アプライアンス製品

Control Manager

ヘッダ (pver)

アプライアンスバージョン

7.0

ヘッダ (eventid)

CnC: 処理

CnC: ブロック

ヘッダ (eventName)

名前

CnCコールバック

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "12"

cat

ログの種類

例: "1756"

deviceFacility

製品名

例: "OfficeScan"

cs2Label

"cs2"フィールドに対応するラベル

例: "El_ProductVersion"

cs2

製品バージョン

例: "11.0"

rt

ログ生成日時 (UTC)

例: "2017/10/11 06:34:09 GMT+00:00"

shost

エンドポイントのホスト名

例: "OSCEClient01"

src

エンドポイントのIPv4アドレス

例: "10.201.86.187"

c6a2Label

"c6a2"フィールドに対応するラベル

例: "SLF_ClientIP"

c6a2

エンドポイントのIPv6アドレス

例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d"

cs3Label

"cs3"フィールドに対応するラベル

例: "SLF_DomainName"

cs3

ドメイン名

例: "DOMAIN1"

cs4Label

"cs4"フィールドに対応するラベル

例: "SLF_PolicyName"

cs4

ポリシー名

例: "Webレピュテーションサービスデータベース内のC&CサーバのURL - HTTP (要求)"

act

処理

例: "ブロック"

  • 0: 不明

  • 1: 放置

  • 2: ブロック

  • 3: 監視

  • 4: 削除

  • 5: 隔離

  • 6: 警告

  • 7: 警告して続行

  • 8: オーバーライド

cn1Label

"cn1"フィールドに対応するラベル

例: "SLF_CCCA_RiskLevel"

cn1

C&Cリスクレベル

例: "1"

  • 0: SLF_CCCA_RISKLEVEL_UNKNOWN

  • 1: SLF_CCCA_RISKLEVEL_LOW

  • 2: SLF_CCCA_RISKLEVEL_MEDIUM

  • 3: SLF_CCCA_RISKLEVEL_HIGH

cn2Label

"cn2"フィールドに対応するラベル

例: "SLF_CCCA_DetectionSource"

cn2

C&Cリストのソース

例: "1"

  • 0: SLF_CCCA_GLOBAL_LIST

  • 1: SLF_CCCA_CUSTOM_LIST

  • 2: SLF_CCCA_CUSTOM_LIST_USER_DEFINED

cn3Label

"cn3"フィールドに対応するラベル

例: "SLF_CCCA_DetectionFormat"

cn3

コールバックアドレスの形式

例: "1"

  • 0: IP

  • 1: IP

  • 2: HTTP

  • 3: SMTP

要求

URL

例: "http://CC13.jojo.com"

deviceCustomDate1Label

"deviceCustomDate1"フィールドに対応するラベル

例: "SLF_FirstSeen"

deviceCustomDate1

コールバック試行が初めて監視されたときのUTC時間

例: "2017/10/10 16:58:03 GMT+00:00"

deviceCustomDate2Label

"deviceCustomDate2"フィールドに対応するラベル

例: "SLF_LastSeen"

deviceCustomDate2

コールバック試行が最後に監視されたときのUTC時間

例: "2017/10/11 10:58:03 GMT+00:00"

cs5Label

"cs5"フィールドに対応するラベル

例: "CnCDestination"

cs5

コールバックURLアドレス

例: "http://CC13.jojo.com"

dst

コールバックIPv4アドレス

例: "10.201.86.195"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "CnCDestination"

c6a3

コールバックIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

deviceProcessName

プロセス名

例: "C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe"

ログの例:

CEF:0|Trend Micro|Control Manager|7.0|CnC:Block|CnC Callback
|3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat
=1756 deviceFacility=OfficeScan cs2Label=EI_ProductVersion c
s2=11.0 shost=OSCEClient01 src=10.201.86.187 cs3Label=SLF_Do
mainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel cn
1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CCC
A_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNam
e=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe
親トピック: Syslogコンテンツマッピング - CEF