|
CEFキー |
説明 |
値 |
|---|---|---|
|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
|
ヘッダ (vendor) |
アプライアンスベンダ |
トレンドマイクロ |
|
ヘッダ (pname) |
アプライアンス製品 |
Control Manager |
|
ヘッダ (pver) |
アプライアンスバージョン |
7.0 |
|
ヘッダ (eventid) |
FH: 処理 |
FH: ログ |
|
ヘッダ (eventName) |
名前 |
不審ファイル |
|
ヘッダ (severity) |
重大度 |
3 |
|
deviceExternalId |
ID |
例: "1" |
|
cat |
ログの種類 |
例: "1766" |
|
deviceFacility |
製品名 |
例: "OfficeScan" |
|
cn1Label |
"cn1"フィールドに対応するラベル |
例: "SLF_ProductVersion" |
|
cn1 |
製品バージョン |
例: "11" |
|
rt |
検出日時 |
例: "2017/11/15 2:47:21 GMT+00:00" |
|
dst |
エンドポイントのIPv4アドレス |
例: "10.201.86.151" |
|
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "Endpoint IPv6 Address" |
|
c6a3 |
エンドポイントのIPv6アドレス |
例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d" |
|
dhost |
エンドポイントのホスト名 |
例: "OSCE-CLIENT-1" |
|
cs2Label |
"cs2"フィールドに対応するラベル |
例: "SLF_TrueFileType" |
|
cs2 |
ファイルタイプ |
例: "TEXT" |
|
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
|
cs3Label |
"cs3"フィールドに対応するラベル |
例: "SLF_FileSource" |
|
cs3 |
ファイルパス |
例: "C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE" |
|
cn2Label |
"cn2"フィールドに対応するラベル |
例: "SLF_SourceType" |
|
cn2 |
C&Cリストのソース |
例: "0"
|
|
act |
処理 |
例: "Log"
|
|
cn3Label |
"cn3"フィールドに対応するラベル |
例: "SLF_ScanType" |
|
cn3 |
検索の種類 |
例: "1"
|
ログの例:
CEF:0|Trend Micro|Control Manager|7.0|FH:Log|Suspicious File s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat =1766 deviceFacility=OfficeScan cn1Label=SLF_ProductVersion cn1=11 dst=10.201.86.151 dhost=OSCE-CLIENT-1 cs2Label=SLF_Tr ueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F910E 14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\Users\ \Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017 545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label=SL F_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1