CEF機械学習型検索ログ · Customer Self-Service

ビュー:

CEFキー	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF:0
ヘッダ (vendor)	アプライアンスベンダ	トレンドマイクロ
ヘッダ (pname)	アプライアンス製品	Control Manager
ヘッダ (pver)	アプライアンスバージョン	7.0
ヘッダ (eventid)	PML: 処理結果	PML: ファイルはウイルス駆除されました
ヘッダ (eventName)	検出名	virusa
ヘッダ (severity)	重大度	3
rt	検出日時 (UTC)	例: "2017/2/14 11:14:08 GMT+00:00"
dvchost	製品サーバ	例: "Sample_OSCE"
cn1Label	"cn1"フィールドに対応するラベル	"潜在的な脅威の種類"
cn1	潜在的な脅威の種類	例: "35.143" 詳細については、脅威の種類のマッピングテーブルを参照してください。
cs2Label	"cs2"フィールドに対応するラベル	"セキュリティの脅威"
cs2	セキュリティの脅威	例: "Troj.Win32.TRX.XXPE002FF017"
shost	感染エンドポイント	例: "10.0.0.1"
suser	ログオンユーザ	例: "TREND\User"
cn2Label	"cn2"フィールドに対応するラベル	"種類"
cn2	検出の種類	例: "0" 0: ファイル 1: プロセス
filePath	ファイルパス	例: D:\
fname	ファイル名	例: ALCORMP.EXE
deviceCustomDate1	ファイル作成日時	例: "2017-04-26 05:53:27.000"
sproc	システムプロセス	例: "notepad.exe"
cn4Label	"cn4"フィールドに対応するラベル	"プロセスコマンド"
cs4	プロセスコマンド	例: "notepad.exe"
duser	プロセス所有者	例: "user1"
app	感染経路	例: "10" 0: 不明 1: ローカルドライブ 2: ネットワークドライブ 3: 自動実行ファイル 10: Web 11: メール 999: ローカルまたはネットワークドライブ
cs3Label	"cs3"フィールドに対応するラベル	"感染元"
cs3	感染元	例: "http://10.0.0.1/"
dst	製品/エンドポイントIP	例: "10.0.35.49"
c6a3Label	"c6a3"フィールドに対応するラベル	"製品/エンドポイントIP"
c6a3	製品/エンドポイントIP	例: "10.0.17.6"
cn3Label	"cn3"フィールドに対応するラベル	"脅威の可能性"
cn3	脅威の可能性	例: "82"
act	処理結果	例: "21" 詳細については、処理結果マッピングテーブルを参照してください。
filehash	ファイルSHA-1	例: "52c17c785b45ee961f68fb17744276076f383085"
dhost	製品のエンティティ名/エンドポイント	例: "dhost1"
deviceExternalId	ログの番号	例: "100"
deviceFacility	製品	例: "OfficeScan"

ログの例:

CEF:0|Trend Micro|Control Manager|7.0|PML:File cleaned|virus
a|3|deviceFacility=1 cs2Label=DetectionName cs2=virusa suser
=Sample-OSCE\\Administrator cn2Label=DetectionType cn2=0 fil
ePath=C:\\WindowsFILENAME deviceCustomDate1Label=FileCreatio
nDate deviceCustomDate1=Nov 03 2016 08:58:03 GMT+00:00 sproc
=notepad.exe cs4Label=ProcessCommandLine cs4=notepad.exe -te
st duser=admin app=2 cs3Label=InfectionLocation cs3=http://1
0.0.0.1/ dst=10.0.174.28 cn3Label=Confidence cn3=82 act=21