CEF挙動監視ログ

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

挙動監視: ポリシーID

BM:1000

ヘッダ (eventName)

ログ名

Behavior Monitoring

ヘッダ (severity)

重大度

3

rt

ログ生成日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

dvchost

ホスト名

例: "localhost"

cn1Label

"cn1"フィールドに対応するラベル

"Risk Level"

cn1

リスクレベル

• 0: 低

• 1: 高

cs2Label

"cs2"フィールドに対応するラベル

"Policy ID"

cs2

ポリシーID

• 0: 感染実行可能ファイル

• 1: スタートアッププログラムの追加

• 2: ホストファイルの変更

• 3: DLL (プログラムライブラリ) インジェクション

• 4: Internet Explorerプラグインの追加

• 5: Internet Explorerの設定の変更

• 6: シェル設定の変更

• 7: サービスの追加

• 8: セキュリティポリシー設定の変更

• 9: ファイアウォールポリシー設定の変更

• 10: システムファイルの変更

• 11: システムファイルの複製

• 13: レイヤードサービスプロバイダ

• 14: システムプロセスの変更

• 16: 不審な挙動

• 100: 新しく検出されたプログラム

• 200: 不正なファイル暗号化

• 1000: 脅威の挙動分析

• 9999: ユーザ定義ポリシー

sproc

Aegisの件名

例: "C:\\Windows\\SysWOW64\\rundll32.exe"

cn2Label

"cn2"フィールドに対応するラベル

"Event Type"

cn2

イベントの種類

• 1: プロセス

• 2: プロセスイメージ

• 4: レジストリ

• 8: ファイルシステム

• 16: ドライバ

• 32: SDT

• 64: システムAPI

• 128: ユーザモード

• 2048: 攻撃コード

• 65535: すべて

cs1Label

"cs1"フィールドに対応するラベル

"Target"

cs1

対象ホスト

例: "HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+"

act

変換された処理

• 0: 許可

• 1: 確認

• 2: 拒否

• 3: 強制終了

• 4: 読み取りのみ許可

• 5: 読み取り/書き込みのみ許可

• 6: 読み取り/実行のみ許可

• 7: フィードバック

• 8: 駆除

• 1002: 不明

• 1003: 診断

• 1004: 強制終了。ファイルは復元されました。

• 1005: 強制終了。一部のファイルは復元されませんでした。

• 1006: 強制終了。ファイルは復元されませんでした。

• 1007: 強制終了。再開結果: ファイルは復元されました。

• 1008: 強制終了。再開結果: 一部のファイルは復元されませんでした。

• 1009: 強制終了。再開結果: ファイルは復元されませんでした。

cn3Label

"cn3"フィールドに対応するラベル

"TranslatedAegisOperation"

cn3

変換されたAegisオブジェクトに対する操作

• 101: プロセス作成

• 102: 開く

• 103: 強制終了

• 104: 強制終了

• 301: 削除

• 302: 書き込み

• 303: アクセス

• 401: ファイル作成

• 402: 閉じる

• 403: 実行

• 501: 起動

• 601: 攻撃コード

• 9999: 未処理のオペレーション

shost

送信元ホスト (エンドポイント)

例: "shost1"

src

送信元ホストIPアドレス

例: 10.0.147.105

deviceFacility

製品名

例: "Apex One"