CEF Endpoint Application Controlのログ

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

デバイスイベントクラスID

• 0: 許可

• 1: ブロック

• 2: ロックダウン

ヘッダ (eventName)

イベント名

Endpoint Application Control Violation Information

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "39"

rt

イベントトリガ時刻 (UTC)

例: "Mar 22 2018 08:23:23 GMT+00:00"

dvchost

コンピュータ名

例: "localhost"

shost

クライアントホスト名

例: "shost1"

cs1

製品サーバのパターンファイルバージョン

例: "1297"

suser

クライアントのユーザ名

例: "TREND\User"

cs2

クライアントのIPv4アドレス

例: "10.0.17.6"

c6a3

クライアントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

cn1

クライアントのステータス

• 1: データベースを再構築しています

• 2: オンライン

• 3: オフライン

filehash

アプリケーションのファイルSHA-1ハッシュ

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

fname

アプリケーションファイル名

例: "notepad.exe"

cs3

アプリケーションのプロセスコマンドライン

例: "notepad.exe"

duser

ユーザ名

例: "Admin004"

cs4

ルール名

例: "SAMPLE RULE SET"

cs5

ポリシー名

例: "SAMPLE POLICY"

act

ポリシー処理

• 0: 許可

• 1: ブロック

• 2: 許可として報告

• 3: ブロックとして報告

deviceFacility

製品名

例: "Trend Micro Endpoint Application Control"

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

TMCMdevicePlatform

エンドポイントのOS

例: Windows 7 6.1 (Build 7601) Service Pack 1