次の表は、C&Cコールバックのイベント通知メッセージをカスタマイズする際のトークン変数について示しています。
すべてのイベント通知でサポートされている標準トークン変数のリストについては、通知メッセージのカスタマイズを参照してください。
変数 |
説明 |
---|---|
%CnC_LIST_SRC% |
コールバックアドレスを含むリストの名前 |
%CNC_PD_NAME% |
ログを送信した管理下の製品のサーバの製品ID |
%CNC_PD_VERSION% |
ログを送信した管理下の製品のサーバのバージョン |
%CNC_PD_NODE% |
ログを送信した管理下の製品のサーバのエンドポイント名 |
%CNC_PD_IP% |
ログを送信した管理下の製品サーバのIPアドレス |
%CNC_EVTTIME% |
ログが生成された時間 |
%CNC_AGENTNAME% |
コールバックを検出したセキュリティエージェントエンドポイントの名前 |
%CNC_AGENTIP% |
コールバックを検出したセキュリティエージェントエンドポイントのIPアドレス |
%CNC_AGENTDOMAIN% |
コールバックを検出したセキュリティエージェントエンドポイントのApex Oneドメイン |
%CNC_POLICY_RULE% |
コールバックを検出したポリシーのルールIDの名前 |
%CNC_ACTION% |
セキュリティログ、個人用ファイアウォール、NCIEログ、Webセキュリティログの処理結果 |
%CNC_EMAIL_SENDER% |
コールバックと関連付けられたメール送信者 |
%CNC_EMAIL_SUBJECT% |
コールバックと関連付けられたメールの件名 |
%CNC_RISKLEVEL% |
C&Cサーバと関連付けられた不正プログラムのグループのリスクレベル |
%CNC_DETECT_SOURCE% |
検出ルールを定義したC&Cリスト |
%CNC_CHANNEL% |
配信先の形式を示す種類ID |
%CNC_URL% |
エンドポイントがアクセスを試行したリモートURL |
%CNC_URL_CATEGORY% |
エンドポイントがアクセスを試行したサイトのURLカテゴリ |
%CNC_IP_PORT% |
C&CサーバのIPアドレスとポート |
%CNC_EMAIL_REPT% |
コールバックと関連付けられたメール受信者 |
%CNC_FIRST_SEEN% |
C&Cサーバの最初の既知の検出 |
%CNC_LAST_SEEN% |
C&Cサーバの最後の既知の検出 |
%CNC_LOCATION% |
C&Cサーバの国番号 |
%CNC_MALEWARE_FAMILY% |
C&C検出に関連付けられた不正プログラムファミリ |
%CNC_ATTACK_GROUP% |
C&Cグループリスト |
%CNC_PROCESS_NAME% |
C&C検出に関連付けられたプロセス名 |
%CALLBACK_ADDR% |
感染ホストがコールバック試行したURL、IPアドレス、またはメールアドレス |
%COMPR_HOST% |
影響を受けたホストまたはメールアドレス |
%CALLBACK_NUM% |
コールバックアドレスと感染ホスト間でのコンタクト数 |
%COMPR_HOST_NUM% |
アウトブレークに関係している感染ホストの数 |
%CALLBACK_ADDR_NUM% |
アウトブレークに関係しているコールバックアドレスの数 |