CEFキー |
説明 |
値 |
---|---|---|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
ヘッダ (eventid) |
AV: 処理 |
AV:File renamed |
ヘッダ (eventName) |
ウイルス/不正コード名 |
JS_EXPLOIT.SMDN |
ヘッダ (severity) |
重大度 |
3 |
cnt |
検出数 |
例: "10" |
dhost |
エンドポイント |
例: "ApexOneClient01" |
duser |
ユーザ |
例: "Admin004" |
act |
処理 |
例: "File renamed" 詳細については、処理マッピングテーブルを参照してください。 |
rt |
ログ生成日時 (UTC) |
例: Oct 06 2017 08:39:46 GMT+00:00 |
cn1Label |
"cn1"フィールドに対応するラベル |
例: "VLF_PatternNumber" |
cn1 |
パターンファイル/ルールのバージョン |
例: "920500" |
cn2Label |
"cn2"フィールドに対応するラベル |
例: "VLF_SecondAction" |
cn2 |
2次処理 |
例: "3" 詳細については、2次処理マッピングテーブルを参照してください。 |
cs1Label |
"cs1"フィールドに対応するラベル |
例: "VLF_FunctionCode" |
cs1 |
検索の種類 |
例: "12"
|
cs2Label |
"cs2"フィールドに対応するラベル |
例: "VLF_EngineVersion" |
cs2 |
検索エンジンバージョン |
例: "9.500.1005" |
cs3Label |
"cs3"フィールドに対応するラベル |
例: "CLF_ProductVersion" |
cs3 |
製品バージョン |
例: "11" |
cs4Label |
"cs4"フィールドに対応するラベル |
例: "CLF_ReasonCode" |
cs4 |
理由コード |
例: "virus log" |
cs5Label |
"cs5"フィールドに対応するラベル |
例: "VLF_FirstActionResult" |
cs5 |
1次処理結果 |
例: "Unable to clean file" 詳細については、処理マッピングテーブルを参照してください。 |
cs6Label |
"cs6"フィールドに対応するラベル |
例: "Second Action Result" |
cs6 |
2次処理結果 |
例: "Unable to clean file.Passed" 詳細については、処理マッピングテーブルを参照してください。 |
cat |
ログの種類 |
例: "1703" |
dvchost |
製品サーバ名 |
例: "ApexOneServer01" |
cn3Label |
"cn3"フィールドに対応するラベル |
例: "CLF_SeverityCode" |
cn3 |
重大度コード |
例: "2"
|
deviceExternalId |
ID |
例: "3" |
fname |
ファイル |
例: "FakeMalwareRebootDel.exe" |
filePath |
ファイルパス |
例: "C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\" |
msg |
圧縮ファイル内のファイル |
例: "BMAC Schedule of Events.xls" |
shost |
配信元ホスト、UNC、メールアドレス 注:
このキーはシステムのログに含まれない場合があります。 |
例: "xxx@test.com" |
dst |
エンドポイントのIPv4アドレス |
例: "50.8.1.1" |
c6a3Label |
"c6a3"フィールドに対応するラベル |
例: "SLP_DestinationIP" |
c6a3 |
エンドポイントのIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
deviceFacility |
製品 |
例: "Apex One" |
reason |
重大な脅威の種類 |
例: "E"
|
deviceNtDomain |
Active Directoryドメイン |
例: APEXTMCM |
dntdom |
Apex Oneドメイン階層 |
例: OSCEDomain1 |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label= VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label= CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs 6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6 93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\ \Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\ \ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1 0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS- W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697