ビュー:

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

AV: 処理

AV:File renamed

ヘッダ (eventName)

ウイルス/不正コード名

JS_EXPLOIT.SMDN

ヘッダ (severity)

重大度

3

cnt

検出数

例: "10"

dhost

エンドポイント

例: "ApexOneClient01"

duser

ユーザ

例: "Admin004"

act

処理

例: "File renamed"

詳細については、処理マッピングテーブルを参照してください。

rt

ログ生成日時 (UTC)

例: Oct 06 2017 08:39:46 GMT+00:00

cn1Label

"cn1"フィールドに対応するラベル

例: "VLF_PatternNumber"

cn1

パターンファイル/ルールのバージョン

例: "920500"

cn2Label

"cn2"フィールドに対応するラベル

例: "VLF_SecondAction"

cn2

2次処理

例: "3"

詳細については、2次処理マッピングテーブルを参照してください。

cs1Label

"cs1"フィールドに対応するラベル

例: "VLF_FunctionCode"

cs1

検索の種類

例: "12"

  • 0: 不明

  • 1: 該当なし

  • 11: リアルタイム検索

  • 12: 手動検索

  • 13: 予約検索

  • 16: ScanNow

  • 17: カード検索

  • 18: ダメージクリーンナップサービス

  • 19: ストレージ検索

cs2Label

"cs2"フィールドに対応するラベル

例: "VLF_EngineVersion"

cs2

検索エンジンバージョン

例: "9.500.1005"

cs3Label

"cs3"フィールドに対応するラベル

例: "CLF_ProductVersion"

cs3

製品バージョン

例: "11"

cs4Label

"cs4"フィールドに対応するラベル

例: "CLF_ReasonCode"

cs4

理由コード

例: "virus log"

cs5Label

"cs5"フィールドに対応するラベル

例: "VLF_FirstActionResult"

cs5

1次処理結果

例: "Unable to clean file"

詳細については、処理マッピングテーブルを参照してください。

cs6Label

"cs6"フィールドに対応するラベル

例: "Second Action Result"

cs6

2次処理結果

例: "Unable to clean file.Passed"

詳細については、処理マッピングテーブルを参照してください。

cat

ログの種類

例: "1703"

dvchost

製品サーバ名

例: "ApexOneServer01"

cn3Label

"cn3"フィールドに対応するラベル

例: "CLF_SeverityCode"

cn3

重大度コード

例: "2"

  • 0: 不明

  • 1: 情報

  • 2: 警告

  • 3: エラー

  • 4: 重大

deviceExternalId

ID

例: "3"

fname

ファイル

例: "FakeMalwareRebootDel.exe"

filePath

ファイルパス

例: "C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\"

msg

圧縮ファイル内のファイル

例: "BMAC Schedule of Events.xls"

shost

配信元ホスト、UNC、メールアドレス

注:

このキーはシステムのログに含まれない場合があります。

例: "xxx@test.com"

dst

エンドポイントのIPv4アドレス

例: "50.8.1.1"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "SLP_DestinationIP"

c6a3

エンドポイントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

fileHash

ファイルSHA-1

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

deviceFacility

製品

例: "Apex One"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

ログの例:

CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP
LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G
MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi
le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=
VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua
l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=
CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi
rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs
6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape
xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6
93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\
\Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\
\ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1
0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom
ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS-
W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697
親トピック: Syslogコンテンツマッピング - CEF