CEF検出ログ
CEFキー
|
説明
|
値
|
Header (logVer)
|
CEF形式のバージョン
|
CEF: 0
|
Header (vendor)
|
アプライアンスのベンダ
|
Trend Micro
|
Header (pname)
|
アプライアンス製品
|
TMES
|
Header (pver)
|
アプライアンスのバージョン
|
例: 1.0.0.0
|
Header (eventid)
|
署名ID
|
100101
|
Header (eventName)
|
説明
|
DETECTION
|
Header (severity)
|
メールの重大度
|
6
|
rt
|
ログ生成日時
|
例: 2019-12-10T08:26:46.728Z
|
cs1Label
|
イベントの種類
|
eventType
|
cs1
|
イベントの種類
|
例: ransomware
|
cs2Label
|
ドメイン名
|
domainName
|
cs2
|
ドメイン名
|
例: example1.com
|
suser
|
メール送信者
|
例: user1@example1.com
|
duser
|
メール受信者
|
例: user2@example2.com
|
cs3Label
|
メールメッセージの方向
|
direction
|
cs3
|
メールメッセージの方向
|
|
cs4Label
|
一意のメッセージID
|
messageId
|
cs4
|
一意のメッセージID
|
例: 201605181642138223747@trend.com
|
msg
|
メールの件名
|
例: hello
|
cn1Label
|
メールメッセージのサイズ
|
messageSize
|
cn1
|
メールメッセージのサイズ
|
例: 1809
|
cs5Label
|
違反イベントの分析
|
policyName
|
cs5
|
違反イベントの分析
|
例: Spam
|
cs6Label
|
違反イベントの詳細
|
詳細
|
cs6
|
違反イベントの詳細
|
例:
{"threatNames":"Troj", "fileInfo":[{"fileName":"file1","fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]} |
act
|
イベント発生時の処理
|
|
ログの例:
CEF:0|Trend Micro|TMES|1.0.0.0|100101|DETECTION|6|rt=2019-12-10T08:26:46.728Z cs1Label=eventType cs1=virus cs2Label=domainName cs2=example1.com suser=user1@example1.com duser=user2@example2.com cs3Label=direction cs3=incoming cs4Label=messageId cs4=201605181642138223747@trend.com msg=test sample cn1Label=messageSize cn1=1809 cs5Label=policyName cs5=Test Rule act=Quarantine cs6Label=details cs6={"threatNames":"Troj", "fileInfo":[{"fileName":"file1", "fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e", "threatName":"Troj"}]}