ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
アプライアンスベンダ
Trend Micro
ヘッダ (pname)
アプライアンス製品
Apex Central
ヘッダ (pver)
アプライアンスバージョン
2019
ヘッダ (eventid)
CnC: 処理
CnC:Block
ヘッダ (eventName)
名前
CnC Callback
ヘッダ (severity)
重大度
3
deviceExternalId
ID
例: 12
cat
ログの種類
例: 1756
deviceFacility
製品名
例: Apex One
cs2Label
cs2フィールドに対応するラベル
例: El_ProductVersion
cs2
製品バージョン
例: 11.0
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
shost
エンドポイントのホスト名
例: ApexOneClient01
src
エンドポイントのIPv4アドレス
例: 10.201.86.187
c6a2Label
c6a2フィールドに対応するラベル
例: SLF_ClientIP
c6a2
エンドポイントのIPv6アドレス
例: 2620:101:4003:7a0:fd4b:52ed:53bd:ae3d
cs3Label
cs3フィールドに対応するラベル
例: SLF_DomainName
cs3
ドメイン名
例: DOMAIN1
cs4Label
cs4フィールドに対応するラベル
例: SLF_PolicyName
cs4
ポリシー名
例: C&C Server URL in Web Reputation Services database - HTTP (Request)
act
処理
例: 2
  • 0: 不明
  • 1: 放置
  • 2: ブロック
  • 3: 監視
  • 4: 削除
  • 5: 隔離
  • 6: 警告
  • 7: 警告して続行
  • 8: オーバーライド
cn1Label
cn1フィールドに対応するラベル
例: SLF_CCCA_RiskLevel
cn1
C&Cリスクレベル
例: 1
  • 0: SLF_CCCA_RISKLEVEL_UNKNOWN
  • 1: SLF_CCCA_RISKLEVEL_LOW
  • 2: SLF_CCCA_RISKLEVEL_MEDIUM
  • 3: SLF_CCCA_RISKLEVEL_HIGH
cn2Label
cn2フィールドに対応するラベル
例: SLF_CCCA_DetectionSource
cn2
C&Cリストのソース
例: 1
  • 0: SLF_CCCA_GLOBAL_LIST
  • 1: SLF_CCCA_CUSTOM_LIST
  • 2: SLF_CCCA_CUSTOM_LIST_USER_DEFINED
cn3Label
cn3フィールドに対応するラベル
例: SLF_CCCA_DetectionFormat
cn3
コールバックアドレスの形式
例: 1
  • 0: IP
  • 1: IP
  • 2: HTTP
  • 3: SMTP
request
URL
例: http://CC13.jojo.com
deviceCustomDate1Label
deviceCustomDate1フィールドに対応するラベル
例: SLF_FirstSeen
deviceCustomDate1
コールバック試行が初めて監視されたときのUTC時間
例: Oct 10 2017 16:58:03 GMT+00:00
deviceCustomDate2Label
deviceCustomDate2フィールドに対応するラベル
例: SLF_LastSeen
deviceCustomDate2
コールバック試行が最後に監視されたときのUTC時間
例: Oct 11 2017 10:58:03 GMT+00:00
cs5Label
cs5フィールドに対応するラベル
例: CnCDestination
cs5
コールバックURLアドレス
例: http://CC13.jojo.com
dst
コールバックIPv4アドレス
例: 10.201.86.195
c6a3Label
c6a3フィールドに対応するラベル
例: CnCDestination
c6a3
コールバックIPv6アドレス
例: fe80::38ca:cd15:443c:40bb%11
deviceProcessName
プロセス名
例: C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe
dvchost
ホスト名
例: localhost
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
deviceDirection
ネットワークトラフィックの方向
例: 0
この値の意味は、catフィールドの値によって異なります。
cat フィールドの値が1756、1707、または1733の場合:
  • 0: 不明
  • 1: 受信
  • 2: 送信
cat フィールドの値が1739、1741、または1723の場合:
  • 0: 送信
  • 1: 受信
  • 2: 不明
catフィールドの値が1705、1735、または1775の場合:
  • -1: 不明
  • 0: 送信メール
  • 1: 受信メール
  • 2: 内部メール
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|CnC:Block|CnC Callback
|3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat
=1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2
=11.0 shost=ApexOneClient01 src=10.201.86.187 cs3Label=SLF_D
omainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel c
n1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CC
CA_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNa
me=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe 
deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 dvchost=localhost
TMCMLogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=10.201
.86.187 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C002
90C0360-9CDE11EB-D4B8-F51F-C697 deviceDirection=0 TMCMdevice
Platform=Windows 7 6.1 (Build 7601) Service Pack 1
Keywords: C&Cコールバック