ビュー:

CEF検出ログ

CEFキー
説明
Header (logVer)
CEF形式のバージョン
CEF: 0
Header (vendor)
アプライアンスのベンダ
トレンドマイクロ
Header (pname)
アプライアンス製品
TMES
Header (pver)
アプライアンスのバージョン
例: 1.0.0.0
Header (eventid)
署名ID
100101
Header (eventName)
説明
DETECTION
Header (severity)
メールの重大度
6
rt
ログ生成日時
例: 2019-12-10T08:26:46.728Z
cs1Label
イベントの種類
eventType
cs1
イベントの種類
例: ransomware
cs2Label
ドメイン名
domainName
cs2
ドメイン名
例: example1.com
suser
メール送信者
例: user1@example1.com
duser
メール受信者
例: user2@example2.com
cs3Label
メールメッセージの方向
direction
cs3
メールメッセージの方向
  • incoming
  • outgoing
cs4Label
一意のメッセージID
messageId
cs4
一意のメッセージID
例: 201605181642138223747@trend.com
msg
メールの件名
例: hello
cn1Label
メールメッセージのサイズ
messageSize
cn1
メールメッセージのサイズ
例: 1809
cs5Label
違反イベントの分析
policyName
cs5
違反イベントの分析
例: Spam
cs6Label
違反イベントの詳細
詳細
cs6
違反イベントの詳細
例: {"threatNames":"Troj", "fileInfo":[{"fileName":"file1","fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e", "threatName":"Troj"}]}
act
イベント発生時の処理
  • Quarantine (隔離)
  • Bypass (処理なし)
  • Delete Attachment (添付ファイルを削除)
  • Insert Stamp (スタンプを挿入)
  • Tag Subject (件名にタグを挿入)
  • Change Recipient (受信者を変更)
  • Delete Message (メッセージを削除)
  • Send Notification (通知を送信)
  • Clean (駆除)
  • BCC (BCC)
  • Deliver (配信)
  • Insert X-Header (Xヘッダの挿入)
  • Encryption in progress (暗号化中)
ログの例:
CEF:0|Trend Micro|TMES|1.0.0.0|100101|DETECTION|6|rt=2019-12-10T08:26:46.728Z 
cs1Label=eventType cs1=virus cs2Label=domainName cs2=example1.com 
suser=user1@example1.com duser=user2@example2.com cs3Label=direction
cs3=incoming cs4Label=messageId cs4=201605181642138223747@trend.com 
msg=test sample cn1Label=messageSize cn1=1809 cs5Label=policyName 
cs5=Test Rule act=Quarantine cs6Label=details cs6={"threatNames":"Troj",
"fileInfo":[{"fileName":"file1",
"fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]}