ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
アプライアンスベンダ
Trend Micro
ヘッダ (pname)
アプライアンス製品
Apex Central
ヘッダ (pver)
アプライアンスバージョン
2019
ヘッダ (eventid)
NCIE: 処理
NCIE:Pass
ヘッダ (eventName)
名前
Suspicious Connection
ヘッダ (severity)
重大度
3
deviceExternalId
ID
例: 1
cat
ログの種類
例: 1756
deviceFacility
製品
例: Apex One
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
deviceProcessName
プロセス
例: C:\\Windows\\system32\\svchost-1.exe
src
ローカルIPv4アドレス
例: 10.201.86.152
c6a2Label
c6a2フィールドに対応するラベル
例: SLF_SourceIP
c6a2
ローカルIPv6アドレス
例: 2620:101:4003:7a0:fd4b:52ed:53bd:ae3d
spt
ローカルIPアドレスポート番号
例: 54594
dst
リモートIPv4アドレス
例: 10.69.81.64
c6a3Label
c6a3フィールドに対応するラベル
例: SLF_DestinationIP
c6a3
リモートIPv6アドレス
例: fe80::38ca:cd15:443c:40bb%11
dpt
リモートIPアドレスポート番号
例: 80
act
処理
例: 1
  • 0: 不明
  • 1: 放置
  • 2: ブロック
  • 3: 監視
  • 4: 削除
  • 5: 隔離
  • 6: 警告
  • 7: 警告して続行
  • 8: オーバーライド
deviceDirection
トラフィックの方向
例: 1
  • 0: なし
  • 1: 受信
  • 2: 送信
cn1Label
cn1フィールドに対応するラベル
例: SLF_PatternType
cn1
パターンファイルの種類
例: 2
  • 0: グローバルC&Cパターンファイル
  • 1: 適合度ルール
  • 2: ユーザ指定ブロックリスト
cs2Label
cs2フィールドに対応するラベル
例: NCIE_ThreatName
cs2
脅威の名前
例: Malicious_identified_CnC_querying_on_UDP_detected
reason
重大な脅威の種類
例: E
  • A: 既知のAPT (標的型サイバー攻撃)
  • B: ソーシャルエンジニアリング攻撃
  • C: 脆弱性に対する攻撃
  • D: 侵入拡大
  • E: 未知の脅威
  • F: C&Cコールバック
  • G: ランサムウェア
dvchost
ホスト名
例: localhost
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|NCIE:Pass|Suspicious 
Connection|3|deviceExternalId=1 rt=Oct 11 2017 06:34:06 GMT+0
0:00 cat=1756 deviceFacility=Apex One deviceProcessName=C:\\W
indows\\system32\\svchost-1.exe act=Pass src=10.201.86.152 ds
t=10.69.81.64 spt=54594 dpt=80 deviceDirection=None cn1Label=
SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Malicious_
identified_CnC_querying_on_UDP_detected reason=F deviceNtDoma
in=APEXTMCM dntdom=OSCEDomain1 dvchost=shost1 TMCMLogDetected
Host=shost1 TMCMLogDetectedIP=10.1.2.3ApexCentralHost=TW-CHRI
S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1
Keywords: ネットワークコンテンツ検査