ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
製品ベンダ
Trend Micro
ヘッダ (pname)
製品名
Apex Central
ヘッダ (pver)
製品バージョン
2019
ヘッダ (eventid)
PML: 処理結果
PML:File cleaned
ヘッダ (eventName)
検出名
virusa
ヘッダ (severity)
重大度
3
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
dvchost
製品サーバ
例: Sample_Host
cn1Label
cn1フィールドに対応するラベル
ThreatType
cn1
潜在的な脅威の種類
例: 35.143
詳細については、脅威の種類のマッピングテーブルを参照してください。
cs2Label
cs2フィールドに対応するラベル
DetectionName
cs2
セキュリティの脅威
例: Troj.Win32.TRX.XXPE002FF017
shost
感染エンドポイント
例: 10.0.0.1
suser
ログオンユーザ
例: TREND\\User
cn2Label
cn2フィールドに対応するラベル
DetectionType
cn2
検出の種類
例: 0
  • 0: ファイル
  • 1: プロセス
filePath
ファイルパス
例: "D:\\"
fname
ファイル名
例: ALCORMP.EXE
deviceCustomDate1
ファイル作成日時
例: 2017-04-26 05:53:27.000
sproc
システムプロセス
例: notepad.exe
cn4Label
cn4フィールドに対応するラベル
ProcessCommandLine
cs4
プロセスコマンド
例: notepad.exe
duser
プロセス所有者
例: user1
app
感染経路
例: 10
  • 0: 不明
  • 1: ローカルドライブ
  • 2: ネットワークドライブ
  • 3: 自動実行ファイル
  • 10: Web
  • 11: メール
  • 999: ローカルまたはネットワークドライブ
cs3Label
cs3フィールドに対応するラベル
InfectionLocation
cs3
感染元
例: http://10.0.0.1/
dst
製品/エンドポイントのIPv4アドレス
例: 10.0.17.6
c6a3Label
c6a3フィールドに対応するラベル
Product/Endpoint IP
c6a3
製品/エンドポイントのIPv6アドレス
例: fd66:5168:9882:6:b5b0:b2b5:4173:3f5d
cn3Label
cn3フィールドに対応するラベル
Confidence
cn3
脅威の可能性
例: 82
act
処理結果
例: 21
詳細については、処理マッピングテーブルを参照してください。
filehash
ファイルSHA-1
例: 52c17c785b45ee961f68fb17744276076f383085
dhost
製品のエンティティ名/エンドポイント
例: dhost1
deviceExternalId
ログの番号
例: 100
deviceFacility
製品
例: Apex One
reason
重大な脅威の種類
例: E
  • A: 既知のAPT (標的型サイバー攻撃)
  • B: ソーシャルエンジニアリング攻撃
  • C: 脆弱性に対する攻撃
  • D: 侵入拡大
  • E: 未知の脅威
  • F: C&Cコールバック
  • G: ランサムウェア
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|Detecti
on01|3|deviceExternalId=1 rt=Dec 01 2018 16:01:00 GMT+00:00 
deviceFacility=15 dvchost=OSCE01 cn1Label=ThreatType cn1=1 c
s2Label=DetectionName cs2=Detection01 shost=10.0.0.1 suser=S
ample_Domain\\Sample_User cn2Label=DetectionType cn2=0 fileP
ath=C:\\test01\\aaa.exe fname=aaa.exe deviceCustomDate1Label
=FileCreationDate deviceCustomDate1=Dec 02 2018 00:01:00 GMT
+00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4=not
epad.exe -test duser=admin01 app=1 cs3Label=InfectionLocatio
n cs3=https://10.1.1.1 dst=80.1.1.1 cn3Label=Confidence cn3=
81 act=21 fileHash=177750B65A21A9043105FD0820B85B58CF148A01 
dhost=OSCEClient11 reason=E deviceNtDomain=APEXTMCM dntdom=O
SCEDomain1 TMCMLogDetectedHost=OSCEClient11 TMCMLogDetectedI
P=80.1.1.1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C
00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windo
ws 7 6.1 (Build 7601) Service Pack 1