ビュー:
注意
注意
サンドボックス検出ログは、Apex Central管理コンソールでは「仮想アナライザによる検出」と表記されます。
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
アプライアンスベンダ
Trend Micro
ヘッダ (pname)
アプライアンス製品
Apex Central
ヘッダ (pver)
アプライアンスバージョン
2019
ヘッダ (eventid)
デバイスイベントクラスID
VAD
ヘッダ (eventName)
イベント名
Virtual Analyzer detection name
ヘッダ (severity)
重大度
3
deviceExternalId
ID
例: 2
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
deviceFacility
製品
例: Apex One
dvchost
サーバ名
例: OSCE01
dhost
エンドポイント名
例: Isolate-ClientA
dst
エンドポイントのIPv4アドレス
例: 10.0.17.6
c6a3
エンドポイントのIPv6アドレス
例: fe80::38ca:cd15:443c:40bb%11
app
エントリチャネル
例: 0
詳細については、プロトコルマッピングテーブルを参照してください。
sourceServiceName
ソース
例: Test1@tmcm.extbeta.com
destinationServiceName
配信先
例: Test2@tmcm.extbeta.com;Test3@tmcm.extbeta.com
sproc
プロセス名
例: VA
fileHash
ファイルSHA-1ハッシュ
例: D6712CAE5EC821F910E14945153AE7871AA536CA
fname
ファイル名
例: C:\\\\QA_Log.zip
request
URL
例: http://127.1.1.1
cs1
仮想アナライザによって判別されたセキュリティの脅威の名前
例: VAN_RANSOMWARE.umxxhelloransom_abc
cn1
仮想アナライザによって割り当てられたリスクレベルを示します。
例: 0
  • 0: リスクなし
  • 1: リスク低
  • 2: リスク中
  • 3: リスク高
  • 9999: 不明
cs2
セキュリティの脅威の種類を示します。
例: Anti-security, self-preservation
cs3
クラウドストレージベンダ
例: Google Drive
  • Dropbox
  • Box
  • Google Drive
  • Microsoft OneDrive
  • SugarSync
  • Hightail
  • Evernote
  • Microsoft Exchange Online
  • Microsoft SharePoint Online
  • Unknown
  • N/A
reason
重大な脅威の種類
例: E
  • A: 既知のAPT (標的型サイバー攻撃)
  • B: ソーシャルエンジニアリング攻撃
  • C: 脆弱性に対する攻撃
  • D: 侵入拡大
  • E: 未知の脅威
  • F: C&Cコールバック
  • G: ランサムウェア
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF: 0|Trend Micro|Apex Central|2019|VAD|VAN_RANSOMWARE.um
xxhelloransom_abc|3|deviceExternalId=2 rt=Mar 22 2018 08:23:
23 GMT+00:00 deviceFacility=Apex One dvchost=OSCE01 dhost=
Isolate-ClientA dst=0.0.0.0 app=1 sourceServiceNameTest1@tre
nd.com.tw destinationServiceName=Test2@tmcm.extbeta.com;Test
3@tmcm.extbeta.com sproc=VA fileHash=3395856CE81F2B7382DEE72
602F798B642F14140 fname=C:\\\\QA_Log.zip request=http://127.
1.1.1 cs1Label=Security_Threat cs1=VAN_RANSOMWARE.umxxhellor
ansom_abc cn1Label=Risk_Level cn1=0 cs2Label=Threat_Categori
es cs2=Anti-security, self-preservation cs3Label=Cloud_Servi
ce_Vendor cs3=Google Drive reason=E deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 TMCMLogDetectedHost=OSCEClient TMCMLogDe
tectedIP=0.0.0.0 ApexCentralHost=TW-CHRIS-W2019 devicePaylo
adId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatfor
m=Windows 7 6.1 (Build 7601) Service Pack 1
Keywords: 仮想アナライザ,サンドボックス検出ログ