ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
アプライアンスベンダ
Trend Micro
ヘッダ (pname)
アプライアンス製品
Apex Central
ヘッダ (pver)
アプライアンスバージョン
2019
ヘッダ (eventid)
FH: 処理
FH:Log
ヘッダ (eventName)
名前
Suspicious Files
ヘッダ (severity)
重大度
3
deviceExternalId
ID
例: 1
cat
ログの種類
例: 1766
deviceFacility
製品
例: Apex One
cn1Label
cn1フィールドに対応するラベル
例: SLF_ProductVersion
cn1
製品バージョン
例: 11
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
dst
エンドポイントのIPv4アドレス
例: 10.201.86.151
c6a3Label
c6a3フィールドに対応するラベル
例: Endpoint IPv6 Address
c6a3
エンドポイントのIPv6アドレス
例: 2620:101:4003:7a0:fd4b:52ed:53bd:ae3d
dhost
エンドポイントのホスト名
例: APEX-ONE-CLIENT-1
cs2Label
cs2フィールドに対応するラベル
例: SLF_TrueFileType
cs2
ファイルタイプ
例: TEXT
fileHash
ファイルSHA-1
例: D6712CAE5EC821F910E14945153AE7871AA536CA
cs3Label
cs3フィールドに対応するラベル
例: SLF_FileSource
cs3
ファイルパス
例: C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE
cn2Label
cn2フィールドに対応するラベル
例: SLF_SourceType
cn2
C&Cリストのソース
例: 0
  • 0: サンドボックス
  • 1: ユーザ定義
act
処理
例: 1
  • 1: ログ
  • 2: ブロック
  • 3: 隔離
cn3Label
cn3フィールドに対応するラベル
例: SLF_ScanType
cn3
検索の種類
例: 1
  • 1: 予約検索
  • 2: 手動検索
  • 3: ScanNow
  • 4: リアルタイム検索
reason
重大な脅威の種類
例: E
  • A: 既知のAPT (標的型サイバー攻撃)
  • B: ソーシャルエンジニアリング攻撃
  • C: 脆弱性に対する攻撃
  • D: 侵入拡大
  • E: 未知の脅威
  • F: C&Cコールバック
  • G: ランサムウェア
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
TMCMLogDetectedHost
ログイベントが発生したエンドポイント名
例: MachineHostName
TMCMLogDetectedIP
ログイベントが発生したIPアドレス
例: 10.1.2.3
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
エンドポイントのOS
例: Windows 7 6.1 (Build 7601) Service Pack 1
ログの例:
CEF:0|Trend Micro|Apex Central|2019|FH:Log|Suspicious File
s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat
=1766 deviceFacility=Apex One cn1Label=SLF_ProductVersion cn
1=11 dst=10.201.86.151 dhost=APEX-ONE-CLIENT-1 cs2Label=SLF_
TrueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F91
0E14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\User
s\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\0
17545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label=
SLF_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1 rea
son=E deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDete
ctedHost=APEX-ONE-CLIENT-1 TMCMLogDetectedIP=10.201.86.151
ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360-
9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Bu
ild 7601) Service Pack 1
Keywords: 不審ファイル