共通イベント形式 (CEF) とログイベント拡張形式 (LEEF) のログメッセージ形式は若干異なります。たとえば、GUIの「送信元ユーザ」列は、CEFの「suser」という名前のフィールドに対応します。
LEEFでは、同じフィールドの名前が「usrName」になります。ログメッセージのフィールドは、イベントの発生元がエージェントと Server & Workload Protection のどちらであるか、およびログメッセージを作成した機能によっても異なります。
 |
注意Syslogメッセージが切り捨てられる場合は、ユーザデータグラムプロトコル (UDP) を使用している可能性があります。切り捨てを防ぐには、SyslogメッセージをTransport
Layer Security (TLS) 経由で転送します。 TLSへの切り替え手順については、を参照してください。 syslog設定の定義。
|
|
注意基本Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、およびアプリケーションコントロールの保護モジュールではサポートされていません。
|
syslogメッセージがServer & Workload Protectionから送信される場合、いくつかの違いがあります。元のエージェントホスト名 (イベントの発生元) を保持するために、新しい拡張子 (「dvc」または「dvchost」)
が存在します。ホスト名がIPv4アドレスの場合は「dvc」が使用され、ホスト名およびIPv6アドレスの場合は「dvchost」が使用されます。
さらに、イベントにタグが付けられている場合は、拡張機能「TrendMicroDsTags」が使用されます。これは、将来の実行で自動タグ付けされる場合にのみ適用されます。イベントはServer & Workload Protectionによって収集されるときにのみsyslogを介して転送されるためです。Workload Securityを通じて中継されるログの製品名は引き続き「Deep Security
Agent」と表示されますが、製品バージョンはServer & Workload Protectionのバージョンです。
CEFのsyslogメッセージの形式
すべてのCEFイベントには、イベントの送信元である元のエージェントを特定するために、「dvc=IPv4 Address」または「dvchost=Hostname」
(またはIPv6アドレス) が含まれます。 Server & Workload Protectionから送信されるイベントでは、メッセージのsyslog送信者がイベントの発信者ではないため、この拡張子は重要です。
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
ログエントリの送信元が Server & Workload Protection かエージェントかを判断するには、[デバイスの製品] 欄を確認します。
[CEFログエントリのサンプル:] 1月18日 11:07:53 dsmhost CEF:0|トレンドマイクロ|[Workload Security Manager]|<Workload Security version> |600|管理者がログインしました|4|suser=Master...
|
注意Virtual Applianceで保護されていて、Agentで保護されていない仮想マシンで発生したイベントも、Agentからのイベントとして識別されます。
|
イベントをトリガしたルールの種類を判断するには、「署名ID (Signature ID)」フィールドと「名前 (Name)」フィールドを確認します。
[ログエントリのサンプル:] 3月19日 15:19:15 root CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |123|許可されていないポリシー|5|cn1=1...
次の「署名ID (Signature ID)」の値は、トリガされたイベントの種類を示します。
|
署名ID
|
説明
|
|
10
|
カスタム侵入防御 (IPS) ルール
|
|
20
|
ログのみのファイアウォールルール
|
|
21
|
ファイアウォールルールを拒否
|
|
30
|
カスタム変更監視ルール
|
|
40
|
カスタムセキュリティログインスペクションルール
|
|
100~7499
|
システムイベント
|
|
100~199
|
ポリシー ファイアウォールルールとファイアウォールステートフル設定
|
|
200~299
|
IPSの内部エラー
|
|
300~399
|
SSL/TLSイベント
|
|
500~899
|
IPSの正規化
|
|
1,000,000~1,999,999
|
トレンドマイクロのIPSルール。署名IDはIPSrule IDと同じです。
|
|
2,000,000~2,999,999
|
変更監視ルール。署名IDは、変更監視ルールID + 1,000,000です。
|
|
3,000,000~3,999,999
|
セキュリティログインスペクションルール。署名IDは、セキュリティログインスペクションルールID + 2,000,000です。
|
|
4,000,000~4,999,999
|
不正プログラム対策イベント。現在、次のシグネチャIDのみが使用されています。
|
|
5,000,000~5,999,999
|
Webレピュテーションイベント。現在、次のシグネチャIDのみが使用されています。
|
|
6,000,000~6,999,999
|
アプリケーションコントロールイベント。現在、次のシグネチャIDのみが使用されています。
|
|
7,000,000~7,999,999
|
デバイスコントロールイベント。現在、次のシグネチャIDのみが使用されています。
|
|
注意ログエントリには、以下のイベントログ形式の表で説明されているすべてのCEF拡張子が含まれているとは限りません。また、CEF拡張子の順序が常に同じであるとは限りません。エントリの解析に正規表現
(regex) を使用している場合は、正規表現が各キーと値のペアの存在や特定の順序に依存していないことを確認してください。
|
|
注意Syslogメッセージは、Syslogプロトコル仕様により64KBに制限されています。メッセージが長い場合、データが切り捨てられることがあります。基本的なsyslog形式は1KBに制限されています。
|
LEEF 2.0のsyslogメッセージの形式
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEF 2.0ログエントリのサンプル (Workload Securityシステムイベントログのサンプル):] リーフ:2.0|トレンドマイクロ|Server & Workload Protection Manager|<Agent version> |192|cat=System name=Alert Ended desc=Alert: CPU Warning
Threshold Exceeded Subject: 10.201.114.164 Severity: Warning sev=3 src=10.201.114.164
usrName=System msg=Alert: CPUWarning Threshold 10.201 :警告 TrendMicroDsTenant=Primary
Server & Workload Protectionで発生したイベント
システムイベントログの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ|Server & Workload Protection Manager|<Server & Workload Protection バージョン>|600|サインインしているユーザ|3|src=10.52.116.160 suser=admin target=admin msg=2001年からサインインしたユーザ:db8::5
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEF 2.0ログエントリのサンプル:] リーフ:2.0|トレンドマイクロ|Server & Workload Protection Manager|<DSA version> |192|cat=System name=Alert Ended desc=Alert: CPU警告しきい値超過 Subject:
10.201.114.164 Severity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert:
CPU警告しきい値超過 110.02 Subject:重大度: 警告 TrendMicroDsTenant=Primary
|
注意LEEF形式では、重要度を示す「sev」という予約キーと、名前を示す「name」という予約キーが使用されます。
|
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
||
|
src
|
src
|
送信元IPアドレス
|
Server & Workload Protection IPアドレス。
|
src=10.52.116.23
|
||
|
suser
|
usrName
|
送信元ユーザ
|
Server & Workload Protection 管理者のアカウント。
|
suser=MasterAdmin
|
||
|
対象
|
対象
|
Target Entity
|
イベントの件名。 Server & Workload Protectionにログインしている管理者アカウント、またはコンピュータを指定できます。
|
target=MasterAdmin target=server01
|
||
|
targetID
|
targetID
|
Target Entity ID
|
Server & Workload Protectionに追加された識別子。
|
targetID=1
|
||
|
targetType
|
targetType
|
Target Entity Type
|
イベントの対象のエンティティの種類。
|
targetType=Host
|
||
|
msg
|
msg
|
詳細
|
システムイベントの詳細。イベントの詳細な説明が含まれる場合があります。
|
msg=127.0.0.1からのサインイン時に、ユーザ名MasterAdminのユーザパスワードが正しくありませんmsg=コンピュータ (localhost) での推奨設定の検索が完了しました...
|
||
|
TrendMicroDsProcessImagePath
|
TrendMicroDsProcessImagePath
|
プロセスイメージパス
|
不正プログラム対策イベント検出を生成するプロセスのフルパス。
|
TrendMicroDsProcessImagePath=/usr/bin/bash
|
||
|
TrendMicroDsProcessPid
|
TrendMicroDsProcessPid
|
プロセスPID
|
不正プログラム対策イベント検出を生成するプロセスのPID
|
TrendMicroDsProcessPid=4422
|
||
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Event Tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
||
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
||
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
||
|
TrendMicroDsReasonId
|
TrendMicroDsReasonId
|
イベント理由ID
|
イベントの説明の理由IDを示します。各イベントには、独自の理由IDの定義があります。
|
TrendMicroDsReasonId=1
|
||
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=3
|
||
|
なし
|
cat
|
カテゴリ
|
イベントのカテゴリ
|
cat=System
|
||
|
なし
|
名
|
名前
|
イベント名
|
name=Alert Ended
|
||
|
なし
|
desc
|
説明
|
イベントの詳細
|
desc:Alert: CPUの警告しきい値を超えました
|
Agentで発生するイベント
不正プログラム対策イベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |4000000|Eicar_test_file|6|cn1=1
cn1Label=ホストID dvchost=hostname cn2=205 cn2Label=隔離ファイルサイズ cs6=ContainerImageName
|コンテナ名 | ContainerID cs6Label=Container filePath=C:\\Users rend\\Desktop\\eicar.exe
act=Delete result=Delete msg=Realtime TrendMicroDsMalwareTarget= N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F
TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER
.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] LEEF: 2.0|Trend Micro|Deep Security Agent|<Agent version>|4000030|cat=Anti-Malware
name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1
TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe
act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File
System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=1
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
cn2
|
cn2
|
ファイルサイズ
|
隔離ファイルのサイズ。この拡張機能は、 エージェント /Applianceからの「直接転送」が選択されている場合にのみ含まれます。
|
cn2=100
|
|
cn2Label
|
cn2Label
|
ファイルサイズ
|
フィールドcn2の名前ラベル。
|
cn2Label=Quarantine File Size
|
|
cs3
|
cs3
|
感染元
|
スパイウェアアイテムのパス。このフィールドは、スパイウェア検出イベント専用です。
|
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
|
|
cs3Label
|
cs3Label
|
感染元
|
フィールドcs3の名前ラベル。このフィールドは、スパイウェア検出イベント専用です。
|
cs3Label=Infected Resource
|
|
cs4
|
cs4
|
リソースの種類
|
Resource Typeの値:
10=ファイルとディレクトリ
11=システムレジストリ
12=インターネットCookie
13=インターネットURLショートカット
14=メモリ内のプログラム
15=プログラム起動領域
16=ブラウザヘルパーオブジェクト
17=レイヤードサービスプロバイダ
18=hostsファイル
19=Windowsポリシー設定
20=ブラウザ
23=Windowsシェル設定
24=IEでダウンロードしたプログラムファイル
25=プログラムの追加/削除
26=サービス
その他=その他
たとえば、spy.exeという名前のスパイウェアファイルがあり、システムの再起動後もその永続性を維持するためにレジストリ実行キーを作成する場合、スパイウェアレポートには2つの項目が表示されます。
)、実行キーレジストリの項目にcs4=11 (システムレジストリ) があります。
このフィールドはスパイウェア検出イベント専用です。
|
cs4=10
|
|
cs4Label
|
cd4Label
|
リソースの種類
|
フィールドcs4の名前ラベル。このフィールドは、スパイウェア検出イベント専用です。
|
cs4Label=Resource Type
|
|
cs5
|
cs5
|
リスクレベル
|
リスクレベルの値:
0=超低
25=低
50=中
75=高
100=超高
このフィールドはスパイウェア検出イベント専用です。
|
cs5=25
|
|
cs5Label
|
cs5Label
|
リスクレベル
|
フィールドcs5の名前ラベル。このフィールドは、スパイウェア検出イベント専用です。
|
cs5Label=Risk Level
|
|
cs6
|
cs6
|
コンテナ
|
不正プログラムが検出されたDockerコンテナのイメージ名、コンテナ名、コンテナID。
|
cs6=ContainerImageName | ContainerName | ContainerID
|
|
cs6Label
|
cs6Label
|
コンテナ
|
フィールドcs6の名前ラベル。
|
cs6Label=Container
|
|
filePath
|
filePath
|
ファイルパス
|
不正プログラムファイルの場所。
|
filePath=C:\\Users\\Mei\\Desktop\\virus.exe
|
|
act
|
act
|
処理
|
不正プログラム対策エンジンによって実行される処理。可能な値は、[アクセス拒否]、[隔離]、[削除]、[通過]、[駆除]、[終了]、および[指定なし]です。
|
act=Clean act=Pass
|
|
結果
|
結果
|
結果
|
不正プログラム対策処理の失敗の結果です。
|
result=合格 result=削除 result=隔離 result=駆除結果=アクセス拒否 result=終了 result=ログ result=不合格=検索失敗
result=成功 (検索失敗) result=隔離 (検索失敗) result=隔離失敗 (検索失敗) result=アクセス拒否 (検索失敗)
|
|
msg
|
msg
|
メッセージ
|
検索の種類。可能な値は、[リアルタイム]、[予約済み]、および[手動]です。
|
msg=リアルタイム msg=予約済み
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=fe80::f018:a3c6:20f9:afa6%5
|
|
TrendMicroDsBehaviorRuleID
|
TrendMicroDsBehaviorRuleID
|
挙動監視ルールID
|
内部不正プログラムケース追跡用の挙動監視ルールID。
|
BehaviorRuleID=CS913
|
|
TrendMicroDsBehaviorType
|
TrendMicroDsBehaviorType
|
挙動監視の種類
|
検出された動作監視イベントの種類。
|
BehaviorType=Threat-Detection
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Events tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
TrendMicroDsMalwareTargetCount
|
TrendMicroDsMalwareTargetCount
|
対象数
|
対象ファイルの数。
|
TrendMicroDsMalwareTargetCount=3
|
|
TrendMicroDsMalwareTarget
|
TrendMicroDsMalwareTarget
|
対象
|
不正プログラムが影響を与えようとしていたファイル、プロセス、またはレジストリキー (存在する場合)。不正プログラムが複数に影響を与えようとしていた場合、このフィールドには「複数」という値が含まれます。
このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。
|
TrendMicroDsMalwareTarget=N/ATrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings TrendMicroDsMalwareTarget=Multiple
|
|
TrendMicroDsMalwareTargetType
|
TrendMicroDsMalwareTargetType
|
対象の種類
|
この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。
このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。
|
TrendMicroDsMalwareTargetType=N/ATrendMicroDsMalwareTargetType=エクスプロイト TrendMicroDsMalwareTargetType=ファイルシステム
TrendMicroDsMalwareTargetType=プロセス
|
|
TrendMicroDsProcess
|
TrendMicroDsProcess
|
プロセス
|
プロセス名
|
TrendMicroDsProcess=abc.exe
|
|
TrendMicroDsFileMD5
|
TrendMicroDsFileMD5
|
ファイルのMD5
|
ファイルのMD5ハッシュ。
|
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
|
|
TrendMicroDsFileSHA1
|
TrendMicroDsFileSHA1
|
ファイルのSHA-1
|
ファイルのSHA1ハッシュ。
|
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
|
|
TrendMicroDsFileSHA256
|
TrendMicroDsFileSHA256
|
File SHA256
|
ファイルのSHA256ハッシュ。
|
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
|
|
TrendMicroDsDetectionConfidence
|
TrendMicroDsDetectionConfidence
|
脅威の可能性
|
ファイルが不正プログラムモデルと一致する割合 (%表示) を示します。
|
TrendMicroDsDetectionConfidence=95
|
|
TrendMicroDsRelevantDetectionNames
|
TrendMicroDsRelevantDetectionNames
|
潜在的な脅威の種類
|
機械学習型検索が分析を他の既知の脅威 (セミコロン「;」で区切る) と比較した後にファイルに含まれる脅威の最も可能性の高い種類を示します。
|
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=6
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Anti-Malware
|
|
なし
|
名
|
名前
|
イベント名
|
name=SPYWARE_KEYL_ACTIVE
|
|
なし
|
desc
|
説明
|
イベントの説明。不正プログラム対策では、イベント名を説明として使用します。
|
desc=SPYWARE_KEYL_ACTIVE
|
|
TrendMicroDsCommandLine
|
TrendMicroDsCommandLine
|
コマンドライン
|
対象プロセスが実行するコマンド
|
TrendMicroDsCommandLine=/tmp/orca-testkit-sample/testsys_m64 -u 1000 -g 1000 -U 1000
-G 1000 -e cve_2017_16995 1 -d 4000000
|
|
TrendMicroDsCve
|
TrendMicroDsCve
|
CVE
|
CVE情報 (プロセスの動作がCommon Vulnerabilities and Exposuresのいずれかで特定された場合)。
|
TrendMicroDsCve=CVE-2016-5195、CVE-2016-5195、CVE-2016-5195
|
|
TrendMicroDsMitre
|
TrendMicroDsMitre
|
MITRE
|
プロセスの動作がMITRE攻撃シナリオのいずれかで識別された場合、MITRE情報。
|
TrendMicroDsMitre=T1068,T1068,T1068
|
|
suser
|
suser
|
ユーザ名
|
このイベントをトリガしたユーザアカウント名
|
suser=root
|
アプリケーションコントロールイベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリの例:]
CEF: 0|Trend Micro|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202
cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root
suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20
aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C
cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:]
LEEF:2.0|Trend Micro|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked
desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0
repeatCount=1 cs1=notWhitelisted cs1Label=actionReason|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=2
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
cs1
|
cs1
|
理由
|
アプリケーションコントロールが指定された処理を実行した理由 (「notWhitelisted」など) (ソフトウェアに一致ルールがなく、アプリケーションコントロールが認識されないソフトウェアをブロックするように設定されていた)。
|
cs1=notWhitelisted
|
|
cs1Label
|
cs1Label
|
フィールドcs1の名前ラベル。
|
cs1Label=actionReason
|
|
|
cs2
|
cs2
|
ファイルのSHA-1ハッシュ (計算済みの場合)。
|
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
|
|
|
cs2Label
|
cs2Label
|
フィールドcs2の名前ラベル。
|
cs2Label=sha1
|
|
|
cs3
|
cs3
|
ファイルのMD5ハッシュ (計算済みの場合)。
|
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
|
|
|
cs3Label
|
cs3Label
|
フィールドcs3の名前ラベル。
|
cs3Label=md5
|
|
|
act
|
act
|
処理
|
アプリケーションコントロールエンジンによって実行される処理。可能な値は、[ブロック]、[許可] です。
|
act=blocked
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.1.10
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
suid
|
suid
|
ユーザID
|
ユーザ名のアカウントID番号。
|
suid=0
|
|
suser
|
suser
|
ユーザ名
|
保護対象コンピュータにソフトウェアをインストールしたユーザアカウントの名前。
|
suser=root
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント名。
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID番号。
|
TrendMicroDsTenantId=0
|
|
fileHash
|
fileHash
|
ファイルハッシュ
|
ソフトウェアファイルを識別するSHA 256ハッシュ。
|
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
|
|
filePath
|
filePath
|
ファイルパス
|
不正プログラムファイルの場所。
|
filePath=/bin/my.jar
|
|
fsize
|
fsize
|
ファイルサイズ
|
ファイルサイズ (バイト単位)。
|
fsize=16
|
|
aggregationType
|
aggregationType
|
Aggregation Type
|
イベントの集約方法を示す整数:
イベントの集約の詳細については、を参照してください。アプリケーションコントロールのイベントログを表示する。
|
aggregationType=2
|
|
repeatCount
|
repeatCount
|
繰り返しカウント
|
イベントの発生回数。非集約イベントの値は1です。集約イベントの値は2以上です。
|
repeatCount=4
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=6
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=AppControl
|
|
なし
|
名
|
名前
|
イベント名
|
name=blocked
|
|
なし
|
desc
|
説明
|
イベントの説明。アプリケーションコントロールでは、処理が説明として使用されます。
|
desc=blocked
|
ファイアウォールイベントログの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |20|TCPポート80のログ|0|cn1=1 cn1Label=ホストID
dvc=hostname act=ログ dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP
src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=フラグメンテーションビット proto=TCP
spt=49617 dpt=80 TCP 。
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|<Agent version> |21|cat=Firewall name=リモートドメイン施行
(スプリットトンネル) desc=リモートドメイン施行 (スプリットトンネル) sev=5 cn1=37 cn1Label=ホストID dvchost=www.example.com
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dstMAC=67:BF:1B:2F:13:EE
srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221 dst=105.152.185.81
out=177 cs3=FragmentLab UDP srcPort=23 dstPort=445 cnt=1 TrendMicroDsPacketData=AFB...
[TendMicroDsScannerIpログエントリの例:] CEF Field: (wait check)、LEEF Field: TrendMicroDsScannerIp、Name: Scanner IP、Description:
Scanner IP Address、例: TrendMicroDsScannerIp=192.168.33.1
[TrendMicroDsTargetPortListログエントリ:] CEF Field: (wait check)、LEEF Field: TrendMicroDsTargetPortList、Name: Target Port
List、Description: Scanned Port List、例: TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;
44;47;48;60;67;
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
act
|
act
|
処理
|
|
act=ログ act=拒否
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=113
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
cnt
|
cnt
|
繰り返しカウント
|
このイベントが連続して繰り返された回数。
|
cnt=8
|
|
cs2
|
cs2
|
TCP Flags
|
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP Flags
|
フィールドcs2の名前ラベル。
|
cs2Label=TCP Flags
|
|
cs3
|
cs3
|
Packet Fragmentation Information
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentation Bits
|
フィールドcs3の名前ラベル。
|
cs3Label=Fragmentation Bits
|
|
cs4
|
cs4
|
ICMP Type and Code
|
(ICMPプロトコルの場合のみ) ICMPタイプとコード (スペース区切り)。
|
cs4=11 0 cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
フィールドcs4の名前ラベル。
|
cs4Label=ICMP Type and Code
|
|
dmac
|
dstMAC
|
送信先MACアドレス
|
送信先コンピュータのネットワークインタフェースのMACアドレス。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
送信先ポート
|
(TCPおよびUDPプロトコルの場合のみ)ポート番号対象のコンピュータの接続またはセッションの
|
dpt=80 dpt=135
|
|
dst
|
dst
|
送信先IPアドレス
|
送信先コンピュータのIPアドレス。
|
dst=192.168.1.102 dst=10.30.128.2
|
|
次に含まれる
|
次に含まれる
|
Inbound Bytes Read
|
(受信接続の場合のみ) 読み取られた受信バイト数。
|
in=137 in=21
|
|
out
|
out
|
Outbound Bytes Read
|
(送信接続の場合のみ) 読み取られた送信バイト数。
|
out=216 out=13
|
|
proto
|
proto
|
トランスポートプロトコル
|
使用するトランスポートプロトコルの名前。
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
送信元MACアドレス
|
送信元コンピュータのネットワークインタフェースのMACアドレス。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
送信元ポート
|
(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続またはセッションのポート番号。
|
spt=1032 spt=443
|
|
src
|
src
|
送信元IPアドレス
|
このイベントにおけるパケットの送信元IPアドレス。
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet frame type
|
接続のイーサネットフレームの種類。
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Packet data
|
Base64で表されるパケットデータ。
|
TrendMicroDsPacketData=AFB...
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=exch01.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Event Tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=5
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Firewall
|
|
なし
|
名
|
名前
|
イベント名
|
name=Remote Domain Enforcement (Split Tunnel)
|
|
なし
|
desc
|
説明
|
イベントの説明。ファイアウォールイベントでは、説明としてイベント名が使用されます。
|
desc=Remote Domain Enforcement (Split Tunnel)
|
|
TrendMicroDsScannerIp
|
TrendMicroDsScannerIp
|
スキャナIP
|
スキャナのIPアドレス
|
TrendMicroDsScannerIp=192.168.33.1
|
|
TrendMicroDsTargetPortList
|
TrendMicroDsTargetPortList
|
対象ポートリスト
|
検索されたポートのリスト
|
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
変更監視ログイベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |30|新しい変更監視ルール|6|cn1=1 cn1Label=ホストID
dvchost=hostname act=updated filePath=c:\\windows\\message.dll suser=admin sproc=C:\\Windows\\System32
otepad.exe msg=lastModified ,sha1,サイズ
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|<Agent version> |2002779|cat=Integrity Monitor
name=Microsoft Windows - システムファイルの変更 desc=Microsoft Windows - システムファイルの変更 sev=8 cn1=37
cn1Label=ホストID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
act=updated suser =admin sproc=C:\\Windows\\System32 otepad.exe
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
act
|
act
|
処理
|
整合性ルールによって検出された処理。作成、更新、削除、または名前変更。
|
act=作成済み act=削除済み
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=113
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
filePath
|
filePath
|
Target Entity
|
整合性ルールの対象エンティティ。ファイルまたはディレクトリのパス、レジストリキーなどが含まれる場合があります。
|
filePath=C:\WINDOWS\system32\drivers\etc\hosts
|
|
suser
|
suser
|
送信元ユーザ
|
監視対象のファイルを変更したユーザのアカウント。
|
suser=WIN-038M7CQDHIN\\Administrator
|
|
sproc
|
sproc
|
ソースプロセス
|
イベントのソースプロセスの名前。
|
sproc=C:\\Windows\\System32\\notepad.exe
|
|
msg
|
msg
|
Attribute changes
|
(「名前変更」アクションの場合のみ) 変更された属性名のリスト。 [Relay via Manager] を選択した場合は、すべてのイベント処理タイプに詳細な説明が含まれます。
|
msg=lastModified,sha1,size
|
|
oldfilePath
|
oldfilePath
|
Old target entity
|
(「renamed」処理の場合のみ) filePathフィールドに記録された新しいエンティティに名前変更された、以前の変更監視ルールの対象のエンティティ。
|
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Events tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=8
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Integrity Monitor
|
|
なし
|
名
|
名前
|
イベント名
|
name=Microsoft Windows - System file modified
|
|
なし
|
desc
|
説明
|
イベントの説明。変更監視では、イベント名が説明として使用されます。
|
desc=Microsoft Windows - System file modified
|
侵入防御イベントログの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |1001111|侵入防御ルールのテスト|3|cn1=1
cn1Label=ホストID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP
src =192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=フラグメンテーションビット proto=TCP
spt=49786 dpt=80 cs2=0x00 ACK PSH cnsLabel=10 =侵入防御パケットの位置 cs5=10 cs5Label=侵入防御ストリームの位置
cs6=8 cs6Label=侵入防御フラグ TrendMicroDsPacketData=R0VUIC9zP3...
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|<Agent version> |1000940|cat=侵入防御 name=Sun
Javaランタイム環境の複数バッファオーバーフローの脆弱性 desc=Sun Javaランタイム環境複数バッファオーバーフローの脆弱性 sev=10 cn1=6 cn1Label=ホストID
dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=5 5 C0:A8:55:FF:41
srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128
out=166 cs3= cs3Label=フラグメント化ビット数 protorc= dstPort=0 cnt=1 act=IDS:リセット cn3=0 cn3Label=DPIパケットの位置
cs5=0 cs5Label=DPIストリームの位置 cs6=0 cs6Label=DPIフラグ TrendMicroDsPacketData=R0VUIC9zP3...
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
act
|
act
|
処理
|
( Deep Securityバージョン7.5 SP1より前に作成されたIPSルールでは、挿入、置換、および削除処理が追加で実行されていました。これらの処理は実行されなくなりました。これらの処理の実行を引き続き試行する古いIPSルールがトリガされた場合、イベントはルールは検出専用モードで適用されました。)
|
act=Block
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=113
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
cn3
|
cn3
|
Intrusion Prevention Packet Position
|
イベントをトリガしたデータのパケット内の位置。
|
cn3=37
|
|
cn3Label
|
cn3Label
|
Intrusion Prevention Packet Position
|
フィールドcn3の名前ラベル。
|
cn3Label=Intrusion Prevention Packet Position
|
|
cnt
|
cnt
|
繰り返しカウント
|
このイベントが連続して繰り返された回数。
|
cnt=8
|
|
cs1
|
cs1
|
Intrusion Prevention Filter Note
|
(オプション) ペイロードファイルに関連付けられた短いバイナリまたはテキストのメモを含めることができるメモフィールド。メモフィールドの値がすべて印刷可能なASCII文字である場合は、スペースがアンダースコアに変換されたテキストとしてログに記録されます。バイナリデータが含まれている場合は、Base-64エンコーディングを使用してログに記録されます。
|
cs1=Drop_data
|
|
cs1Label
|
cs1Label
|
Intrusion Prevention Note
|
フィールドcs1の名前ラベル。
|
cs1Label=Intrusion Prevention Note
|
|
cs2
|
cs2
|
TCP Flags
|
(TCPプロトコルの場合のみ) TCPフラグバイトの後には、[URG]、[ACK]、[PSH]、[RST]、[SYN]、[FIN] の各フィールドが続きます。このフラグバイトは、TCPヘッダが設定されている場合に存在する可能性があります。
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2Label
|
cs2Label
|
TCP Flags
|
フィールドcs2の名前ラベル。
|
cs2Label=TCP Flags
|
|
cs3
|
cs3
|
Packet Fragmentation Information
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3Label
|
cs3Label
|
Fragmentation Bits
|
フィールドcs3の名前ラベル。
|
cs3Label=Fragmentation Bits
|
|
cs4
|
cs4
|
ICMP Type and Code
|
(ICMPプロトコルの場合のみ) 単一のスペースで区切って個別の順序で格納されているICMPタイプとコード。
|
cs4=11 0 cs4=8 0
|
|
cs4Label
|
cs4Label
|
ICMP
|
フィールドcs4の名前ラベル。
|
cs4Label=ICMP Type and Code
|
|
cs5
|
cs5
|
Intrusion Prevention Stream Position
|
イベントをトリガしたデータのストリーム内の位置。
|
cs5=128 cs5=20
|
|
cs5Label
|
cs5Label
|
Intrusion Prevention Stream Position
|
フィールドcs5の名前ラベル。
|
cs5Label=Intrusion Prevention Stream Position
|
|
cs6
|
cs6
|
Intrusion Prevention Filter Flags
|
フラグ値の合計を含む合計値: 1 - データが切り捨てられました - データをログに記録できませんでした。 2 - ログオーバーフロー - このログの後にログがオーバーフローしました。
4 - 抑制 - このログ以降に抑制されるログのしきい値。 8 - データあり - パケットデータを含みます。 16 -レファレンス/参照情報データ - 以前に記録されたデータを参照します。
|
次の例は、1 (切り捨てられたデータ) と 8 (データあり) の合計です。
|
|
cs6Label
|
cs6Label
|
Intrusion Prevention Flags
|
フィールドcs6の名前ラベル。
|
cs6=Intrusion Prevention Filter Flags
|
|
dmac
|
dstMAC
|
送信先MACアドレス
|
送信先コンピュータのネットワークインタフェースMACアドレス。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
送信先ポート
|
(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。
|
dpt=80 dpt=135
|
|
dst
|
dst
|
送信先IPアドレス
|
送信先コンピュータのIPアドレス。
|
dst=192.168.1.102 dst=10.30.128.2
|
|
xff
|
xff
|
X-Forwarded-For
|
X-Forwarded-Forヘッダ内の最後のハブのIPアドレス。これは通常、存在する可能性のあるプロキシ以外の発信元IPアドレスです。 srcフィールドも参照してください。イベントにxffを含めるには、「1006540
- X-Forwarded-For HTTP Header Loggingを有効にする」を有効にします。侵入防御ルール。
|
xff=192.168.137.1
|
|
次に含まれる
|
次に含まれる
|
Inbound Bytes Read
|
(受信接続の場合のみ) 読み取られた受信バイト数。
|
in=137 in=21
|
|
out
|
out
|
Outbound Bytes Read
|
(送信接続の場合のみ) 読み取られた送信バイト数。
|
out=216 out=13
|
|
proto
|
proto
|
トランスポートプロトコル
|
使用する接続トランスポートプロトコルの名前。
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
送信元MACアドレス
|
送信元コンピュータのネットワークインタフェースMACアドレス。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
送信元ポート
|
(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続ポート。
|
spt=1032 spt=443
|
|
src
|
src
|
送信元IPアドレス
|
送信元コンピュータのIPアドレス。これは、最後のプロキシサーバ (存在する場合) のIP、またはクライアントIPです。 xffフィールドも参照してください。
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
Ethernet frame type
|
接続のイーサネットフレームの種類。
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
Packet data
|
Base64で表されるパケットデータ。
|
TrendMicroDsPacketData=R0VUIC9zP3...
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Event tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=Suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント名
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=10
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Intrusion Prevention
|
|
なし
|
名
|
名前
|
イベント名
|
name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities
|
|
なし
|
desc
|
説明
|
イベントの説明。侵入防御イベントでは、イベント名が説明として使用されます。
|
desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities
|
セキュリティログ監視イベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |3002795|Microsoft Windowsイベント|8|cn1=1
cn1Label=ホストID dvchost=hostname cs1Label=LI 説明 cs1=複数のWindowsログオン失敗 fname=セキュリティ src=127.0.0.1
duser=(ユーザなし) shost=WIN-RM6HM42G65V msg= WinEvtLog Security: AUDIT_FAILURE(4625):
Microsoft-Windows-Security-Auditing: (ユーザなし): ドメインなし: WIN-RM6HM42G65V: アカウントのログオンに失敗しました。件名:
..
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|<Agent version> |3003486|cat=ログ検査名=メールサーバ -
MDaemon desc=サーバシャットダウン。重大度=3 cn1=37 cn1Label=ホストID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 cs1=サーバがシャットダウンしました。 cs1Label=LI 説明 fname= shost= msg=
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=113
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
cs1
|
cs1
|
Specific Sub-Rule
|
このイベントをトリガしたセキュリティログ監視のサブルール。
|
cs1=Multiple Windows audit failure events
|
|
cs1Label
|
cs1Label
|
LI Description
|
フィールドcs1の名前ラベル。
|
cs1Label=LI Description
|
|
duser
|
duser
|
ユーザ情報
|
(解析可能なユーザ名が存在する場合) ログエントリを記録した対象ユーザの名前。
|
duser=(ユーザなし) duser=NETWORK SERVICE
|
|
fname
|
fname
|
Target entity
|
セキュリティログインスペクションルールの対象エンティティ。ファイルまたはディレクトリのパス、レジストリキーなどが含まれる場合があります。
|
fname=アプリケーション fname=C:\\Program Files\\CMS\\logs\\server0.log
|
|
msg
|
msg
|
詳細
|
セキュリティログ監視イベントの詳細。検出されたログイベントの詳細な説明が含まれる場合があります。
|
msg=WinEvtLog: アプリケーション: AUDIT_FAILURE(20187): pgEvent: (ユーザなし): ドメインなし: SERVER01:
ユーザ「xyz」のリモートログイン失敗
|
|
shost
|
shost
|
送信元ホスト名
|
送信元コンピュータのホスト名。
|
shost=webserver01.corp.com
|
|
src
|
src
|
送信元IPアドレス
|
送信元コンピュータのIPアドレス。
|
src=192.168.1.105 src=10.10.251.231
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Events tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=3
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Log Inspection
|
|
なし
|
名
|
名前
|
イベント名
|
name=Mail Server - MDaemon
|
|
なし
|
desc
|
説明
|
イベントの説明。
|
desc=Server Shutdown
|
Webレピュテーションイベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|<Agent version> |5000000|WebReputation|5|cn1=1
cn1Label=ホストID dvchost=hostname request=example.com msg=管理者によってブロック
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|<Agent version> |5000000|cat=Webレピュテーション name=WebReputation
desc=WebReputation sev=6 cn1=3 cn1Label=ホストID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=1
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
request
|
request
|
要求
|
要求のURL。
|
request=http://www.example.com/index.php
|
|
msg
|
msg
|
メッセージ
|
処理の種類。可能な値は、[リアルタイム]、[予約済み]、および[手動]です。
|
msg=リアルタイム msg=予約済み
|
|
dvc
|
dvc
|
Device address
|
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません。 (代わりにdvchostを使用します)。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTags
|
TrendMicroDsTags
|
Events tags
|
イベントに割り当てられたServer & Workload Protection イベントタグ
|
TrendMicroDsTags=suspicious
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
なし
|
sev
|
重大度
|
イベントの重大度。 1は最も重大度が低く、 10が最も深刻です。
|
sev=6
|
|
なし
|
cat
|
カテゴリ
|
カテゴリ
|
cat=Web Reputation
|
|
なし
|
名
|
名前
|
イベント名
|
name=WebReputation
|
|
なし
|
desc
|
説明
|
イベントの説明。 Webレピュテーションでは、イベント名が説明として使用されます。
|
desc=WebReputation
|
デバイスコントロールイベントの形式
[CEFの基本形式:] CEF:バージョン|デバイスベンダー|デバイス製品|デバイスバージョン|署名ID|名前|重要度|拡張子
[CEFログエントリのサンプル:] CEF:0|トレンドマイクロ| Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1
cn1Label=ホストID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1
device=deviceName processName=processName1 fileName=/tmp/some_pathName2 =aaaa-bbbb-cccc
model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID| (区切り文字。区切り文字がタブの場合はオプション)|拡張子
[LEEFログエントリのサンプル:] リーフ:2.0|トレンドマイクロ| Deep Security Agent|50.0.1063|7000000|cat=デバイスコントロール名=DeviceControl
desc=DeviceControl sev=6 cn1=1 cn1Label=ホストID dvchost=test-hostname TrendMicroDsTenant=tenantName
TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/ tmp/some_path2
vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName
domainName=computerDomain deviceType=0 permission=0
|
CEF拡張フィールド
|
LEEF拡張フィールド
|
名前
|
説明
|
例
|
|
cn1
|
cn1
|
Host Identifier
|
Agentコンピュータの一意の内部識別子。
|
cn1=1
|
|
cn1Label
|
cn1Label
|
ホストID:
|
フィールドcn1の名前ラベル。
|
cn1Label=Host ID
|
|
dvchost
|
dvchost
|
Device host name
|
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません。 (代わりにdvcフィールドを使用します)。
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
テナント名
|
Server & Workload Protection テナント
|
TrendMicroDsTenant=Primary
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
テナントID
|
Server & Workload Protection テナントID
|
TrendMicroDsTenantId=0
|
|
デバイス
|
デバイス
|
モバイルデバイス名
|
アクセスされたデバイス。
|
device=Sandisk_USB
|
|
プロセス名
|
プロセス名
|
プロセス名
|
プロセス名。
|
processName=someProcess.exe
|
|
ファイル名
|
ファイル名
|
ファイル名
|
アクセスされたファイル名。
|
fileName=E:\somepath\a.exe
|
|
vendor
|
vendor
|
製造元名
|
デバイスのベンダー名。
|
vendor=sandisk
|
|
シリアル
|
シリアル
|
シリアル番号
|
デバイスのシリアル番号。
|
serial=aaa-bbb-ccc
|
|
機種,モデル,型,model
|
機種,モデル,型,model
|
モデル
|
デバイスの製品名。
|
モデル=A270_USB
|
|
コンピュータ名
|
コンピュータ名
|
コンピュータ名
|
コンピュータ名。
|
computerName=Jonh_Computer
|
|
domainName
|
domainName
|
ドメイン名
|
ドメイン名。
|
domainName=CompanyDomain
|
|
デバイスの種類
|
デバイスの種類
|
デバイスの種類
|
デバイスのデバイスタイプ USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2)
|
deviceType=1
|
|
権限
|
権限
|
権限
|
アクセスのブロック理由 BLOCK(0) READ_ONLY(2)
|
権限=0
|