CEF Attack Discoveryによる検出ログ

注:

1つのAttack Discoveryによる検出ログに関連するオブジェクトが4つを超える場合、Apex Centralでは最初の4つのオブジェクトのみが転送されます。

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

イベントID

700220

ヘッダ (eventName)

ログ名

Attack Discovery Detections

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "38"

rt

ログ生成日時 (UTC)

例: "Mar 22 2018 08:23:23 GMT+00:00"

dhost

エンドポイントのホスト名

例: "ApexOneClient01"

dst

クライアントのIPv4アドレス

例: "10.0.8.20"

C6a3

クライアントのIPv6アドレス

例: "fd96:7521:9502:6:b5b0:b2b5:4173:3f5d"

duser

ユーザ名

例: "Admin004"

customerExternalID

インスタンスID

例: "8c1e2d8f-a03b-47ea-aef8-5aeab99ea697"

cn1Label

「cn1」フィールドに対応するラベル

"SLF_RiskLevel"

cn1

リスクレベル

例: "0"

  • 0: 不明

  • 100: リスク低

  • 500: リスク中

  • 1000: リスク高

cn2Label

「cn2」フィールドに対応するラベル

"SLF_PatternNumber"

cn2

パターンファイル番号

例: "30.1012.00"

cs1Label

「cs1」フィールドに対応するラベル

"SLF_RuleID"

cs1

ルールID

例: "powershell invoke expression"

cat

カテゴリID

例: "point of entry"

cs2Label

「cs2」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_1"

cs2

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs3Label

「cs3」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_2"

cs3

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs4Label

「cs4」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_3"

cs4

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs5Label

「cs5」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_4"

cs5

Attack Discoveryのオブジェクト情報

例:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery 
Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+
00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern
alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL
evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe
l=SLF_RuleID cs1=powershell invoke expression cat=point of e
ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - code9.
exe - {USER: administrator09} deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 TMCMLogDetectedHost=VCAC-Window-331 
TMCMLogDetectedIP=10.201.86.150 ApexCentralHost=TW-CHRIS-W2019
devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697