CEF挙動監視ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

挙動監視ポリシーID

BM:1000

ヘッダ (eventName)

ログ名

Behavior Monitoring

ヘッダ (severity)

重大度

3

rt

ログ生成日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

dvchost

ホスト名

例: "localhost"

cs2Label

"cs2"フィールドに対応するラベル

"Policy"

cs2

ポリシーの種類

  • 感染実行可能ファイル

  • スタートアッププログラムの追加

  • ホストファイルの変更

  • DLL (プログラムライブラリ) インジェクション

  • Internet Explorerプラグインの追加

  • Internet Explorer設定の変更

  • シェル設定の変更

  • サービスの追加

  • セキュリティポリシー設定の変更

  • ファイアウォールポリシー設定の変更

  • システムファイルの変更

  • システムファイルの複製

  • レイヤードサービスプロバイダ

  • システムプロセスの変更

  • 不審な挙動

  • 新たに検出されたプログラム

  • 不正なファイル暗号化

  • 脅威の挙動分析

  • ユーザ定義ポリシー

sproc

イベントの対象

例: "C:\\Windows\\SysWOW64\\rundll32.exe"

cs3Label

"cs3"フィールドに対応するラベル

"Event_Type"

cs3

イベントの種類

  • プロセス

  • プロセスイメージ

  • レジストリ

  • ファイルシステム

  • ドライバ

  • SDT

  • システムAPI

  • ユーザモード

  • 攻撃コード

  • すべて

cs4Label

"cs4"フィールドに対応するラベル

"Operation"

cs4

イベントの対象によって実行される操作

  • プロセス作成

  • 開く

  • 終了

  • 削除

  • 書き込み

  • 診断

  • ファイル作成

  • 閉じる

  • 実行

  • 起動

  • 攻撃コード

  • 未処理のオペレーション

cs5Label

"cs5"フィールドに対応するラベル

"Risk_Level"

cs5

リスクレベル

例: "1"

  • 0: 低

  • 1: 高

TMCMLogTarget

対象ホスト

例: "HKCU\\Software\\Microsoft\\Windows\ \CurrentVersion\\Run\\COM+"

act

変換された処理

  • 許可

  • 確認

  • 拒否

  • 終了

  • 読み取りのみ許可

  • 読み取り/書き込みのみ許可

  • 読み取り/実行のみ許可

  • フィードバック

  • 駆除

  • 不明

  • 診断

  • 強制終了。ファイルは復元されました。

  • 強制終了。一部のファイルは復元されませんでした。

  • 強制終了。ファイルは復元されませんでした。

  • 強制終了。再開結果: ファイルは復元されました。

  • 強制終了: 再開結果: 一部のファイルは復元されませんでした。

  • 強制終了: 再開結果: ファイルは復元されませんでした。

shost

送信元ホスト (エンドポイント)

例: "shost1"

src

送信元ホストIPアドレス

例: 10.0.147.105

deviceFacility

製品

例: "Apex One"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor
ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs
5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior 
Analysis sproc=subject cs3Label=Event_Type cs3=File system 
TMCMLogTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVer
sion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create Proces
s shost=shost1 src=10.0.76.40 deviceFacility=Apex One reason
=G deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetecte
dHost=shost1 TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW
-CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F
-C697