CEF C&Cコールバックログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

CnC: 処理

CnC:Block

ヘッダ (eventName)

名前

CnC Callback

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "12"

cat

ログの種類

例: "1756"

deviceFacility

製品名

例: "Apex One"

cs2Label

"cs2"フィールドに対応するラベル

例: "El_ProductVersion"

cs2

製品バージョン

例: "11.0"

rt

ログ生成日時 (UTC)

例: "Oct 11 2017 06:34:09 GMT+00:00"

shost

エンドポイントのホスト名

例: "ApexOneClient01"

src

エンドポイントのIPv4アドレス

例: "10.201.86.187"

c6a2Label

"c6a2"フィールドに対応するラベル

例: "SLF_ClientIP"

c6a2

エンドポイントのIPv6アドレス

例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d"

cs3Label

"cs3"フィールドに対応するラベル

例: "SLF_DomainName"

cs3

ドメイン名

例: "DOMAIN1"

cs4Label

"cs4"フィールドに対応するラベル

例: "SLF_PolicyName"

cs4

ポリシー名

例: "C&C Server URL in Web Reputation Services database - HTTP (Request)"

act

処理

例: "2"

  • 0: 不明

  • 1: 放置

  • 2: ブロック

  • 3: 監視

  • 4: 削除

  • 5: 隔離

  • 6: 警告

  • 7: 警告して続行

  • 8: オーバーライド

cn1Label

"cn1"フィールドに対応するラベル

例: "SLF_CCCA_RiskLevel"

cn1

C&Cリスクレベル

例: "1"

  • 0: SLF_CCCA_RISKLEVEL_UNKNOWN

  • 1: SLF_CCCA_RISKLEVEL_LOW

  • 2: SLF_CCCA_RISKLEVEL_MEDIUM

  • 3: SLF_CCCA_RISKLEVEL_HIGH

cn2Label

"cn2"フィールドに対応するラベル

例: "SLF_CCCA_DetectionSource"

cn2

C&Cリストのソース

例: "1"

  • 0: SLF_CCCA_GLOBAL_LIST

  • 1: SLF_CCCA_CUSTOM_LIST

  • 2: SLF_CCCA_CUSTOM_LIST_USER_DEFINED

cn3Label

"cn3"フィールドに対応するラベル

例: "SLF_CCCA_DetectionFormat"

cn3

コールバックアドレスの形式

例: "1"

  • 0: IP

  • 1: IP

  • 2: HTTP

  • 3: SMTP

request

URL

例: "http://CC13.jojo.com"

deviceCustomDate1Label

"deviceCustomDate1"フィールドに対応するラベル

例: "SLF_FirstSeen"

deviceCustomDate1

コールバック試行が初めて監視されたときのUTC時間

例: "Oct 10 2017 16:58:03 GMT+00:00"

deviceCustomDate2Label

"deviceCustomDate2"フィールドに対応するラベル

例: "SLF_LastSeen"

deviceCustomDate2

コールバック試行が最後に監視されたときのUTC時間

例: "Oct 11 2017 10:58:03 GMT+00:00"

cs5Label

"cs5"フィールドに対応するラベル

例: "CnCDestination"

cs5

コールバックURLアドレス

例: "http://CC13.jojo.com"

dst

コールバックIPv4アドレス

例: "10.201.86.195"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "CnCDestination"

c6a3

コールバックIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

deviceProcessName

プロセス名

例: "C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe"

dvchost

ホスト名

例: localhost

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

deviceDirection

ネットワークトラフィックの方向

例: 0

この値の意味は、 "cat" フィールドの値によって異なります。

"cat" フィールドの値が1756、1707、または1733の場合:

  • 0: 不明

  • 1: 受信

  • 2: 送信

"cat" フィールドの値が1739、1741、または1723の場合:

  • 0: 送信

  • 1: 受信

  • 2: 不明

"cat" フィールドの値が1705、1735、または1775の場合:

  • -1: 不明

  • 0:送信メール

  • 1:受信メール

  • 2:内部メール

ログの例:

CEF:0|Trend Micro|Apex Central|2019|CnC:Block|CnC Callback
|3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat
=1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2
=11.0 shost=ApexOneClient01 src=10.201.86.187 cs3Label=SLF_D
omainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel c
n1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CC
CA_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNa
me=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe 
deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 dvchost=localhost
TMCMLogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=10.201
.86.187 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C002
90C0360-9CDE11EB-D4B8-F51F-C697 deviceDirection=0