CEFコンテンツセキュリティログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンス製品バージョン

2019

ヘッダ (eventid)

MS: フィルタ処理

MS: Clean

ヘッダ (eventName)

ポリシー名

Policy

ヘッダ (severity)

重大度

3

cnt

検出数

例: 10

dhost

すべての受信者のリスト

例: employee_a1@Acompany.com;employee_a2@Acompany.com

duser

受信者の1人

例: employee_a1@Acompany.com

act

フィルタ処理

例: "Clean"

詳細については、フィルタ処理マッピングテーブルを参照してください。

cs1Label

"cs1"フィールドに対応するラベル

例: "Policy_Settings"

cs1

ポリシー設定

例: "Default_policy"

cs2Label

"cs2"フィールドに対応するラベル

例: "Product_Version"

cs2

製品バージョン

例: "11"

cs3Label

"cs3"フィールドに対応するラベル

例: "Filter_Type"

cs3

フィルタの種類

例: "URL reputation filter"

  • 0: 不明

  • 1: ContentFilter

  • 2: AttachmentFilter

  • 3: StandardFilter

  • 4: SizeFilter

  • 5: DisclaimerMgr

  • 6: SpamFilter

  • 7: OPP

  • 8: ImportFilter

  • 9: PhishingFilter

  • 10: UrlReputationFilter

cs4Label

"cs4"フィールドに対応するラベル

例: "CLF_ReasonCode"

cs4

理由コード

例: "access"

cs5Label

"cs5"フィールドに対応するラベル

例: "CLF_ReasonCodeSource"

cs5

理由コードの送信元

例: "web"

cs6Label

"cs6"フィールドに対応するラベル

例: "Action_on_Message"

cs6

処理

例: "3"

  • 0: 不明

  • 1: 該当なし

  • 2: 配信

  • 3: 削除

  • 4: 隔離

  • 5: 保留

  • 6: 通知

  • 7: 置換

  • 8: アーカイブ

  • 100: 削除 (ストリップ)

  • 101: 放置

cat

ログの種類

例: "1705"

dvchost

エンドポイントのホスト名

例: "ApexOneClient01"

rt

ログ生成日時 (UTC)

例: "Nov 15 2017 08:45:57 GMT+00:00"

cn1Label

"cn1"フィールドに対応するラベル

例: "Severity"

cn1

重大度コード

例: "2"

  • 0: 不明

  • 1: 情報

  • 2: 警告

  • 3: エラー

  • 4: 重大

TMCMLogSeverity

重大度の説明

Second scan engine

cn2Label

"cn2"フィールドに対応するラベル

Filter_Action_Result

cn2

フィルタ処理結果

例: 21

詳細については、フィルタ処理結果マッピングテーブルを参照してください。

deviceExternalId

ID

例: "5"

fname

ファイル

例: "RERERW~42w.exe"

msg

件名

例: "Open this email to win a free phone"

shost

すべての違反送信者/ユーザのリスト

例: "bear" <bear@abc.mail.com>;"yumi" <yumi@abc.mail.com>

suser

違反送信者/ユーザの1人

例: "bear" <bear@abc.mail.com>

deviceFacility

製品

例: "Deep Discovery Email Inspector"

src

メール送信者のIPアドレス

例: "10.206.155.122"

filepath

不審ファイルの場所

例: "https://ca91-1.testurl.com:443"

request

不審URL

例: "https://ca91-1.testurl.com:443"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|MS:Clean|This is a policy
name|3|deviceExternalId=90045 rt=Sep 17 2018 01:27:42 GMT+00
:00 dhost=user@test.com duser=user@test.com act=Clean cs1Label
=Policy_Settings cs1=This is policy content cs2Label=CLF_Produ
ctVersion cs2=3.2 cs3Label=Filter_Type cs3=URL reputation filt
er cs5Label=CLF_ReasonCodeSource cs5=20 cs6Label=Action_on_Mes
sage cs6=0 cat=1705 dvchost=ApexOneClient01 cn1Label=Severity
cn1=2 TMCMLogSeverity=Second scan engine fname=NE_AEP.1550
msg=plain_qp_no8_av1u_NE_AEP.1550 shost=user2@test.com suser=
user2@test.com cn2Label=Filter_Action_Result cn2=21 deviceFaci
lity=Deep Discovery Email Inspector src=10.206.155.122 reason=
B,G ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C036
0-9CDE11EB-D4B8-F51F-C697