CEF情報漏えい対策ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

イベントID

700106

ヘッダ (eventName)

ログ名

Data Loss Prevention

ヘッダ (severity)

重大度

3

cs1Label

"cs1"フィールドに対応するラベル

「Policy GUID」

cs1

ポリシーGUID

例: FAF492CF-164C-4672-9A79-F1AB9CB288A3

cn1Label

"cn1"フィールドに対応するラベル

「Product」

cn1

製品の種類の値

例: 15

rt

ログ生成日時 (UTC)

例: Feb 14 2017 11:14:08 GMT+00:00

src

送信元ホストIPアドレス

例: 10.0.57.160

smac

送信元ホストMACアドレス

例: 74-27-00-0C-65-E7

shost

送信元ホスト名

例: shost1

cs4Label

"cs4"フィールドに対応するラベル

「Incident_Source_(AD_Account)」

cs4

違反ユーザ名

例: Trend

suser

メール送信者

例: sender@example.com

request

アクセス先のURL

例: https://example.com/api/content

duser

受信者のコンマ (,) 区切りリスト

例: "user1@example.com;user2@example.com;"

msg

件名

例: "Sample,20171017"

filepath

ファイルパス

例: "D:\\Windows Live Mail\\Storage Folders\\Imported Fo e52\\Local Folders\\Sent Items\\Archive Aft de1\\Clients,Adv 22b\\"

fname

トリガファイル名

例: "2B43363A-000000A4.eml"

fsize

ファイルサイズ (バイト)

例: "3"

cs5Label

"cs5"フィールドに対応するラベル

「Rule」

cs5

ルール名

例: SAMPLE RULE SET

cs6Label

"cs6"フィールドに対応するラベル

"Template"

cs6

テンプレート名

例: "Apex One policy"

cn3Label

"cn3"フィールドに対応するラベル

"Channel"

cn3

チャネルの種類

例: "3"

詳細については、チャネルマッピングテーブルを参照してください。

cn2Label

"cn2"フィールドに対応するラベル

"Action"

cn2

処理結果

例: "4"

詳細については、処理結果マッピングテーブルを参照してください。

cs2Label

"cs2"フィールドに対応するラベル

"Policy"

cs2

ポリシー名

例: "OfficeScan"

cs3Label

"cs3"フィールドに対応するラベル

"Product_Entity/Endpoint"

cs3

エンドポイントのホスト名

例: "Sample_Host"

dvchost

サーバのホスト名

例: "localhost"

deviceFacility

製品名

例: "Apex One"

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

externalId

イベントのログID

例: "101"

cfp1Label

"cfp1Label"フィールドに対応するラベル

"ForensicFileAvailable"

cfp1

フォレンジックファイルのダウンロードが可能かどうかを示す

  • 0: ファイルをダウンロードできません

  • 1: ファイルをダウンロードできます

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|700106|Data Loss Prevent
ion|3|cs3Label=Product_Entity/Endpoint cs3=Sample_Host dvc
host=Sampledvchost cs2Label=Policy cs2=N/A cn1Label=Product 
cn1=15 rt=Oct 13 2017 02:54:04 GMT+00:00 src=10.0.9.34 smac=
34-E6-D7-84-BC-7F shost=shost1 cs4Label=Incident_Source_(AD_
Account) cs4=12467 filePath=D:\\2. DRIVER\\drivers WIN7\\Dri
vers\\DP_CardReader_14032.7z\\O2Micro\\FORCED\\6x86\\ fname=
O2MDFvst.INF cs5Label=Rule cs5=SAMPLE RULE SET cs6Label=Temp
late cs6=Apex One policy cn3Label=Channel cn3=0 cn2Label=Act
ion cn2=4 deviceFacility=Apex One deviceNtDomain=APEXTMCM dn
tdom=OSCEDomain1 externalId=101 cfp1Label=ForensicFileAvaila
ble cfp1=0 dvchost=localhost TMCMLogDetectedHost=ApexOneClient01 
TMCMLogDetectedIP=10.201.86.187 ApexCentralHost=TW-CHRIS-W2019 
devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697