CEF不審ファイルのログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

FH: 処理

FH:Log

ヘッダ (eventName)

名前

Suspicious Files

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "1"

cat

ログの種類

例: "1766"

deviceFacility

製品

例: "Apex One"

cn1Label

"cn1"フィールドに対応するラベル

例: "SLF_ProductVersion"

cn1

製品バージョン

例: "11"

rt

検出日時

例: "Nov 15 2017 02:47:21 GMT+00:00"

dst

エンドポイントのIPv4アドレス

例: "10.201.86.151"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "Endpoint IPv6 Address"

c6a3

エンドポイントのIPv6アドレス

例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d"

dhost

エンドポイントのホスト名

例: "APEX-ONE-CLIENT-1"

cs2Label

"cs2"フィールドに対応するラベル

例: "SLF_TrueFileType"

cs2

ファイルタイプ

例: "TEXT"

fileHash

ファイルSHA-1

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

cs3Label

"cs3"フィールドに対応するラベル

例: "SLF_FileSource"

cs3

ファイルパス

例: "C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE"

cn2Label

"cn2"フィールドに対応するラベル

例: "SLF_SourceType"

cn2

C&Cリストのソース

例: "0"

  • 0: サンドボックス

  • 1: ユーザ定義

act

処理

例: "1"

  • 1: ログ

  • 2: ブロック

  • 3: 隔離

cn3Label

"cn3"フィールドに対応するラベル

例: "SLF_ScanType"

cn3

検索の種類

例: "1"

  • 1: 予約検索

  • 2: 手動検索

  • 3: ScanNow

  • 4: リアルタイム検索

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|FH:Log|Suspicious File
s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat
=1766 deviceFacility=Apex One cn1Label=SLF_ProductVersion cn
1=11 dst=10.201.86.151 dhost=APEX-ONE-CLIENT-1 cs2Label=SLF_
TrueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F91
0E14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\User
s\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\0
17545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label=
SLF_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1 rea
son=E deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDete
ctedHost=APEX-ONE-CLIENT-1 TMCMLogDetectedIP=10.201.86.151
ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360-
9CDE11EB-D4B8-F51F-C697