CEF侵入防御イベントログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

イベントID

ログの種類

ヘッダ (eventName)

ログ名

IPS

ヘッダ (severity)

重大度

3

dvchost

管理下のエンドポイントの表示名

例: "localhost"

rt

ログ生成日時 (UTC)

例: "Nov 15 2017 08:43:57 GMT +00:00"

src

送信元IPv4アドレス

例: 10.1.152.12

c6a2Label

「c6a2」フィールドに対応するラベル

SLF_SourceIPv6

c6a2

送信元IPv6アドレス

2001:b011:1004:325b:8db7:6ca9:8fc5:321a

smac

送信元MACアドレス

例: 18:31:BF:4F:30:DD

spt

送信元ポート

例: 60886

dst

送信先IPv4アドレス

例: 10.1.153.151

c6a3Label

「c6a3」フィールドに対応するラベル

SLF_DestinationIPv6

c6a3

送信先IPv6アドレス

例: 2001:b011:1004:325b:8db7:6ca9:8fc5:654a

dmac

送信先ホストMACアドレス

例: D0:17:C2:95:ED:71

dpt

送信先ポート

例: 139

cn2Label

「cn2」フィールドに対応するラベル

モード

cn2

システムが「検出のみ」モードであるかどうかを示す

例: 0

  • 0またはNULL = No

  • 1 = Yes

act

処理

例: LOG

SLF_ACTIONマップ:

  • 0 =不明

  • 3 =削除

  • 6 =ログ

  • 10 =挿入/置換

  • 13 =ブロック

  • 257 =リセット

deviceDirection

受信方向または送信方向

例: Apex One

cn3Label

「cn3」フィールドに対応するラベル

優先度

cn3

イベントの重み付けされた優先度

例: 3

重大度xアセット値から算出

cn4Label

「cn4」フィールドに対応するラベル

重大度

cn4

システム定義のイベント重大度値

例: 1

  • 1 =低

  • 2 =中

  • 3 =高

  • 4 =重大

proto

脆弱性を利用されているネットワークプロトコル

例: 10009

  • 28 = ICMP

  • 46 = ICMPv6

  • 10003 = TCP

  • 10004 = UDP

  • 10005 = IGMP

  • 10006 = GGP

  • 10007 = PUP

  • 10008 = IDP

  • 10009 = ND

  • 10010 = RAW

cs2Label

「cs2」フィールドに対応するラベル

Application_Type

cs2

ネットワークアプリケーション名

例: DCERPC Services

cn1Label

「cn1」フィールドに対応するラベル

ルール

cn1

監視ルールのID

例: 1005448

cs1Label

「cs1」フィールドに対応するラベル

理由/ルール

cs1

ルールIDおよび説明の文字列リテラル

例: 1005448 - SMB Null Session Detected - 1

cnt

集計数

例: 1

deviceFacility

製品名

例: Apex One

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|Log|Intrusion Prevention|3|
rt=Apr 20 2020 03:33:20 GMT+00:00 dvchost=OSCEClient23 
deviceFacility=Apex One act=Log,src=10.1.1.9 dst=80.1.1.9 
smac=54-BF-64-84-7F-09 spt=89 dmac=54-BF-64-84-7F-19 
dpt=449 cn2Label=Mode cn2=0 deviceDirection=Inbound 
cn3Label=Priority cn3=1 cn4Label=Severity cn4=1 proto=10009 
cs2Label=Application_Type cs2=N/A cn1Label=Rule cn1=1009549 
cs1Label=Reason/Rule cs1=1009549 - Detected Terminal Services 
(RDP) Server Traffic - 1 (ATT&CK T1015,T1043,T1076,T1048,
T1032,T1071) cnt=1 deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 deviceFacility=Apex One 
TMCMLogDetectedHost=shost1 TMCMLogDetectedIP=10.1.1.9