CEFネットワークコンテンツ検査のログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

NCIE: 処理

NCIE:Pass

ヘッダ (eventName)

名前

Suspicious Connection

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "1"

cat

ログの種類

例: "1756"

deviceFacility

製品

例: "Apex One"

rt

ログ生成日時 (UTC)

例: "Oct 11 2017 06:34:06 GMT+00:00"

deviceProcessName

プロセス

例: "C:\\Windows\\system32\\svchost-1.exe"

src

ローカルIPv4アドレス

例: "10.201.86.152"

c6a2Label

"c6a2"フィールドに対応するラベル

例: "SLF_SourceIP"

c6a2

ローカルIPv6アドレス

例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d"

spt

ローカルIPアドレスポート番号

例: "54594"

dst

リモートIPv4アドレス

例: "10.69.81.64"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "SLF_DestinationIP"

c6a3

リモートIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

dpt

リモートIPアドレスポート番号

例: "80"

act

処理

例: "1"

  • 0: 不明

  • 1: 放置

  • 2: ブロック

  • 3: 監視

  • 4: 削除

  • 5: 隔離

  • 6: 警告

  • 7: 警告して続行

  • 8: オーバーライド

deviceDirection

トラフィックの方向

例: "1"

  • 0: なし

  • 1: 受信

  • 2: 送信

cn1Label

"cn1"フィールドに対応するラベル

例: "SLF_PatternType"

cn1

パターンファイルの種類

例: "2"

  • 0: グローバルC&Cパターンファイル

  • 1: 適合度ルール

  • 2: ユーザ指定ブロックリスト

cs2Label

"cs2"フィールドに対応するラベル

例: "NCIE_ThreatName"

cs2

脅威の名前

例: "Malicious_identified_CnC_querying_on_UDP_detected"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

dvchost

ホスト名

例: localhost

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|NCIE:Pass|Suspicious C
onnection|3|deviceExternalId=1 rt=Oct 11 2017 06:34:06 GMT+0
0:00 cat=1756 deviceFacility=Apex One deviceProcessName=C:
\\Windows\\system32\\svchost-1.exe act=Pass src=10.201.86.15
2 dst=10.69.81.64 spt=54594 dpt=80 deviceDirection=None cn1L
abel=SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Mali
cious_identified_CnC_querying_on_UDP_detected reason=F devic
eNtDomain=APEXTMCM dntdom=OSCEDomain1 dvchost=shost1 
TMCMLogDetectedHost=shost1 TMCMLogDetectedIP=10.1.2.3
ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360
-9CDE11EB-D4B8-F51F-C697