CEF機械学習型検索ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

PML: 処理結果

PML:File cleaned

ヘッダ (eventName)

検出名

virusa

ヘッダ (severity)

重大度

3

rt

検出日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

dvchost

製品サーバ

例: "Sample_Host"

cn1Label

"cn1"フィールドに対応するラベル

"ThreatType"

cn1

潜在的な脅威の種類

例: "35.143"

詳細については、脅威の種類のマッピングテーブルを参照してください。

cs2Label

"cs2"フィールドに対応するラベル

"DetectionName"

cs2

セキュリティの脅威

例: "Troj.Win32.TRX.XXPE002FF017"

shost

感染エンドポイント

例: "10.0.0.1"

suser

ログオンユーザ

例: "TREND\\User"

cn2Label

"cn2"フィールドに対応するラベル

"DetectionType"

cn2

検出の種類

例: "0"

  • 0: ファイル

  • 1: プロセス

filePath

ファイルパス

例: "D:\\"

fname

ファイル名

例: ALCORMP.EXE

deviceCustomDate1

ファイル作成日時

例: "2017-04-26 05:53:27.000"

sproc

システムプロセス

例: "notepad.exe"

cn4Label

"cn4"フィールドに対応するラベル

"ProcessCommandLine"

cs4

プロセスコマンド

例: "notepad.exe"

duser

プロセス所有者

例: "user1"

app

感染経路

例: "10"

  • 0: 不明

  • 1: ローカルドライブ

  • 2: ネットワークドライブ

  • 3: 自動実行ファイル

  • 10: Web

  • 11: メール

  • 999: ローカルまたはネットワークドライブ

cs3Label

"cs3"フィールドに対応するラベル

"InfectionLocation"

cs3

感染元

例: "http://10.0.0.1/"

dst

製品/エンドポイントのIPv4アドレス

例: "10.0.17.6"

c6a3Label

"c6a3"フィールドに対応するラベル

"Product/Endpoint IP"

c6a3

製品/エンドポイントのIPv6アドレス

例: "fd66:5168:9882:6:b5b0:b2b5:4173:3f5d"

cn3Label

"cn3"フィールドに対応するラベル

"Confidence"

cn3

脅威の可能性

例: "82"

act

処理結果

例: "21"

詳細については、処理マッピングテーブルを参照してください。

filehash

ファイルSHA-1

例: "52c17c785b45ee961f68fb17744276076f383085"

dhost

製品のエンティティ名/エンドポイント

例: "dhost1"

deviceExternalId

ログの番号

例: "100"

deviceFacility

製品

例: "Apex One"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|Detecti
on01|3|deviceExternalId=1 rt=Dec 01 2018 16:01:00 GMT+00:00 
deviceFacility=15 dvchost=OSCE01 cn1Label=ThreatType cn1=1 c
s2Label=DetectionName cs2=Detection01 shost=10.0.0.1 suser=S
ample_Domain\\Sample_User cn2Label=DetectionType cn2=0 fileP
ath=C:\\test01\\aaa.exe fname=aaa.exe deviceCustomDate1Label
=FileCreationDate deviceCustomDate1=Dec 02 2018 00:01:00 GMT
+00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4=not
epad.exe -test duser=admin01 app=1 cs3Label=InfectionLocatio
n cs3=https://10.1.1.1 dst=80.1.1.1 cn3Label=Confidence cn3=
81 act=21 fileHash=177750B65A21A9043105FD0820B85B58CF148A01 
dhost=OSCEClient11 reason=E deviceNtDomain=APEXTMCM dntdom=O
SCEDomain1 TMCMLogDetectedHost=OSCEClient11 TMCMLogDetectedI
P=80.1.1.1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=
1C00290C0360-9CDE11EB-D4B8-F51F-C697