CEF製品監査イベント

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

製品ベンダ

Trend Micro

ヘッダ (pname)

製品名

Apex Central

ヘッダ (pver)

製品バージョン

2019

ヘッダ (eventid)

イベントID

1745

ヘッダ (eventName)

ログ名

製品監査イベント

ヘッダ (severity)

重大度

3

cat

ログの種類

1745

deviceFacility

管理下の製品

例: "Apex One"

dvchost

管理下のエンドポイントの表示名

例: "localhost"

rt

ログ生成日時 (UTC)

例: Apr 20 2020 03:33:15 GMT+00:00

cn1Label

"cn1"フィールドに対応するラベル

SLF_CategoryID

cn1

カテゴリID

例: "536,870,912"

cn2Label

「cn2」フィールドに対応するラベル

SLF_SeverityLevel

cn2

重大度レベル

例: "4"

  • 1 =エラー

  • 2 =警告

  • 4 =情報

  • 16 =監査失敗

suser

イベントを発生させたユーザの名前

例: administrator

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|Delete|1009490 - Block A
dministrative Share - 1 (ATT&CK T1077,T1105)|3|rt=Apr 20 202
0 03:33:15 GMT+00:00 dvchost=OSCEClient22 deviceFacility=Ape
x One act=Delete, src=10.1.1.8 dst=80.1.1.8 smac=54-BF-64-84
-7F-08 spt=88 dmac=54-BF-64-84-7F-18 dpt=448 cn2Label=SLF_Is
DetectionOnly cn2=1 deviceDirection=Outbound cn3Label=SLF_Ra
nk cn3=100 cn4Label=SLF_SeverityCode cn4=4 proto=10008 cs2La
bel=SLF_ConnectionType cs2=Suspicious Client Application Act
ivity cn1Label=SLF_RuleID cn1=1009490 cs1Label=SLF_RuleConte
nt cs1=1009490 - Block Administrative Share - 1 (ATT&CK T107
7,T1105) cnt=1 deviceNtDomain=APEXTMCM dntdom=OSCEDomain1