CEFサンドボックス検出ログ

注:

サンドボックス検出ログは、Apex Central管理コンソールでは「仮想アナライザによる検出」と表記されます。

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

デバイスイベントクラスID

VAD

ヘッダ (eventName)

イベント名

Virtual Analyzer detection name

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "2"

rt

ログ生成日時 (UTC)

例: "Mar 22 2018 08:23:23 GMT+00:00"

deviceFacility

製品

例: "Apex One"

dvchost

サーバ名

例: "OSCE01"

dhost

エンドポイント名

例: "Isolate-ClientA"

dst

エンドポイントのIPv4アドレス

例: "10.0.17.6"

c6a3

エンドポイントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

app

エントリチャネル

例: "0"

詳細については、プロトコルマッピングテーブルを参照してください。

sourceServiceName

ソース

例: "Test1@tmcm.extbeta.com"

destinationServiceName

配信先

例: "Test2@tmcm.extbeta.com;Test3@tmcm.extbeta.com"

sproc

プロセス名

例: "VA"

fileHash

ファイルSHA-1ハッシュ

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

fname

ファイル名

例: "C:\\\\QA_Log.zip"

request

URL

例: "http://127.1.1.1"

cs1

仮想アナライザによって判別されたセキュリティの脅威の名前

例: "VAN_RANSOMWARE.umxxhelloransom_abc"

cn1

仮想アナライザによって割り当てられたリスクレベルを示します。

例: "0"

  • 0: リスクなし

  • 1: リスク低

  • 2: リスク中

  • 3: リスク高

  • 9999: 不明

cs2

セキュリティの脅威の種類を示します。

例: "Anti-security, self-preservation"

cs3

クラウドストレージベンダ

例: "Google Drive"

  • Dropbox

  • Box

  • Google Drive

  • Microsoft OneDrive

  • SugarSync

  • Hightail

  • Evernote

  • Microsoft Exchange Online

  • Microsoft SharePoint Online

  • Unknown

  • N/A

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF: 0|Trend Micro|Apex Central|2019|VAD|VAN_RANSOMWARE.um
xxhelloransom_abc|3|deviceExternalId=2 rt=Mar 22 2018 08:23:
23 GMT+00:00 deviceFacility=Apex One dvchost=OSCE01 dhost=
Isolate-ClientA dst=0.0.0.0 app=1 sourceServiceNameTest1@tre
nd.com.tw destinationServiceName=Test2@tmcm.extbeta.com;Test
3@tmcm.extbeta.com sproc=VA fileHash=3395856CE81F2B7382DEE72
602F798B642F14140 fname=C:\\\\QA_Log.zip request=http://127.
1.1.1 cs1Label=Security_Threat cs1=VAN_RANSOMWARE.umxxhellor
ansom_abc cn1Label=Risk_Level cn1=0 cs2Label=Threat_Categori
es cs2=Anti-security, self-preservation cs3Label=Cloud_Servi
ce_Vendor cs3=Google Drive reason=E deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 TMCMLogDetectedHost=OSCEClient TMCMLogDe
tectedIP=0.0.0.0 ApexCentralHost=TW-CHRIS-W2019 devicePaylo
adId=1C00290C0360-9CDE11EB-D4B8-F51F-C697