CEFスパイウェア/グレーウェアのログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

デバイスイベントクラスID

Spyware Detected

ヘッダ (eventName)

イベント名

Spyware Detected

ヘッダ (severity)

重大度

3

cnt

検出数

例: "10"

rt

ログ生成日時 (UTC)

例: "Oct 06 2017 08:39:46 GMT+00:00"

cn1Label

"cn1"フィールドに対応するラベル

例: "Pattern Type"

cn1

パターンファイルの種類

例: "1073741840"

cs1Label

"cs1"フィールドに対応するラベル

例: "VirusName"

cs1

スパイウェア/グレーウェア

例: "ADW_OPENCANDY"

cs2Label

"cs2"フィールドに対応するラベル

例: "EngineVersion"

cs2

検索エンジンバージョン

例: "6.2.3027"

cs5Label

"cs5"フィールドに対応するラベル

例: "ActionResult"

cs5

処理

例: "Reboot system successfully"

詳細については、処理マッピングテーブルを参照してください。

cs6Label

"cs6"フィールドに対応するラベル

例: "PatternVersion"

cs6

パターンファイルバージョン

例: "1297"

cat

ログの種類

例: "1727"

dvchost

エンドポイントのホスト名

例: "ApexOneClient01"

deviceExternalId

ID

例: "3"

fname

リソース

例: "F:\\Malware\\psas\\rsrc2.bin"

filePath

リソース

例: "F:\\Malware\\psas\\rsrc2.bin"

dhost

エンドポイントのホスト名

例: "ApexOneClient01"

dst

エンドポイントのIPv4アドレス

例: "50.8.1.1"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "SLP_DestinationIP"

c6a3

エンドポイントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

fileHash

ファイルSHA-1

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

deviceFacility

製品名

例: "Apex One"

duser

ユーザ名

例: "Admin004"

cn2Label

"cn2"フィールドに対応するラベル

例: "Scan_Type"

cn2

検索の種類

例: "ScanNow"

詳細については、スパイウェア検索の種類のマッピングテーブルを参照してください。

cn3Label

"cn3"フィールドに対応するラベル

例: "Security_Threat_Type"

cn3

セキュリティの脅威の種類

例: "Adware"

詳細については、スパイウェアのリスクの種類のマッピングテーブルを参照してください。

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|Spyware Detected|Spywa
re Detected|3|deviceExternalId=3 rt=Oct 06 2017 08:39:46 GMT
+00:00 cnt=1 dhost=ApexOneClient01 cn1Label=PatternType cn1=
1073741840 cs1Label=VirusName cs1=ADW_OPENCANDY cs2Label=Eng
ineVersion cs2=6.2.3027 cs5Label=ActionResult cs5=Reboot sys
tem successfully cs6Label=PatternVersion cs6=1297 cat=1727 d
vchost=ApexOneClient01 fname=F:\\Malware\\psas\\rsrc2.bin fi
lePath=F:\\Malware\\psas\\rsrc2.bin dst=50.8.1.1 deviceFacil
ity=Apex One deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCM
LogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=50.8.1.1 
ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360-
9CDE11EB-D4B8-F51F-C697