CEFウイルス/不正プログラムのログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

AV: 処理

AV:File renamed

ヘッダ (eventName)

ウイルス/不正コード名

JS_EXPLOIT.SMDN

ヘッダ (severity)

重大度

3

cnt

検出数

例: "10"

dhost

エンドポイント

例: "ApexOneClient01"

duser

ユーザ

例: "Admin004"

act

処理

例: "File renamed"

詳細については、処理マッピングテーブルを参照してください。

rt

ログ生成日時 (UTC)

例: Oct 06 2017 08:39:46 GMT+00:00

cn1Label

"cn1"フィールドに対応するラベル

例: "VLF_PatternNumber"

cn1

パターンファイル/ルールのバージョン

例: "920500"

cn2Label

"cn2"フィールドに対応するラベル

例: "VLF_SecondAction"

cn2

2次処理

例: "3"

詳細については、2次処理マッピングテーブルを参照してください。

cs1Label

"cs1"フィールドに対応するラベル

例: "VLF_FunctionCode"

cs1

検索の種類

例: "12"

  • 0: 不明

  • 1: 該当なし

  • 11: リアルタイム検索

  • 12: 手動検索

  • 13: 予約検索

  • 16: ScanNow

  • 17: カード検索

  • 18: ダメージクリーンナップサービス

  • 19: ストレージ検索

cs2Label

"cs2"フィールドに対応するラベル

例: "VLF_EngineVersion"

cs2

検索エンジンバージョン

例: "9.500.1005"

cs3Label

"cs3"フィールドに対応するラベル

例: "CLF_ProductVersion"

cs3

製品バージョン

例: "11"

cs4Label

"cs4"フィールドに対応するラベル

例: "CLF_ReasonCode"

cs4

理由コード

例: "virus log"

cs5Label

"cs5"フィールドに対応するラベル

例: "VLF_FirstActionResult"

cs5

1次処理結果

例: "Unable to clean file"

詳細については、処理マッピングテーブルを参照してください。

cs6Label

"cs6"フィールドに対応するラベル

例: "Second Action Result"

cs6

2次処理結果

例: "Unable to clean file.Passed"

詳細については、処理マッピングテーブルを参照してください。

cat

ログの種類

例: "1703"

dvchost

製品サーバ名

例: "ApexOneServer01"

cn3Label

"cn3"フィールドに対応するラベル

例: "Overall_Risk_Rating"

cn3

重大度コード

例: "0"

  • 0: 低

  • 1: 低

  • 2: 中

  • 3: 高

deviceExternalId

ID

例: "3"

fname

ファイル

例: "FakeMalwareRebootDel.exe"

filePath

ファイルパス

例: "C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\"

msg

圧縮ファイル内のファイル

例: "BMAC Schedule of Events.xls"

shost

送信元ホスト

例: "ABC-OSCE-WKS12"

suser

送信元ホスト

例: "ABC-OSCE-WKS12"

dst

エンドポイントのIPv4アドレス

例: "50.8.1.1"

c6a3Label

"c6a3"フィールドに対応するラベル

例: "SLP_DestinationIP"

c6a3

エンドポイントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

fileHash

ファイルSHA-1

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

deviceFacility

製品

例: "Apex One"

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP
LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 GMT
+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=File r
enamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=VLF_Se
condAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manual Scan c
s2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=CLF_Produc
tVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=virus log cs5L
abel=VLF_FirstActionResult cs5=File renamed cs6Label=VLF_Sec
ondActionResult cs6=N/A cat=1703 dvchost=ApexOneServer01 cn3
Label=CLF_ServerityCode cn3=2 fname=0348C693056617D34FC5B5BA
B4643885FEE5FEDF;0xD5D56AC2 filePath=C:\\Users\\Administrato
r\\Desktop\\trend_test_virus\\Trojans\\ msg=BMAC Schedule of
 Events.xls shost=ABC-OSCE-WKS12 suser=ABC-OSCE-WKS12 dst=10
.201.129.24 deviceFacility=Apex One reason=B deviceNtDomain=
APEXTMCM dntdom=OSCEDomain1 TMCMLogDetectedHost=ApexOneClient01 
TMCMLogDetectedIP=10.201.129.24