CEF Webセキュリティログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

WB: フィルタ/ブロックの種類

WB:1

ヘッダ (eventName)

"ブロックのルール"または"フィルタ/ブロックの種類"

5

ヘッダ (severity)

重大度

3

app

プロトコル

例: "3"

詳細については、プロトコルマッピングテーブルを参照してください。

cnt

検出数

例: "10"

dpt

サーバポート番号

例: "80"

act

処理

例: "0"

  • 0: 不明

  • 1: 放置

  • 2: ブロック

  • 3: 監視

  • 4: 削除

  • 5: 隔離

  • 6: 警告

  • 7: 警告して続行

  • 8: オーバーライド

rt

ログ生成日時 (UTC)

例: "Nov 15 2017 08:43:57 GMT+00:00"

src

エンドポイントのIPv4アドレス

例: "10.1.128.34"

c6a2Label

"c6a2"フィールドに対応するラベル

例: "SLF_SourceIP"

c6a2

エンドポイントのIPv6アドレス

例: "2620:101:4003:7a0:fd4b:52ed:53bd:ae3d"

cs1Label

"cs1"フィールドに対応するラベル

例: "SLF_PolicyName"

cs1

ポリシー

例: "External User Policy"

cs4Label

"cs4"フィールドに対応するラベル

例: "CLF_ReasonCode"

cs4

理由コード

例: "access"

cs5Label

"cs5"フィールドに対応するラベル

例: "CLF_ReasonCodeSource"

cs5

理由コードの送信元

例: "web"

deviceDirection

トラフィック/接続

例: "2"

  • 0: なし

  • 1: 受信

  • 2: 送信

cat

フィルタ/ブロックの種類

例: "7"

詳細については、フィルタ/ブロックの種類のマッピングテーブルを参照してください。

dvchost

エンドポイントのホスト名

例: "ApexOneClient08"

cn1Label

"cn1"フィールドに対応するラベル

例: "CLF_SeverityCode"

cn1

重大度コード

例: "0"

  • 0: 不明

  • 1: 情報

  • 2: 警告

  • 3: エラー

  • 4: 重大

deviceExternalId

ID

例: "38"

fname

ファイル

例: "test.txt"

request

URL

例: "http://www.violetsoft.net/counter/insert.php?dbserver\=db1&c_pcode\=25&c_pid\=funpop1&c_kind\=4&c_mac\=FE-ED-BE-EF-0C-E1"

deviceFacility

製品

例: "Apex One"

duser

ユーザ名

例: "Admin004"

shost

クライアントホスト名

例: "ABC-HOST-WKS12"

cs2Label

"cs2"フィールドに対応するラベル

例: "Blocking_Rule"

cs2

ブロックのルール

例: "content filter"

deviceProcessName

プロセス名

例: "C:\\Windows\ \system32\\svchost-1.exe"

cn3Label

"cn3"フィールドに対応するラベル

例: "ReputationScore"

cn3

レピュテーションスコア

例: "49"

dst

サーバIPアドレス

例: "10.69.81.64"

cn2Label

"cn2"フィールドに対応するラベル

例: "SLF_SeverityLevel"

cn2

重大度レベル

例: "100"

  • 100: 高

  • 300: 中/高

  • 500: 中

  • 700: 中/低

  • 900: 低

reason

重大な脅威の種類

例: "E"

  • A: 既知のAPT (標的型サイバー攻撃)

  • B: ソーシャルエンジニアリング攻撃

  • C: 脆弱性に対する攻撃

  • D: 侵入拡大

  • E: 未知の脅威

  • F: C&Cコールバック

  • G: ランサムウェア

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|WB:7|7|3|deviceExterna
lId=38 rt=Nov 15 2017 08:43:57 GMT+00:00 app=17 cntLabel=Agg
regatedCount cnt=1 dpt=80 act=1 src=10.1.128.46 cs1Label=SLF
_PolicyName cs1=External User Policy deviceDirection=2 cat=7
 dvchost=ApexOneClient08 fname=test.txt request=http://www.viol
etsoft.net/counter/insert.php?dbserver\=db1&c_pcode\=25&c_pi
d\=funpop1&c_kind\=4&c_mac\=FE-ED-BE-EF-0C-E1 deviceFacility
=Apex One shost=ABC-HOST-WKS12 reason=G deviceNtDomain=APEXT
MCM dntdom=OSCEDomain1 TMCMLogDetectedHost=ABC-HOST-WKS12 
TMCMLogDetectedIP=10.1.128.46 ApexCentralHost=TW-CHRIS-W2019
devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697