CEF検出ログ

表 1. CEF検出ログ
CEFキー	説明	値
Header (logVer)	CEF形式のバージョン	CEF: 0
Header (vendor)	アプライアンスのベンダ	Trend Micro
Header (pname)	アプライアンス製品	TMES
Header (pver)	アプライアンスのバージョン	例: 1.0.0.0
Header (eventid)	署名ID	100101
Header (eventName)	説明	DETECTION
Header (severity)	メールの重大度	6
rt	ログ生成日時	例: 2019-12-10T08:26:46.728Z
cs1Label	イベントの種類	eventType
cs1	イベントの種類	例: ransomware
cs2Label	ドメイン名	domainName
cs2	ドメイン名	例: example1.com
suser	メール送信者	例: user1@example1.com
duser	メール受信者	例: user2@example2.com
cs3Label	メールメッセージの方向	direction
cs3	メールメッセージの方向	incoming outgoing
cs4Label	一意のメッセージID	messageId
cs4	一意のメッセージID	例: 201605181642138223747@trend.com
msg	メールの件名	例: hello
cn1Label	メールメッセージのサイズ	messageSize
cn1	メールメッセージのサイズ	例: 1809
cs5Label	違反イベントの分析	policyName
cs5	違反イベントの分析	例: Spam
cs6Label	違反イベントの詳細	詳細
cs6	違反イベントの詳細	例: `{"threatNames":"Troj", "fileInfo":[{"fileName":"file1","fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e", "threatName":"Troj"}]}`
act	イベント発生時の処理	Quarantine (隔離) Bypass (処理なし) Delete Attachment (添付ファイルを削除) Insert Stamp (スタンプを挿入) Tag Subject (件名にタグを挿入) Change Recipient (受信者を変更) Delete Message (メッセージを削除) Send Notification (通知を送信) Clean (駆除) BCC (BCC) Deliver (配信) Insert X-Header (Xヘッダの挿入) Encryption in progress (暗号化中)

ログの例:

CEF:0|Trend Micro|TMES|1.0.0.0|100101|DETECTION|6|rt=2019-12-10T08:26:46.728Z 
cs1Label=eventType cs1=virus cs2Label=domainName cs2=example1.com 
suser=user1@example1.com duser=user2@example2.com cs3Label=direction
cs3=incoming cs4Label=messageId cs4=201605181642138223747@trend.com 
msg=test sample cn1Label=messageSize cn1=1809 cs5Label=policyName 
cs5=Test Rule act=Quarantine cs6Label=details cs6={"threatNames":"Troj",
"fileInfo":[{"fileName":"file1",
"fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]}