データマッピング: エンドポイントアクティビティ データ

フィールド

一般フィールド

メモ

hostName

DomainName

self.events.data.microsoft.com

DNSイベント

endpointGuid

EndpointID

e3c49595-09b9-47a3-a43f-6c21aa52e54f

-

endpointHostName

EndpointName

hr-johndoe1

-

endpointIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

Trend Micro Apex Oneでは、127.0.01と仮想マシンのアドレスを含むすべてのIPアドレスが記録されます。

request

URL

https://www.example.com

-

objectIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

インターネットイベント

dst

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

接続イベント

src

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

接続イベント

objectPort

Port

8080

インターネットイベント

spt

Port

5353

接続元のポート

dpt

Port

5353

接続先のポート

objectFileHashSha1

FileSHA1

98A9A1C8F69373B211E5F1E303BA8762F44BC898

-

parentFileHashSha1

FileSHA1

98A9A1C8F69373B211E5F1E303BA8762F44BC898

-

processFileHashSha1

FileSHA1

98A9A1C8F69373B211E5F1E303BA8762F44BC898

-

srcFileHashSha1

FileSHA1

98A9A1C8F69373B211E5F1E303BA8762F44BC898

-

objectFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

 

parentFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

 

processFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

 

srcFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

 

objectFilePath

FileFullPath

C:\Program Files (x86)\temp\Application\test.exe

-

parentFilePath

FileFullPath

C:\Program Files (x86)\temp\Application\test.exe

-

srcFilePath

FileFullPath

C:\Program Files (x86)\temp\Application\test.exe

-

processFilePath

ProcessFullPath

C:\Program Files (x86)\temp\Application\test.exe

-

objectCmd

CLICommand

\??\c:\windows\system32\conhost.exe 0xffffffff -forcev1

-

parentCmd

CLICommand

"c:\program files (x86)\tanium\tanium client\taniumclient.exe" -c

-

processCmd

CLICommand

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=utility --lang=en-US --no-sandbox

-

objectRegistryKeyHandle

RegistryKey

hklm\software\wow6432node\microsoft\windows\currentversion\run

-

objectRegistryValue

RegistryValue

its_ie_settings

-

objectRegistryData

RegistryValueData

wscript "C:\Program Files (x86)\JNJ\ITS_IE_PREF\IE_Preferences.vbs"

-

logonUser

UserAccount

[lenovo_tmp_uktqYZKK, jdodd4]

-

objectUser

UserAccount

john_doe

プロセスイベント:プロセスを実行したアカウント

eventTime

-

1573752859458

イベント発生時刻

eventId

-

eventIdとeventSubIdのマッピング

-

eventSubId

-

eventIdとeventSubIdのマッピング

-

objectSigner

-

[トレンドマイクロ株式会社、トレンドマイクロ株式会社]

-

objectSignerValid

-

[true, true]

-

pname

-

533

レポート製品のID値

詳細なリストについては、以下の表を参照してください。

tags

-

-

productCode

-

-

表 1. pnameの値のマッピング

製品

pnameの値

Trend Micro Apex One (Windowsセキュリティエージェント)

533

Trend Micro Apex One (Macセキュリティエージェント)

620

Trend Micro Apex One (Deep Security Linux Agent)

2200

Deep Security

2200

Deep Security Virtual Appliance

2201

Deep Security Relay

2202

Deep Security Manager

2203

Deep Security MANIFEST

2211

Deep Security Relayのマニフェスト

2212

Deep Securityルールのアップデート

2213

Deep Security Smart Check 1

2214