CEF Observed Attack Techniques ログ
| CEFキー | 説明 | 値 |
|---|---|---|
| ヘッダ (バージョン) | CEF形式のバージョン | CEF:0 |
| ヘッダ (デバイスベンダー) | 製品ベンダー | Trend Micro |
| ヘッダ (デバイス製品) | 送信デバイスの製品 | Vision One |
| ヘッダ (デバイスバージョン) | サービスバージョン | 1.0.0 |
| ヘッダ (デバイスイベントクラスID) | イベントの種類ごとの一意の識別子 | 900002 |
| ヘッダ (名前) | イベントのカテゴリ | Vision Oneで確認された攻撃の手法 |
| ヘッダ (重大度) | イベントの重要性 |
例: 3
|
| act | 違反に対して実行された処理 |
例: "ブロック"
|
| app | 悪用されるネットワークプロトコル |
例: "HTTP"
|
| 猫 | 検出名 | 例: "よく使用するポートへの接続" |
| deviceDirection | デバイスの方向 |
例: "0"
|
| deviceExternalId | この検出を報告したエージェントのGUID | 例: "B0DA10B4-EA5A-44EA-8D78-41FE6CD1C3E2" |
| deviceFacility | 製品名 |
例: "Trend Micro Deep Security"
|
| 外部ID | イベントID |
例: 「100116」
|
| request | 注目すべきURL | |
| src | 送信元IP | 例: "8.8.8.8" |
| dst | 送信先IP | 例: "239.255.255.250" |
| shost | 送信元ホスト名 | 例: "dns.google" |
| dhost | 送信先ホスト名 | 例: "10.46.91.40" |
| deviceProcessName | デバイスのプロセス名 | 例: "C:\\Users\\Administrator\\AppData\\Local\\Programs\\Python\\Python38-32\\python.exe" |
| メッセージ | フィルタの説明 | 例: "よく使用されるポートへの接続を検出します" |
| cs1 | MITREの戦術リスト | 例: "TA0002,TA0006" |
| cs1Label | "cs1" フィールドの対応するラベル | 例: "MITER Tactics ID" |
| cs2 | MITREのテクニックリスト | 例: "T1003.001,T1059.001" |
| cs2Label | "cs2" フィールドの対応するラベル | 例: "MITER手法ID" |
| rt | イベント発生時刻 | 例: "2022年12月05日 05:26:45" |
| dpt | "dst"のポート | 例: "8080" |
| spt | "src"のポート | 例: "544" |
| TrendMicroV1CompanyID | 会社ID | 例: "68960c94-9be6-4343-a4ca-6408de7aa331" |
親トピック: Syslogコンテンツマッピング - CEF
