データマッピング:検出データ

フィールド

一般フィールド

メモ

製品

EndpointGUID

EndpointID

e3c49595-09b9-47a3-a43f-6c21aa52e54f

イベントが生成されたエンドポイントのホストGUID

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

EndpointHostName

EndpointName

hr-johndoe1

イベントが生成されたエンドポイントのホスト名

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

userDomain

EndpointName

hr-johndoe1

データ保護イベントが生成されたエンドポイントのホスト名

  • Apex One

hostName

DomainName

  • self.events.data.microsoft.com

  • 192.0.2.0

  • hr-johndoe1

イベントが生成されたエンドポイントのホスト名

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

InterestedHost

DomainName

  • self.events.data.microsoft.com

  • 192.0.2.0

  • hr-johndoe1

インシデント対応メンバーの強調表示されたインジケータ

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

objectDomain

DomainName

-

Attack Discoveryでログに記録されたDNSドメイン

  • Apex One

shost

DomainName

  • self.events.data.microsoft.com

  • 192.0.2.0

  • hr-johndoe1

送信元ホスト(ホスト名| IPアドレス|ドメイン)

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

dhost

DomainName

  • self.events.data.microsoft.com

  • 192.0.2.0

送信先ホスト(ホスト名| IPアドレス|ドメイン)

  • Deep Discovery Inspector

denyListHost

DomainName

  • self.events.data.microsoft.com

-

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

要求

URL

https://www.example.com

要求URL(通常、 Webレピュテーションサービスによって検出されます)

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

botUrl

URL

https://www.example.com

ボットのURL

  • Deep Discovery Inspector

cccaDestination

URL

https://www.example.com

Command and Controlの連絡先アラートサービスの送信先

  • Deep Discovery Inspector

src

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

送信元IPアドレス

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

dst

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

送信先IPアドレス

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

InterestedIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

インシデント対応メンバーの強調表示されたインジケータ

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

EndpointIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

エンドポイントIPアドレス

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

peerIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

ピアIPアドレスは、トンネルのもう一方の端のIPアドレスです。クライアントエンドポイントからは、ピアIPアドレスはルータのIPアドレスになります。

  • Apex One

  • Deep Discovery Inspector

denyListIp

  • IPv4

  • IPv6

  • 192.0.2.0

  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334

-

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

dpt

ポート

8080

送信先ポート

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

spt

ポート

8080

送信元ポート

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

fileName

FileName

  • example.exe

  • ホスト

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Email Inspector

objectFileName

FileName

  • example.exe

-

  • Apex One

圧縮ファイル名

FileName

  • 圧縮インストーラ.exe

  • NONAMEFL

感染ファイルを含んでいた圧縮アーカイブの名前

  • Apex One

  • Deep Discovery Inspector

attachmentFileName

FileName

  • NONAMEFL

  • example.zip

メールの添付ファイル名

  • Deep Discovery Inspector

  • Cloud App Security

filePath

FileFullPath

  • APAC BOS \\ OM-BOS \\ OM-BOS \\ OM_MMEA Project \\

ファイル名を含まないファイルのフルパス

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

filePathName

FileFullPath

  • C$\\jenkins\\workspace\\DrWindows\\DoctorCleanerForWindows\\ui\\release\\win-ia32-unpacked \\ libEGL.dll

ファイルのフルパス

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

objectFilePath

FileFullPath

  • C:\ Program Files(x86)\ temp \ Application \ test.exe

-

  • Apex One

quarantineFilePath

FileFullPath

  • -

Apex Oneサーバは、ファイルを隔離した後、分析してファイルに保存します。

  • Apex One

forensicFilePath

FileFullPath

  • C:\\ Program Files \\ Trend Micro \\ ウイルスバスター Corp.クライアント\\ dlplite \\ forensic \\ frnsc_DESKTOP-UEJAQJ8_UnknownFileType_170eb512b06_20200318_094935253

情報漏えい対策ポリシーがトリガされると、 Apex Oneサーバは、事後分析用にサーバ上のファイルをコピーして暗号化します。

  • Apex One

fileHash

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

attachmentFileHash

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

メールの添付ファイルのハッシュ

  • Deep Discovery Inspector

attachmentFileHashSha1

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

メールの添付ファイルのハッシュ

  • Cloud App Security

圧縮ファイルハッシュ

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

圧縮ファイルのハッシュ

  • Deep Discovery Inspector

denyListFileHash

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

拒否/ブロックリストに保存されたファイルハッシュ

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

objectFileHashSha1

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

Attack Discoveryによって検出されたファイルハッシュ

  • Apex One

oldFileHash

FileSHA1

  • 98A9A1C8F69373B211E5F1E303BA8762F44BC898

イベントをトリガした変更前の監視対象エンティティのEntityTransport

  • Deep Security

  • Cloud One - Workload Security

fileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

Apex Oneで、Attack Discovery AMSIイベントによって検出されたファイルハッシュ

  • Apex One

  • Deep Discovery Inspector

attachmentFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

メールの添付ファイルのハッシュ

  • Deep Discovery Inspector

compressedFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

圧縮ファイルのハッシュ

  • Deep Discovery Inspector

objectFileHashSha256

FileSHA2

16e4e8b57e82159a16f5d7d898da9e2a4fbe90c17cd95c02074e75226337c90a

Apex Oneで、Attack Discoveryによって検出されたファイルハッシュ

  • Apex One

attachmentFileHashMd5

FileMD5

46CFB4E38C6299983048DE39012FD08F

メールの添付ファイルのハッシュ

  • Cloud App Security

objectFileHashMd5

FileMD5

46CFB4E38C6299983048DE39012FD08F

Attack Discoveryによって検出されたファイルハッシュ

  • Apex One

processCmd

CLICommand

"C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe" --type = utility --lang = en-US --no-sandbox

SLF_DetectionType = Processにのみ適用されます。このプロセスの起動に使用するコマンドライン。

  • Apex One

objectCmd

CLICommand

"C:\ Program Files(x86)\ Google \ Chrome \ Application \ chrome.exe" --type = utility --lang = en-US --no-sandbox

Attack Discoveryによって検出されたプロセスが他のプロセスの実行に使用するコマンドラインです。

  • Apex One

objectRegistryKeyHandle

RegistryKey

hklm \ software \ wow6432node \ microsoft \ windows \ currentversion \ run

-

  • Apex One

objectRegistryData

RegistryValueData

wscript "C:\ Program Files(x86)\ JNJ \ ITS_IE_PREF \ IE_Preferences.vbs"

-

  • Apex One

objectRegistryValue

RegistryValue

its_ie_settings

-

  • Apex One

suid

UserAccount

john_doe

  • Apex One:ログオンユーザ

  • Deep Security:検索時に整合性ルールがトリガされたユーザの名前(利用可能な場合)

  • Cloud One - Workload Security :検索時に整合性ルールがトリガされたユーザの名前(利用可能な場合)

  • Deep Discovery Inspector:最新のログオンユーザ(感染したユーザとは限らない)

  • Cloud App Security:セキュリティイベントをトリガしたメールボックス

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

processFilePath

ProcessFullPath

C:\ Program Files(x86)\ temp \ Application \ test.exe

-

  • Apex One

ユーザ

EmailSender

john_doe@example.com

  • Apex Oneの検出

    • 不正プログラム:影響を受ける対象

    • セキュリティポリシー:メッセージ送信者

    • データ保護:メッセージ送信者

    • ファイルハッシュ:メッセージ送信者

  • Deep Discovery Inspector:メッセージ送信者

  • Cloud App Security:メッセージ送信者

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

duser

メール受信者

john_doe@example.com

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

mailMsgSubject

EmailSubject

対象:ナイジェリアの王子の机から

-

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

msgId

EmailMessageID

<rRzmIhBrXbgjvr4uhIwCcbtE6BnmgNTtAU51qWmqY@example.online>

-

  • Cloud App Security

テクニックID

手法

T1210

セキュリティエージェントまたは製品ポリシーで検出

  • Apex One

  • Deep Discovery Inspector

タグ

手法

MITRE.T1210

Security Analyticsエンジンのフィルタによって検出

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

戦術ID

戦術

TA0008

セキュリティエージェントまたは製品ポリシーで検出

  • Apex One

  • Deep Discovery Inspector

タグ

戦術

MITRE.TA1136

Security Analyticsエンジンのフィルタによって検出

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

ruleName

-

  • Deep Securityで不正URLが検出されました

  • WebScriptインジェクション-HTTP(要求)

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

ruleId

-

718

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

malName

-

  • グレー検出

  • 脅威の検出

不正プログラム名

  • Apex One

  • Deep Discovery Inspector

eventName

-

  • SECURITY_RISK_DETECTION

  • WEB_THREAT_DETECTION

  • LOG_INSPECTION_EVENT

  • MALWARE_DETECTION

  • PROCESS_ACTIVITY

  • WEB_POLICY_VIOLATION

  • DEEP_PACKET_INSPECTION_EVENT

  • INTEGRITY_MONITORING_EVENT

  • DISRUPTIVE_APPLICATION_DETECTION

  • PRODUCT_SUMMARY

  • PRODUCT_UPDATE

  • BEHAVIORAL_VIOLATION

  • FIREWALL_POLICY_VIOLATION

  • SUSPICIOUS_BEHAVIOUR_DETECTION

  • DENYLIST_CHANGE

  • MACHINE_LEARNING_DETECTION

  • DLP_VIOLATION

  • MALWARE_OUTBREAK_DETECTION

事前定義されたイベント列挙子

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

行為

-

  • ブロックされていません

  • ログ

  • ブロック

 
  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

actResult

-

  • 正常に隔離されました

  • ファイルが渡されました

-

  • Apex One

  • Cloud App Security

アプリ

-

  • HTTP

  • ケベロス

  • TCP

-

  • Apex One

  • Deep Discovery Inspector

appGroup

-

  • HTTP

  • 認証

  • CIFS

-

  • Deep Discovery Inspector

aptキャンペーン

-

テスト

-

  • Deep Discovery Inspector

aptGroup

-

LoQ

-

  • Deep Discovery Inspector

aptRelated

-

0または1(true / false)

-

  • Deep Discovery Inspector

attachmentFileSize

-

-

-

  • Deep Discovery Inspector

attachmentFileType

-

  • PKZIP

  • COM

  • TXT

-

  • Deep Discovery Inspector

eventClass

-

  • 認証

  • 攻撃コード

  • 不審なトラフィック

-

  • Deep Discovery Inspector

eventSubClass

-

  • ログイン失敗

  • 一般

  • DNS

-

  • Deep Discovery Inspector

clientFlag

-

  • src

  • dst

-

  • Deep Discovery Inspector

dOSName

-

  • Linux

  • Windows XP

  • Mac OS

-

  • Deep Discovery Inspector

ブロック

-

Webレピュテーション

-

  • Apex One

callbackAttemptCnt

-

-

-

  • Deep Discovery Inspector

cat

-

-

-

  • Deep Security

  • Cloud One - Workload Security

cccaDestination

-

  • update-product.net

  • xjgftnm.info

-

  • Deep Discovery Inspector

cccaDestinationFormat

-

  • IP_DOMAIN

  • URL

-

  • Deep Discovery Inspector

cccaDetection

-

はい

-

  • Apex One

  • Deep Discovery Inspector

cccaDetectionSource

-

  • RELEVANCE_RULE

  • GLOBAL_INTELLIGENCE

  • VIRTUAL_ANALYZER

  • USER_DEFINED

-

  • Apex One

  • Deep Discovery Inspector

cccaRiskLevel

-

-

-

  • Apex One

  • Deep Discovery Inspector

cncHostCnt

-

-

-

  • Deep Discovery Inspector

cnt

-

-

-

  • Deep Discovery Inspector

コンポーネント

-

  • TM_AU_PRODUCT_TDA_WIDGET_20 3.50.1192

  • TM_AU_ENGINE_TMIA24DDI_LINUX64 2.0.1019

-

  • Deep Discovery Inspector

圧縮ファイルサイズ

-

-

-

  • Deep Discovery Inspector

圧縮ファイルの種類

-

  • EXE

  • COM

  • JAVA

-

  • Deep Discovery Inspector

感染したクライアント数

-

-

-

  • Deep Discovery Inspector

相関カタログ

-

  • 認証

  • 攻撃コード

  • 不審なトラフィック

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

cve

-

  • CVE-2017-0016

  • CVE-2005-2120

-

  • Deep Discovery Inspector

dUser1

-

  • Micro \\ corpdmadmin

  • tw.trendnet.org \\ hillary_dris

-

  • Deep Discovery Inspector

dUser2

-

マイクロ\\ d2

-

  • Deep Discovery Inspector

dUser3

-

マイクロ\\ d3

-

  • Deep Discovery Inspector

data0

-

diemen.nl.eu.undernet.org

-

  • Deep Discovery Inspector

data0Name

-

ホスト名

-

  • Deep Discovery Inspector

data1

-

10.1.116.23

-

  • Deep Discovery Inspector

data1Name

-

このIPからの不正なファイル

-

  • Deep Discovery Inspector

data2

-

10.1.116.23

-

  • Deep Discovery Inspector

data2Name

-

ポートの攻撃

-

  • Deep Discovery Inspector

data3

-

2020-03-18 15:29:00

-

  • Deep Discovery Inspector

data3Name

-

攻撃数

-

  • Deep Discovery Inspector

dceHash1

-

0

-

  • Deep Discovery Inspector

dceHash2

-

0

-

  • Deep Discovery Inspector

denyListRequest

-

  • http://wrs21.winshipway.com:80/

  • http://wrs21.winshipway.com:80/favicon.ico

-

  • Apex One

  • Deep Discovery Inspector

denyListType

-

  • 拒否リストのURL

  • 拒否リストドメイン

-

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

detectionName

-

  • Troj.Win32.TRX.XXPE50F13009

  • Ransom.Win32.TRX.XXPE1

-

  • Apex One

  • Deep Discovery Inspector

detectionType

-

  • ファイル

  • レピュテーションサービス

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

deviceDirection

-

  • 送信

  • 受信

-

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

deviceGUID

-

544508E49687-42FC9C98-CD30-7392-F8CE

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

  • Cloud App Security

deviceMacAddress

-

00:50:56:84:ca:cc

-

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

devicePayloadId

-

  • 2:23 :: F:

  • 2:25 :: F:S

-

  • Deep Discovery Inspector

deviceProcessName

-

C:\\ Users \\ Administrator \\ AppData \\ Local \\ Programs \\ Python \\ Python38-32 \\ python.exe

-

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

deviceRiskConfidenceLevel

-

-

-

  • Deep Discovery Inspector

方向

-

  • 送信

  • 不明

  • 受信

-

  • Apex One

dmac

-

00:08:e3:ff:fd:90

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

dstGroup

-

  • 私の会社

  • 会社/ TW Aワイヤレス

-

  • Deep Discovery Inspector

dstZone

-

  • 1

  • 0

-

  • Deep Discovery Inspector

EndpointGUID

-

72436165-b5a5-471a-9389-0bdc3647bc33

-

  • Apex One

EndpointMacAddress

-

00-15-5D-CA-01-02

-

  • Apex One

engineOperation

-

  • 作成する

  • 403

-

  • Apex One

engType

-

  • 0x00001000

  • ウイルス検索エンジン (Windows XP/Server 2003、x64)

-

  • Apex One

  • Deep Discovery Inspector

engVer

-

12.000.1008

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

eventId

-

-

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

fileExt

-

  • .dll

  • .nupkg

  • .exe

-

  • Deep Discovery Inspector

fileOperation

-

アップデート済み

-

  • Deep Security

  • Cloud One - Workload Security

fileType

-

  • .EXE

  • .PKZIP

-

  • Apex One

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

filterName

-

  • ファイルブロック

  • 情報漏えい対策

-

  • Apex One

  • Cloud App Security

ファームウェア

-

  • 2020-03-02 22:46:38 + 08:00 5.61.1038 5.61.1049

  • 2020-01-22 10:18:40 + 08:00 5.1.1191 5.61.1032

ファームウェアバージョン

  • Deep Discovery Inspector

最初の行為

-

  • クリーン

  • 放置/ログ

脅威に対して最初に実行された処理

  • Apex One

firstActResult

-

  • ファイルを駆除できません

  • ファイルが駆除されました

最初の処理結果

  • Apex One

グループ

-

  • Windows、adduser、account_changed

LogInspectionRuleTransportによってトリガされるサブルールのグループ

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

hasdtasres

-

  • はい

  • いいえ

-

  • Deep Discovery Inspector

heurFlag

-

  • -

-

  • Deep Discovery Inspector

hostId

-

  • -

-

  • Deep Security

  • Cloud One - Workload Security

hostSeverity

-

  • -

ホストの重要度は、ホストに影響を与えるイベントの重要度の集約と相関に基づいています。複数のイベントがホストに影響し、検出された接続がない場合、ホストの重要度はそれらのイベントの最も高いイベント重要度に基づきます。ただし、イベントに相関が検出された場合は、それに応じてホストの重大度が高くなります。

  • Deep Discovery Inspector

httpReferer

-

  • https://www.google.com/

  • http://video.eyny.com/channel/UC3GVqldo-z

-

  • Deep Discovery Inspector

InterestedGroup

-

  • 私の会社

  • 会社/ TW Aワイヤレス

-

  • Deep Discovery Inspector

気になるMacアドレス

-

  • 3c:2c:30:15:aa:02

-

  • Apex One

  • Deep Discovery Inspector

ircUserName

-

  • ローカルホスト

  • TSシリーズNAS

-

  • Deep Discovery Inspector

mDeviceGUID

-

  • 000D3A43-BB34-5D80-03A3-0595D0E00061

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

mailDeliveryTime

-

  • 1900-1-1 00:00:00

  • 2020-3-2 11:30:00

-

  • Apex One

mailSentTime

-

  • 1586428240000

  • 1586486292000

-

  • Cloud App Security

mailFolder

-

  • admin@bucksware2.onmicrosoft.com

-

  • Apex One

  • Cloud App Security

malFamily

-

  • SHIZ

  • 「潜在的な不正なChrome拡張機能」

-

  • Deep Discovery Inspector

malName

-

  • Eicar_test_file

  • PACP_UPX.STD

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Deep Discovery Email Inspector

malSrc

-

  • InfectionSrc

-

  • Apex One

malSubType

-

  • 不明

-

  • Apex One

malType

-

  • その他

  • 不正プログラム

-

  • Apex One

  • Deep Discovery Inspector

malTypeGroup

-

  • その他

  • 不正プログラム

-

  • Deep Discovery Inspector

mitigationTaskId

-

  • 6cd92f8a-f1ea-4e5a-aeae-7d8e4469831d

-

  • Deep Discovery Inspector

mpname

-

  • Deep Security Manager

  • Control Manager

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

MPVER

-

  • 2019.4590

  • Deep Security/12.5.798

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

メッセージ

-

  • Microsoft-Windows-Security-Auditing

  • 削除済み

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

msgId

-

  • hk.mensuno.asia

  • 着信.telemetry.mozilla.org

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

objectFileCreation

-

  • 1579496374000

  • 1579525174000

-

  • Apex One

objectFileModified

-

  • 1579496374000

  • 1579525174000

-

  • Apex One

objectFirstRecorded

-

  • 1585661319000

  • 1584697016000

-

  • Apex One

objectId

-

  • 1

  • 2

-

  • Apex One

objectEntityName

-

  • autorun_keys_1

  • installer_1

-

  • Apex One

objectPid

-

  • 1940

  • 4740

-

  • Apex One

objectSigner

-

  • Microsoft Windows

  • Microsoft Corporation

-

  • Apex One

objectType

-

  • レジストリ

  • ファイル

-

  • Apex One

  • Cloud App Security

objectUser

-

  • システム

  • joe_doe

-

  • Apex One

pAttackPhase

-

  • 内部活動

  • 情報探索

-

  • Deep Discovery Inspector

pComp

-

  • NCIE

  • CAV

検出エンジン/コンポーネント

  • Apex One

  • Deep Discovery Inspector

patType

-

  • NCIE RRパターン

  • NCIE CNCパターン

-

  • Apex One

  • Deep Discovery Inspector

patVer

-

  • 35.1021.00

  • 5.879.00

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

peerGroup

-

  • 私の会社

  • MyCompany / 13F

-

  • Deep Discovery Inspector

peerHost

-

  • 10.1.1.1

  • my.example.company.org

-

  • Deep Discovery Inspector

pname

-

  • Deep Discovery Inspector

  • Trend Micro Deep Security

  • Cloud App Security

  • Apex One

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

policyId

-

  • 100

  • 1983Q_CQ

-

  • Apex One

policyName

-

  • ストラテジーユーティリティ

-

  • Apex One

  • Cloud App Security

潜在的なリスク

-

  • 1

  • 0

-

  • Deep Discovery Inspector

protoFlag

-

  • ACK PSH DF = 1

ネットワークパケットから記録されたフラグ。スペースで区切られた文字列のリスト。

  • Deep Security

  • Cloud One - Workload Security

pver

-

  • 5.61.1049

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

評価

-

  • 危険

  • 不明

-

  • Apex One

  • Deep Discovery Inspector

備考

-

  • [\ "IPアドレス:10.1.1.1 \"]

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

requestClientApplication

-

  • Mozilla / 4.0(互換性あり、MSIE 8.0、Windows NT 5.1、Trident / 4.0)

  • python-requests / 2.21.0

-

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

riskConfidenceLevel

-

  • 0

  • 3

SLF_RISK_LEVEL_UNKNOWN 0

SLF_RISK_LEVEL_LOW 100

SLF_RISK_LEVEL_MEDIUM 500

SLF_RISK_LEVEL_HIGH 1000

  • Apex One

riskLevel

-

  • 1

  • リスク_危険

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

operationLevel

-

  • -

-

  • Apex One

rozRating

-

  • -1

  • 3

-

  • Deep Discovery Inspector

rt

-

  • 1584697695000

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

rtDate

-

  • 1584921600000

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

rtHour

-

  • -

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

rtWeekDay

-

  • 月曜日

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

  • Cloud App Security

ruleId

-

  • -

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

ruleType

-

  • エントリポイント

  • 内部活動

-

  • Apex One

攻撃フェーズ

-

  • コマンド&コントロール通信

  • 内部活動

二次攻撃段階

  • Deep Discovery Inspector

sOSName

-

  • Windows XP

  • Mac OS

-

  • Deep Discovery Inspector

sUser1

-

  • company \\ john_doe

-

  • Deep Discovery Inspector

sUser2

-

  • company \\ john_doe

-

  • Deep Discovery Inspector

sUser3

-

  • company \\ john_doe

-

  • Deep Discovery Inspector

scanType

-

  • リアルタイム

  • 手動検索

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Cloud App Security

スコア

-

  • -

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

2次処理

-

  • 隔離

  • 放置/ログ

-

  • Apex One

secondActResult

-

  • 正常に隔離されました

  • ファイルが渡されました

-

  • Apex One

senderGUID

-

  • 544508E49687-42FC9C98-CD30-7392-F8CE

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

重大度

-

  • 1

  • 3

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

smac

-

  • 00:08:e3:ff:fd:90

-

  • Apex One

  • Deep Security

  • Cloud One - Workload Security

  • Deep Discovery Inspector

srcGroup

-

  • 私の会社

  • MyCompany / 13F

-

  • Deep Discovery Inspector

srcZone

-

  • 1

  • 0

  • 0:監視対象ネットワーク外

  • 1:監視対象ネットワーク内および信頼済み

  • 2:監視対象ネットワーク内で信頼されていない

  • Deep Discovery Inspector

subRuleId

-

  • 18110

  • 18112

-

  • Deep Security

  • Cloud One - Workload Security

subRuleName

-

  • ユーザアカウント が有効化または作成されました

  • ユーザアカウント が無効または削除されました

-

  • Deep Security

  • Cloud One - Workload Security

targetShare

-

  • C $

  • FIN_Dept

-

  • Deep Discovery Inspector

ThreatName

-

  • VAN_MALWARE.UMXX

  • 未登録のDNSサーバ

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

ThreatType

-

  • 2

  • 99

  • 「悪影響を及ぼすアプリケーション」:「6」

  • 「攻撃コード」:「3」

  • 「グレーウェア」:「4」

  • "不正な挙動": "1"

  • 「不正なコンテンツ」:「0」

  • "不審な挙動": "2"

  • 「Webレピュテーション」:「5」

  • Apex One

  • Deep Discovery Inspector

urlCat

-

  • 未評価

  • 新規ドメイン

-

  • Apex One

  • Deep Discovery Inspector

  • Cloud App Security

vLANId

-

  • -

-

  • Deep Discovery Inspector

policyTemplate

-

  • 台湾:携帯電話番号

  • policyName:Wll、template:All:Kreditkartennummer

-

  • Apex One

  • Cloud App Security

destinationPath

-

  • クリップボード

  • https://dlptest.com/https-post/

-

  • Apex One

matchedContent

-

  • matchedContentEx:4040-4444-5555-6666、matchedInfo:0,19

-

  • Apex One

オンライン

-

  • はい

-

  • Apex One

instanceId

-

  • 0091350d-193b-7a00-01ed-3346e6f118ac

-

  • Apex One

ExtraInfo

-

  • 追加情報

-

  • Apex One

fileVer

-

  • 10.0.18362.1

-

  • Apex One

チャネル

-

  • ローカルファイルまたはネットワークドライブ

  • ローカルファイル

-

  • Apex One

チャネルの場所

-

  • TrendX_TestKit/TrendX_FileTestKit/Sample/detect/TRENDX_detect-E.exe

-

  • Apex One

fileDesc

-

  • 偽の不正プログラム

-

  • Apex One

fileCreation

-

  • 1579295452000

-

  • Apex One

自信

-

  • -

-

  • Apex One

詳細トレース

-

  • -

-

  • Apex One

overSsl

-

  • SSL / TLSを介さない

  • SSL / TLS経由

-

  • Deep Discovery Inspector

vaStatus

-

  • -

-

  • Deep Discovery Inspector

データ

-

  • (New-Object System.Net.WebClient)

-

  • Apex One

sourceType

-

  • サンドボックス

  • ユーザ定義

-

  • Apex One

MitreMapping

-

  • T1210(TA0008)

-

  • Deep Discovery Inspector

AggregatedCount

-

  • -

-

  • Apex One

  • Deep Discovery Inspector

ja3Hash

-

  • -

-

  • Deep Discovery Inspector

ja3sHash

-

  • -

-

  • Deep Discovery Inspector

表 1. pnameの値のマッピング

製品

pnameの値

Trend Micro Apex One (Windowsセキュリティエージェント)

533

Trend Micro Apex One (Macセキュリティエージェント)

620

Trend Micro XDR エンドポイントエージェント

751

Trend Micro Apex One (Deep Security Linux Agent)

2200

Deep Security

2200

Deep Security Virtual Appliance

2201

Deep Security Relay

2202

Deep Security Manager

2203

Deep Security MANIFEST

2211

Deep Security Relayのマニフェスト

2212

Deep Securityルールのアップデート

2213

Deep Security Smart Check 1

2214