如果一個攻擊發現偵測記錄檔所關聯的物件超過 4 個,Apex Central 只會轉送前 4 個物件。
|
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
趨勢科技 |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
事件 ID |
700220 |
|
標頭 (eventName) |
記錄檔名稱 |
攻擊發現偵測 |
|
標頭 (severity) |
嚴重性 |
3 |
|
deviceExternalId |
識別碼 |
範例:38 |
|
rt |
記錄檔產生時間 (UTC) |
範例:2018 年 3 月 22 日 08:23:23 GMT+00:00 |
|
dhost |
端點主機名稱 |
範例:ApexOneClient01 |
|
dst |
用戶端 IPv4 位址 |
範例:10.0.8.20 |
|
C6a3 |
用戶端 IPv6 位址 |
範例:fd96:7521:9502:6:b5b0:b2b5:4173:3f5d |
|
duser |
使用者名稱 |
範例:Admin004 |
|
customerExternalID |
執行個體 ID |
範例:8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 |
|
cn1Label |
"cn1" 欄位的對應標籤 |
SLF_RiskLevel |
|
cn1 |
風險等級 |
範例:0
|
|
cn2Label |
"cn2" 欄位的對應標籤 |
SLF_PatternNumber |
|
cn2 |
病毒碼號碼 |
範例:30.1012.00 |
|
cs1Label |
"cs1" 欄位的對應標籤 |
SLF_RuleID |
|
cs1 |
規則 ID |
範例:powershell invoke expression |
|
cat |
類別 ID |
範例:point of entry |
|
cs2Label |
"cs2" 欄位的對應標籤 |
SLF_ADEObjectGroup_Info_1 |
|
cs2 |
攻擊發現物件資訊 |
例如: process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs3Label |
"cs3" 欄位的對應標籤 |
SLF_ADEObjectGroup_Info_2 |
|
cs3 |
攻擊發現物件資訊 |
例如: process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs4Label |
"cs4" 欄位的對應標籤 |
SLF_ADEObjectGroup_Info_3 |
|
cs4 |
攻擊發現物件資訊 |
例如: process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
|
cs5Label |
"cs5" 欄位的對應標籤 |
SLF_ADEObjectGroup_Info_4 |
|
cs5 |
攻擊發現物件資訊 |
例如: process - powershell.exe - {
"META_FILE_MD5" :
"9393f60b1739074eb17c5f4ddd
efe239",
"META_FILE_NAME" :
"powershell.exe",
"META_FILE_SHA1" :
"887ce4a295c163791b60fc23d2
85e6d84f28ee4c",
"META_FILE_SHA2" :
"de96a6e50044335375dc1ac238
336066889d9ffc7d73628ef4fe
1b1b160ab32c",
"META_PATH" :
"c:\\windows\\system32\\wi
ndowspowershell\\v1.0\\",
"META_PROCESS_CMD" :
[ "powershell cmd " ],
"META_PROCESS_PID" : 7132,
"META_SIGNER" :
"microsoft windows",
"META_SIGNER_VALIDATION" :
true,
"META_USER_USER_NAME" :
"Administrator",
"META_USER_USER_SERVERNAME" :
"Host",
"OID" : 1
}
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery
Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+
00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern
alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL
evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe
l=SLF_RuleID cs1=powershell invoke expression cat=point of e
ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - powers
hell.exe - {#012 "META_FILE_MD5" : "7353f60b1739074eb17c5f
4dddefe239",#012 "META_FILE_NAME" : "powershell.exe",#012
"META_FILE_SHA1" : "6cbce4a295c163791b60fc23d285e6d84f28ee
4c",#012 "META_FILE_SHA2" : "de96a6e69944335375dc1ac238336
066889d9ffc7d73628ef4fe1b1b160ab32c",#012 "META_PATH" : "c
:\\\\windows\\\\system32\\\\windowspowershell\\\\v1.0\\\\",#
012 "META_PROCESS_CMD" : [ "powershell iex test2" ],#012
"META_PROCESS_PID" : 10924,#012 "META_SIGNER" : "microso
ft windows",#012 "META_SIGNER_VALIDATION" : true,#012 "M
ETA_USER_USER_NAME" : "Administrator",#012 "META_USER_USER
_SERVERNAME" : "VCAC-WINDOW-331",#012 "OID" : 1#012}#012