CEF 索引鍵 |
說明 |
值 |
|---|---|---|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
FH:處理行動 |
FH:記錄 |
|
標頭 (eventName) |
名稱 |
可疑檔案 |
|
標頭 (severity) |
嚴重性 |
3 |
|
deviceExternalId |
識別碼 |
範例:1 |
|
cat |
記錄類型 |
範例:1766 |
deviceFacility |
產品 |
範例:Apex One |
|
cn1Label |
cn1 欄位的對應標籤 |
範例:SLF_ProductVersion |
|
cn1 |
產品版本 |
範例:11 |
|
rt |
偵測時間 |
範例:2017 年 11 月 15 日 02:47:21 GMT+ 00:00 |
|
dst |
端點 IPv4 位址 |
範例:10.201.86.151 |
|
c6a3Label |
c6a3 欄位的對應標籤 |
範例:端點 IPv6 位址 |
|
c6a3 |
端點 IPv6 位址 |
範例:2620:101:4003:7a0:fd4b:52ed:53bd:ae3d |
|
dhost |
端點主機名稱 |
範例:APEX-ONE-CLIENT-1 |
|
cs2Label |
cs2 欄位的對應標籤 |
範例:SLF_TrueFileType |
|
cs2 |
檔案類型 |
範例:文字 |
|
fileHash |
檔案 SHA-1 |
範例:D6712CAE5EC821F910E14945153AE7871AA536CA |
|
cs3Label |
cs3 欄位的對應標籤 |
範例:SLF_FileSource |
|
cs3 |
檔案路徑 |
範例:C:\\Users\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\017545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE |
|
cn2Label |
cn2 欄位的對應標籤 |
範例:SLF_SourceType |
|
cn2 |
C&C 清單來源 |
範例:0
|
|
act |
處理行動 |
範例:記錄
|
|
cn3Label |
cn3 欄位的對應標籤 |
範例:SLF_ScanType |
|
cn3 |
掃瞄類型 |
範例:1
|
原因 |
嚴重安全威脅類型 |
範例:E
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|FH:Log|Suspicious File s|3|deviceExternalId=1 rt=Nov 15 2016 02:47:21 GMT+00:00 cat =1766 deviceFacility=Apex One cn1Label=SLF_ProductVersion cn 1=11 dst=10.201.86.151 dhost=APEX-ONE-CLIENT-1 cs2Label=SLF_ TrueFileType cs2=SLF_TrueFileType fileHash=D6712CAE5EC821F91 0E14945153AE7871AA536CA cs3Label=SLF_FileSource cs3=C:\\User s\\Administrator\\Desktop\\BT-SHA1-SAMPLE\\BT-SHA1-SAMPLE\\0 17545113A434757C5F0F13095DBBF138BD76A40;0x36D572AE cn2Label= SLF_SourceType cn2=0 act=Log cn3Label=SLF_ScanType cn3=1 rea son=E