CEF 入侵防護記錄檔

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

產品供應商

Trend Micro

標頭 (pname)

產品名稱

Apex Central

標頭 (pver)

產品版本

2019

標頭 (eventid)

事件 ID

標頭 (eventName)

記錄檔名稱

標頭 (severity)

嚴重性

3

dvchost

受管理端點的顯示名稱

範例：localhost

rt

記錄檔產生時間 (UTC)

範例：2017 年 11 月 15 日 08:43:57 GMT+ 00:00

src

來源 IPv4 位址

範例：10.1.152.12

c6a2Label

"c6a2" 欄位的對應標籤

SLF_SourceIPv6

c6a2

來源 IPv6 位址

"2001:b011:1004:325b:8db7:6ca9:8fc5:321a"

smac

來源 MAC 位址

範例："18:31:BF:4F:30:DD"

spt

來源通訊埠

範例：60886

dst

目標 IPv4 位址

範例：10.1.153.151

c6a3Label

"c6a3" 欄位的對應標籤

SLF_DestinationIPv6

c6a3

目標 IPv6 位址

範例："2001:b011:1004:325b:8db7:6ca9:8fc5:654a"

dmac

目標主機 MAC 位址

範例："D0:17:C2:95:ED:71"

dpt

目標通訊埠

範例：139

cn2Label

"cn2" 欄位的對應標籤

SLF_IsDetectionOnly

cn2

指出系統是否處於「僅偵測」模式

範例：0

• 0 或 NULL = 否

• 1 = 是

act

處理行動

範例："LOG"

SLF_ACTION 對應：

• 0 = 未知

• 3 = 刪除

• 6 = 記錄

• 10 = 插入/取代

• 13 = 封鎖

• 257 = 重設

deviceDirection

輸入或輸出方向

範例："Apex One"

cn3Label

"cn3" 欄位的對應標籤

SLF_Rank

cn3

事件的權重優先順序

範例：3

從嚴重性 x 資產值計算得出

cn4Label

"cn4" 欄位的對應標籤

SLF_SeverityCode

cn4

系統定義的事件嚴重性值

範例：1

• 1 = 低

• 2 = 中

• 3 = 高

• 4 = 嚴重

proto

遭入侵的網路通訊協定

範例：10009

• 28 = ICMP

• 46 = ICMPv6

• 10003 = TCP

• 10004 = UDP

• 10005 = IGMP

• 10006 = GGP

• 10007 = PUP

• 10008 = IDP

• 10009 = ND

• 10010 = RAW

cs2Label

"cs2" 欄位的對應標籤

SLF_ConnectionType

cs2

網路應用程式名稱

範例："DCERPC Services"

cn1Label

"cn1" 欄位的對應標籤

SLF_RuleID

cn1

檢查規則的 ID

範例：1005448

cs1Label

"cs1" 欄位的對應標籤

SLF_RuleContent

cs1

規則 ID 和說明的字串常值

範例："1005448 - SMB Null Session Detected - 1"

cnt

彙整計數

範例：1