CEF 索引鍵 |
說明 |
值 |
|---|---|---|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
產品供應商 |
Trend Micro |
|
標頭 (pname) |
產品名稱 |
Apex Central |
|
標頭 (pver) |
產品版本 |
2019 |
|
標頭 (eventid) |
事件 ID |
1745 |
|
標頭 (eventName) |
記錄檔名稱 |
產品稽核事件 |
|
標頭 (severity) |
嚴重性 |
3 |
|
cat |
記錄類型 |
1745 |
|
deviceFacility |
受管理的產品 |
範例:Apex One |
|
dvchost |
受管理端點的顯示名稱 |
範例:localhost |
|
rt |
記錄檔產生時間 (UTC) |
範例:"2020年 4 月 20 日 上午 03:33:15 GMT+ 00:00" |
|
cn1Label |
cn1 欄位的對應標籤 |
SLF_CategoryID |
|
cn1 |
類別 ID |
範例:536,870,912 |
|
cn2Label |
"cn2" 欄位的對應標籤 |
SLF_SeverityLevel |
|
cn2 |
嚴重性層級 |
範例:4
|
|
suser |
遭遇事件發生的使用者名稱 |
範例:"administrator" |
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|Delete|1009490 - Block A dministrative Share - 1 (ATT&CK T1077,T1105)|3|rt=Apr 20 202 0 03:33:15 GMT+00:00 dvchost=OSCEClient22 deviceFacility=Ape x One act=Delete, src=10.1.1.8 dst=80.1.1.8 smac=54-BF-64-84 -7F-08 spt=88 dmac=54-BF-64-84-7F-18 dpt=448 cn2Label=SLF_Is DetectionOnly cn2=1 deviceDirection=Outbound cn3Label=SLF_Ra nk cn3=100 cn4Label=SLF_SeverityCode cn4=4 proto=10008 cs2La bel=SLF_ConnectionType cs2=Suspicious Client Application Act ivity cn1Label=SLF_RuleID cn1=1009490 cs1Label=SLF_RuleConte nt cs1=1009490 - Block Administrative Share - 1 (ATT&CK T107 7,T1105) cnt=1