沙盒偵測記錄檔在 Apex Central 主控台上稱為「沙箱偵測」。
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
裝置事件類別識別碼 |
VAD |
|
標頭 (eventName) |
事件名稱 |
沙箱偵測名稱 |
|
標頭 (severity) |
嚴重性 |
3 |
|
deviceExternalId |
識別碼 |
範例:2 |
|
rt |
記錄檔產生時間 (UTC) |
範例:2018 年 3 月 22 日 08:23:23 GMT+00:00 |
deviceFacility |
產品 |
範例:Apex One |
|
dvchost |
伺服器名稱 |
範例:OSCE01 |
|
dhost |
端點名稱 |
範例:Isolate-ClientA |
|
dst |
端點 IPv4 位址 |
範例:10.0.17.6 |
|
c6a3 |
端點 IPv6 位址 |
範例:fe80::38ca:cd15:443c:40bb%11 |
|
app |
項目通道 |
範例:0 如需詳細資訊,請參閱通訊協定對應資料表 |
|
sourceServiceName |
來源 |
範例:Test1@tmcm.extbeta.com |
|
destinationServiceName |
目標 |
範例:Test2@tmcm.extbeta.com;Test3@tmcm.extbeta.com |
|
sproc |
程序名稱 |
範例:VA |
|
fileHash |
檔案 SHA-1 雜湊 |
範例:D6712CAE5EC821F910E14945153AE7871AA536CA |
|
fname |
檔案名稱 |
範例:C:\\\\QA_Log.zip |
|
要求 |
URL |
範例:http://127.1.1.1 |
|
cs1 |
沙箱所判斷出的安全威脅名稱 |
範例:VAN_RANSOMWARE.umxxhelloransom_abc |
|
cn1 |
顯示沙箱指派的風險等級 |
範例:0
|
|
cs2 |
顯示安全威脅類型 |
範例:Anti-security, self-preservation |
|
cs3 |
雲端儲存供應商 |
範例:Google Drive
|
原因 |
嚴重安全威脅類型 |
範例:E
|
記錄檔範例:
CEF: 0|Trend Micro|Apex Central|2019|VAD|VAN_RANSOMWARE.um xxhelloransom_abc|3|deviceExternalId=2 rt=Mar 22 2018 08:23: 23 GMT+00:00 deviceFacility=Apex One dvchost=OSCE01 dhost= Isolate-ClientA dst=0.0.0.0 app=1 sourceServiceNameTest1@tre nd.com.tw destinationServiceName=Test2@tmcm.extbeta.com;Test 3@tmcm.extbeta.com sproc=VA fileHash=3395856CE81F2B7382DEE72 602F798B642F14140 fname=C:\\\\QA_Log.zip request=http://127. 1.1.1 cs1Label=Security_Threat cs1=VAN_RANSOMWARE.umxxhellor ansom_abc cn1Label=Risk_Level cn1=0 cs2Label=Threat_Categori es cs2=Anti-security, self-preservation cs3Label=Cloud_Servi ce_Vendor cs3=Google Drive reason=E