CEF 行為監控記錄檔

檢視次數:

CEF 索引鍵	說明	值
標頭 (logVer)	CEF 格式版本	CEF:0
標頭 (vendor)	裝置供應商	Trend Micro
標頭 (pname)	裝置產品	Apex Central
標頭 (pver)	裝置版本	2019
標頭 (eventid)	行為監控：策略識別碼	BM:1000
標頭 (eventName)	記錄檔名稱	行為監控
標頭 (severity)	嚴重性	3
rt	記錄檔產生時間 (UTC)	範例：2017 年 2 月 14 日 11:14:08 GMT+00:00
dvchost	主機名稱	範例：localhost
cn1Label	cn1 欄位的對應標籤	風險等級
cn1	風險等級	0：低 1：高
cs2Label	cs2 欄位的對應標籤	策略識別碼
cs2	策略識別碼	0：遭到入侵的可執行檔 1：新增啟動程式 2：主機檔案的修改 3：程式庫植入 4：新增 Internet Explorer 嵌入程式 5：Internet Explorer 設定的修改 6：Shell 的修改 7：新增服務 8：安全策略的修改 9：防火牆策略的修改 10：系統檔案的修改 11：重複的系統檔案 13：分層服務提供器 14：系統程序的修改 16：可疑行為 100：新發現的程式 200：未經授權的檔案加密 1000：安全威脅行為分析 9999：使用者定義的策略
sproc	Aegis 主體	範例：C:\\Windows\\SysWOW64\\rundll32.exe
cn2Label	cn2 欄位的對應標籤	事件類型
cn2	事件類型	1：程序 2：處理影像 4：登錄 8：檔案系統 16：驅動程式 32：SDT 64：系統 API 128：使用者模式 2048：弱點攻擊 65535：全部
cs1Label	cs1 欄位的對應標籤	目標
cs1	目標主機	範例：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\COM+
act	轉譯的處理行動	0：允許 1：詢問 2：拒絕 3：終止 4：唯讀 5：唯讀/唯寫 6：唯讀/僅能執行 7：反饋 8：清除 1002：未知 1003：評估 1004：已終止。檔案已還原。 1005：已終止。有些檔案未還原。 1006：已終止。檔案未還原。 1007：已終止。重新啟動結果：檔案已還原。 1008：已終止。重新啟動結果：有些檔案未還原。 1009：已終止。重新啟動結果：檔案未還原。
cn3Label	cn3 欄位的對應標籤	TranslatedAegisOperation
cn3	轉譯的 Aegis 物件的作業	101：建立程序 102：開啟 103：終止 104：終止 301：刪除 302：寫入 303：存取 401：建立檔案 402：關閉 403：執行 501：啟動 601：弱點攻擊 9999：未處理的作業
shost	來源主機（端點）	範例：shost1
src	來源主機 IP 位址	範例："10.0.147.105"
deviceFacility	產品	範例：Apex One

記錄檔範例：

CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monit
oring|3|rt=Aug 16 2017 05:00:40 GMT+00:00 dvchost=localhost 
cn1Label=Risk_Level cn1=1 cs2Label=Policy cs2=1000 sproc=C:\
\Windows\\SysWOW64\\rundll32.exe cn2Label=Event_Type cn2=4 c
s1Label=Target cs1=HKCU\\Software\\Microsoft\\Windows\\Curre
ntVersion\\Run\\COM+ act=3 cn3Label=Operation cn3=302 shost=
shost1 src=10.0.76.40 deviceFacility=Apex One