|
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
NCIE:處理行動 |
NCIE:暫不處理 |
|
標頭 (eventName) |
名稱 |
可疑連線 |
|
標頭 (severity) |
嚴重性 |
3 |
|
deviceExternalId |
識別碼 |
範例:1 |
|
cat |
記錄類型 |
範例:1756 |
|
deviceFacility |
產品名稱 |
範例:Apex One |
|
rt |
記錄檔產生時間 (UTC) |
範例:2017 年 10 月 11 日 06:34:06 GMT+ 00:00 |
|
deviceProcessName |
目標程序 |
範例:C:\\Windows\\system32\\svchost-1.exe |
|
src |
來源 IPv4 位址 |
範例:10.201.86.152 |
|
c6a2Label |
c6a2 欄位的對應標籤 |
範例:SLF_SourceIP |
|
c6a2 |
來源 IPv6 位址 |
範例:2620:101:4003:7a0:fd4b:52ed:53bd:ae3d |
|
spt |
來源通訊埠 |
範例:54594 |
|
dst |
目標 IPv4 位址 |
範例:10.69.81.64 |
|
c6a3Label |
c6a3 欄位的對應標籤 |
範例:SLF_DestinationIP |
|
c6a3 |
目標 IPv6 位址 |
範例:fe80::38ca:cd15:443c:40bb%11 |
|
dpt |
目標通訊埠 |
範例:80 |
|
act |
處理行動 |
範例:暫不處理
|
|
deviceDirection |
流量/連線 |
範例:輸入
|
|
cn1Label |
cn1 欄位的對應標籤 |
範例:SLF_PatternType |
|
cn1 |
特徵碼類型 |
範例:2
|
|
cs2Label |
cs2 欄位的對應標籤 |
範例:NCIE_ThreatName |
|
cs2 |
安全威脅名稱 |
範例:Malicious_identified_CnC_querying_on_UDP_detected |
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|NCIE:Pass|Suspicious C onnection|3|deviceExternalId=1 rt=Oct 11 2017 06:34:06 GMT+0 0:00 cat=1756 deviceFacility=Apex One deviceProcessName=C: \\Windows\\system32\\svchost-1.exe act=Pass src=10.201.86.15 2 dst=10.69.81.64 spt=54594 dpt=80 deviceDirection=None cn1L abel=SLF_PatternType cn1=2 cs2Label=NCIE_ThreatName cs2=Mali cious_identified_CnC_querying_on_UDP_detected