|
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
PML:處理行動結果 |
PML:檔案已清除 |
|
標頭 (eventName) |
偵測名稱 |
virusa |
|
標頭 (severity) |
嚴重性 |
3 |
|
rt |
偵測時間 (UTC) |
範例:2017 年 2 月 14 日 11:14:08 GMT+00:00 |
|
dvchost |
產品伺服器 |
範例:Sample_Host |
|
cn1Label |
cn1 欄位的對應標籤 |
可能的安全威脅類型 |
|
cn1 |
可能的安全威脅類型 |
範例:35143 如需詳細資訊,請參閱安全威脅類型對應資料表。 |
|
cs2Label |
cs2 欄位的對應標籤 |
安全威脅 |
|
cs2 |
安全威脅 |
範例:Troj.Win32.TRX.XXPE002FF017 |
|
shost |
中毒端點 |
範例:10.0.0.1 |
|
suser |
登入使用者 |
範例:TREND\User |
|
cn2Label |
cn2 欄位的對應標籤 |
類型 |
|
cn2 |
偵測類型 |
範例:0
|
|
filePath |
檔案路徑 |
範例:D:\ |
|
fname |
檔案名稱 |
範例:ALCORMP.EXE |
|
deviceCustomDate1 |
檔案建立時間 |
範例:2017-04-26 05:53:27.000 |
|
sproc |
系統程序 |
範例:notepad.exe |
|
cn4Label |
cn4 欄位的對應標籤 |
程序指令 |
|
cs4 |
程序指令 |
範例:notepad.exe |
|
duser |
程序擁有者 |
範例:user1 |
|
app |
感染通道 |
範例:10
|
|
cs3Label |
cs3 欄位的對應標籤 |
感染來源 |
|
cs3 |
感染來源 |
範例:http://10.0.0.1/ |
|
dst |
產品/端點 IPv4 位址 |
範例:10.0.17.6 |
|
c6a3Label |
c6a3 欄位的對應標籤 |
產品/端點 IP |
|
c6a3 |
產品/端點 IPv6 位址 |
範例:fd66:5168:9882:6:b5b0:b2b5:4173:3f5d |
|
cn3Label |
cn3 欄位的對應標籤 |
安全威脅可能性 |
|
cn3 |
安全威脅可能性 |
範例:82 |
|
act |
處理行動結果 |
範例:21 如需詳細資訊,請參閱處理行動結果對應資料表。 |
|
filehash |
檔案 SHA-1 |
範例:52c17c785b45ee961f68fb17744276076f383085 |
|
dhost |
產品實體/端點 |
範例:dhost1 |
|
deviceExternalId |
記錄序號 |
範例:100 |
|
deviceFacility |
產品 |
範例:Apex One |
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|virus a|3|deviceFacility=1 dvchost=Sample_Host cs2Label=DetectionN ame cs2=virusa suser=Sample\\Administrator cn2Label=Detectio nType cn2=0 filePath=C:\\WindowsFILENAME deviceCustomDate1La bel=FileCreationDate deviceCustomDate1=Nov 03 2016 08:58:03 GMT+00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4= notepad.exe -test duser=admin app=2 cs3Label=InfectionLocati on cs3=http://10.0.0.1/ dst=10.0.17.6 cn3Label=Confidence cn 3=82 act=21