檢視次數:
註:

如果一個攻擊發現偵測記錄檔所關聯的物件超過 4 個,Apex Central 只會轉送前 4 個物件。

CEF 索引鍵

說明

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

裝置供應商

趨勢科技

標頭 (pname)

裝置產品

Apex Central

標頭 (pver)

裝置版本

2019

標頭 (eventid)

事件 ID

700220

標頭 (eventName)

記錄檔名稱

攻擊發現偵測

標頭 (severity)

嚴重性

3

deviceExternalId

識別碼

範例:38

rt

記錄檔產生時間 (UTC)

範例:2018 年 3 月 22 日 08:23:23 GMT+00:00

dhost

端點主機名稱

範例:ApexOneClient01

dst

用戶端 IPv4 位址

範例:10.0.8.20

C6a3

用戶端 IPv6 位址

範例:fd96:7521:9502:6:b5b0:b2b5:4173:3f5d

duser

使用者名稱

範例:Admin004

customerExternalID

執行個體 ID

範例:8c1e2d8f-a03b-47ea-aef8-5aeab99ea697

cn1Label

"cn1" 欄位的對應標籤

SLF_RiskLevel

cn1

風險等級

範例:0

  • 0:未知

  • 100:低度風險

  • 500:中度風險

  • 1000:高度風險

cn2Label

"cn2" 欄位的對應標籤

SLF_PatternNumber

cn2

病毒碼號碼

範例:30.1012.00

cs1Label

"cs1" 欄位的對應標籤

SLF_RuleID

cs1

規則 ID

範例:powershell invoke expression

cat

類別 ID

範例:point of entry

cs2Label

"cs2" 欄位的對應標籤

SLF_ADEObjectGroup_Info_1

cs2

攻擊發現物件資訊

例如:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs3Label

"cs3" 欄位的對應標籤

SLF_ADEObjectGroup_Info_2

cs3

攻擊發現物件資訊

例如:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs4Label

"cs4" 欄位的對應標籤

SLF_ADEObjectGroup_Info_3

cs4

攻擊發現物件資訊

例如:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

cs5Label

"cs5" 欄位的對應標籤

SLF_ADEObjectGroup_Info_4

cs5

攻擊發現物件資訊

例如:

process - powershell.exe - {
 "META_FILE_MD5" : 
   "9393f60b1739074eb17c5f4ddd
    efe239",
 "META_FILE_NAME" : 
   "powershell.exe",
 "META_FILE_SHA1" : 
   "887ce4a295c163791b60fc23d2
    85e6d84f28ee4c",
 "META_FILE_SHA2" : 
   "de96a6e50044335375dc1ac238
    336066889d9ffc7d73628ef4fe
    1b1b160ab32c",
 "META_PATH" : 
    "c:\\windows\\system32\\wi
     ndowspowershell\\v1.0\\",
 "META_PROCESS_CMD" : 
  [ "powershell  cmd " ],
 "META_PROCESS_PID" : 7132,
 "META_SIGNER" : 
    "microsoft windows",
 "META_SIGNER_VALIDATION" : 
    true,
 "META_USER_USER_NAME" : 
    "Administrator",
 "META_USER_USER_SERVERNAME" : 
    "Host",
 "OID" : 1
}

deviceNtDomain

Active Directory 網域

範例:APEXTMCM

dntdom

Apex One 網域階層

範例:OSCEDomain1

TMCMLogDetectedHost

發生記錄事件的端點名稱

範例:MachineHostName

TMCMLogDetectedIP

發生記錄事件的 IP 位址

範例:10.1.2.3

ApexCentralHost

Apex Central 主機名稱

範例:TW-CHRIS-W2019

devicePayloadId

唯一訊息 GUID

範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697

記錄檔範例:

CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery 
Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+
00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExtern
alID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskL
evel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Labe
l=SLF_RuleID cs1=powershell invoke expression cat=point of e
ntry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - code9.
exe - {USER: administrator09} deviceNtDomain=APEXTMCM 
dntdom=OSCEDomain1 TMCMLogDetectedHost=VCAC-Window-331 
TMCMLogDetectedIP=10.201.86.150 ApexCentralHost=TW-CHRIS-W2019
devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697
上層主題: Syslog 內容對應 — CEF