|
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
CnC:處理行動 |
CnC:封鎖 |
|
標頭 (eventName) |
名稱 |
CnC 回呼 |
|
標頭 (severity) |
嚴重性 |
3 |
|
deviceExternalId |
識別碼 |
範例:12 |
|
cat |
記錄類型 |
範例:1756 |
|
deviceFacility |
產品 |
範例:Apex One |
|
cs2Label |
cs2 欄位的對應標籤 |
範例:El_ProductVersion |
|
cs2 |
產品版本 |
範例:11.0 |
|
rt |
記錄檔產生時間 (UTC) |
範例:2017 年 10 月 11 日 06:34:09 GMT+ 00:00 |
|
shost |
端點主機名稱 |
範例:ApexOneClient01 |
|
src |
端點 IPv4 位址 |
範例:10.201.86.187 |
|
c6a2Label |
c6a2 欄位的對應標籤 |
範例:SLF_ClientIP |
|
c6a2 |
端點 IPv6 位址 |
範例:2620:101:4003:7a0:fd4b:52ed:53bd:ae3d |
|
cs3Label |
cs3 欄位的對應標籤 |
範例:SLF_DomainName |
|
cs3 |
網域名稱 |
範例:DOMAIN1 |
|
cs4Label |
cs4 欄位的對應標籤 |
範例:SLF_PolicyName |
|
cs4 |
策略名稱 |
範例:網頁信譽評等服務資料庫中的 C&C 伺服器 URL — HTTP(要求) |
|
act |
處理行動 |
範例:封鎖
|
|
cn1Label |
cn1 欄位的對應標籤 |
範例:SLF_CCCA_RiskLevel |
|
cn1 |
C&C 風險等級 |
範例:1
|
|
cn2Label |
cn2 欄位的對應標籤 |
範例:SLF_CCCA_DetectionSource |
|
cn2 |
C&C 清單來源 |
範例:1
|
|
cn3Label |
cn3 欄位的對應標籤 |
範例:SLF_CCCA_DetectionFormat |
|
cn3 |
回呼位址格式 |
範例:1
|
|
要求 |
URL |
範例:http://CC13.jojo.com |
|
deviceCustomDate1Label |
deviceCustomDate1 欄位的對應標籤 |
範例:SLF_FirstSeen |
|
deviceCustomDate1 |
首次監控到回呼嘗試的 UTC 時間 |
範例:2017 年 10 月 10 日 16:58:03 GMT+ 00:00 |
|
deviceCustomDate2Label |
deviceCustomDate2 欄位的對應標籤 |
範例:SLF_LastSeen |
|
deviceCustomDate2 |
上次監控到回呼嘗試的 UTC 時間 |
範例:2017 年 10 月 11 日 10:58:03 GMT+ 00:00 |
|
cs5Label |
cs5 欄位的對應標籤 |
範例:CnCDestination |
|
cs5 |
回呼 URL 位址 |
範例:http://CC13.jojo.com |
|
dst |
回呼 IPv4 位址 |
範例:10.201.86.195 |
|
c6a3Label |
c6a3 欄位的對應標籤 |
範例:CnCDestination |
|
c6a3 |
回呼 IPv6 位址 |
範例:fe80::38ca:cd15:443c:40bb%11 |
|
deviceProcessName |
程序名稱 |
範例:C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe |
|
dvchost |
主機名稱 |
範例:"localhost" |
|
deviceNtDomain |
Active Directory 網域 |
範例:APEXTMCM |
|
dntdom |
Apex One 網域階層 |
範例:OSCEDomain1 |
|
TMCMLogDetectedHost |
發生記錄事件的端點名稱 |
範例:MachineHostName |
|
TMCMLogDetectedIP |
發生記錄事件的 IP 位址 |
範例:10.1.2.3 |
|
ApexCentralHost |
Apex Central 主機名稱 |
範例:TW-CHRIS-W2019 |
|
devicePayloadId |
唯一訊息 GUID |
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697 |
|
deviceDirection |
網路流量方向 |
範例:0 值的意義會隨 "cat" 欄位值而異。 如果 "cat" 欄位值為 1756、1707 或 1733:
如果 "cat" 欄位值為 1739、1741 或 1723:
如果 "cat" 欄位值為 1705、1735 或 1775:
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|CnC:Block|CnC Callback |3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat =1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2 =11.0 shost=ApexOneClient01 src=10.201.86.187 cs3Label=SLF_D omainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel c n1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CC CA_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNa me=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 dvchost=localhost TMCMLogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=10.201 .86.187 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C002 90C0360-9CDE11EB-D4B8-F51F-C697 deviceDirection=0