檢視次數:

CEF 索引鍵

說明

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

裝置供應商

Trend Micro

標頭 (pname)

裝置產品

Apex Central

標頭 (pver)

裝置版本

2019

標頭 (eventid)

CnC:處理行動

CnC:封鎖

標頭 (eventName)

名稱

CnC 回呼

標頭 (severity)

嚴重性

3

deviceExternalId

識別碼

範例:12

cat

記錄類型

範例:1756

deviceFacility

產品

範例:Apex One

cs2Label

cs2 欄位的對應標籤

範例:El_ProductVersion

cs2

產品版本

範例:11.0

rt

記錄檔產生時間 (UTC)

範例:2017 年 10 月 11 日 06:34:09 GMT+ 00:00

shost

端點主機名稱

範例:ApexOneClient01

src

端點 IPv4 位址

範例:10.201.86.187

c6a2Label

c6a2 欄位的對應標籤

範例:SLF_ClientIP

c6a2

端點 IPv6 位址

範例:2620:101:4003:7a0:fd4b:52ed:53bd:ae3d

cs3Label

cs3 欄位的對應標籤

範例:SLF_DomainName

cs3

網域名稱

範例:DOMAIN1

cs4Label

cs4 欄位的對應標籤

範例:SLF_PolicyName

cs4

策略名稱

範例:網頁信譽評等服務資料庫中的 C&C 伺服器 URL — HTTP(要求)

act

處理行動

範例:封鎖

  • 0:未知

  • 1:暫不處理

  • 2:封鎖

  • 3:監控

  • 4:刪除

  • 5:隔離

  • 6:警告

  • 7:警告並繼續

  • 8:覆寫

cn1Label

cn1 欄位的對應標籤

範例:SLF_CCCA_RiskLevel

cn1

C&C 風險等級

範例:1

  • 0:SLF_CCCA_RISKLEVEL_UNKNOWN

  • 1:SLF_CCCA_RISKLEVEL_LOW

  • 2:SLF_CCCA_RISKLEVEL_MEDIUM

  • 3:SLF_CCCA_RISKLEVEL_HIGH

cn2Label

cn2 欄位的對應標籤

範例:SLF_CCCA_DetectionSource

cn2

C&C 清單來源

範例:1

  • 0:SLF_CCCA_GLOBAL_LIST

  • 1:SLF_CCCA_CUSTOM_LIST

  • 2:SLF_CCCA_CUSTOM_LIST_USER_DEFINED

cn3Label

cn3 欄位的對應標籤

範例:SLF_CCCA_DetectionFormat

cn3

回呼位址格式

範例:1

  • 0:IP

  • 1:IP

  • 2:HTTP

  • 3:SMTP

要求

URL

範例:http://CC13.jojo.com

deviceCustomDate1Label

deviceCustomDate1 欄位的對應標籤

範例:SLF_FirstSeen

deviceCustomDate1

首次監控到回呼嘗試的 UTC 時間

範例:2017 年 10 月 10 日 16:58:03 GMT+ 00:00

deviceCustomDate2Label

deviceCustomDate2 欄位的對應標籤

範例:SLF_LastSeen

deviceCustomDate2

上次監控到回呼嘗試的 UTC 時間

範例:2017 年 10 月 11 日 10:58:03 GMT+ 00:00

cs5Label

cs5 欄位的對應標籤

範例:CnCDestination

cs5

回呼 URL 位址

範例:http://CC13.jojo.com

dst

回呼 IPv4 位址

範例:10.201.86.195

c6a3Label

c6a3 欄位的對應標籤

範例:CnCDestination

c6a3

回呼 IPv6 位址

範例:fe80::38ca:cd15:443c:40bb%11

deviceProcessName

程序名稱

範例:C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe

dvchost

主機名稱

範例:"localhost"

deviceNtDomain

Active Directory 網域

範例:APEXTMCM

dntdom

Apex One 網域階層

範例:OSCEDomain1

TMCMLogDetectedHost

發生記錄事件的端點名稱

範例:MachineHostName

TMCMLogDetectedIP

發生記錄事件的 IP 位址

範例:10.1.2.3

ApexCentralHost

Apex Central 主機名稱

範例:TW-CHRIS-W2019

devicePayloadId

唯一訊息 GUID

範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697

deviceDirection

網路流量方向

範例:0

值的意義會隨 "cat" 欄位值而異。

如果 "cat" 欄位值為 1756、1707 或 1733:

  • 0:未知

  • 1:輸入

  • 2:輸出

如果 "cat" 欄位值為 1739、1741 或 1723:

  • 0:輸出

  • 1:輸入

  • 2:未知

如果 "cat" 欄位值為 1705、1735 或 1775:

  • -1:未知

  • 0:外寄電子郵件

  • 1:內送電子郵件

  • 2:內部電子郵件

記錄檔範例:

CEF:0|Trend Micro|Apex Central|2019|CnC:Block|CnC Callback
|3|deviceExternalId=12 rt=Oct 11 2017 06:34:09 GMT+00:00 cat
=1756 deviceFacility=Apex One cs2Label=EI_ProductVersion cs2
=11.0 shost=ApexOneClient01 src=10.201.86.187 cs3Label=SLF_D
omainName cs3=DOMAIN act=Block cn1Label=SLF_CCCA_RiskLevel c
n1=1 cn2Label=SLF_CCCA_DetectionSource cn2=1 cn3Label=SLF_CC
CA_DestinationFormat cn3=1 dst=10.201.86.195 deviceProcessNa
me=C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe 
deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 dvchost=localhost
TMCMLogDetectedHost=ApexOneClient01 TMCMLogDetectedIP=10.201
.86.187 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C002
90C0360-9CDE11EB-D4B8-F51F-C697 deviceDirection=0