檢視次數:

CEF 索引鍵

說明

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

裝置供應商

Trend Micro

標頭 (pname)

裝置產品

Apex Central

標頭 (pver)

裝置產品版本

2019

標頭 (eventid)

MS:過濾器處理行動

MS:Clean

標頭 (eventName)

策略名稱

策略

標頭 (severity)

嚴重性

3

cnt

偵測數目

範例:10

dhost

列出所有收件者

範例:employee_a1@Acompany.com;employee_a2@Acompany.com

duser

其中一個收件者

範例:employee_a1@Acompany.com

act

過濾器處理行動

範例:Clean

如需詳細資訊,請參閱過濾器處理行動對應資料表

cs1Label

cs1 欄位的對應標籤

範例:Policy_Settings

cs1

策略設定

範例:Default_policy

cs2Label

cs2 欄位的對應標籤

範例:Product_Version

cs2

產品版本

範例:11

cs3Label

cs3 欄位的對應標籤

範例:Filter_Type

cs3

過濾器類型

範例:URL reputation filter

  • 0:未知

  • 1:ContentFilter

  • 2:AttachmentFilter

  • 3:StandardFilter

  • 4:SizeFilter

  • 5:DisclaimerMgr

  • 6:SpamFilter

  • 7:OPP

  • 8:ImportFilter

  • 9:PhishingFilter

  • 10:UrlReputationFilter

cs4Label

cs4 欄位的對應標籤

範例:CLF_ReasonCode

cs4

原因代碼

範例:存取

cs5Label

cs5 欄位的對應標籤

範例:CLF_ReasonCodeSource

cs5

原因代碼來源

範例:Web

cs6Label

cs6 欄位的對應標籤

範例:Action_on_Message

cs6

處理行動

範例:3

  • 0:未知

  • 1:無

  • 2:傳送

  • 3:刪除

  • 4:隔離

  • 5:延後

  • 6:轉寄

  • 7:取代

  • 8:封存

  • 100:清除巨集

  • 101:暫不處理

cat

記錄類型

範例:1705

dvchost

端點主機名稱

範例:ApexOneClient01

rt

記錄檔產生時間 (UTC)

範例:2017 年 11 月 15 日 08:45:57 GMT+ 00:00

cn1Label

cn1 欄位的對應標籤

範例:Severity

cn1

嚴重性代碼

範例:2

  • 0:未知

  • 1:資訊

  • 2:警告

  • 3:錯誤

  • 4:嚴重

TMCMLogSeverity

嚴重性說明

第二個掃瞄引擎

cn2Label

cn2 欄位的對應標籤

Filter_Action_Result

cn2

過濾器處理行動結果

範例:21

如需詳細資訊,請參閱過濾器處理行動結果對應資料表

deviceExternalId

識別碼

範例:5

fname

檔案

範例:RERERW~42w.exe

msg

主旨

範例:開啟這封電子郵件就有機會獲得免費手機

shost

列出所有違規的寄件者/使用者

範例:"bear" <bear@abc.mail.com>;"yumi" <yumi@abc.mail.com>

suser

其中一個違規的寄件者/使用者

範例:"bear" <bear@abc.mail.com>

deviceFacility

產品

範例:Deep Discovery Email Inspector

src

電子郵件寄件者 IP 位址

範例:10.206.155.122

filepath

可疑檔案位置

範例:https://ca91-1.testurl.com:443

要求

可疑的 URL

範例:https://ca91-1.testurl.com:443

原因

嚴重安全威脅類型

範例:E

  • A:已知的進階持續安全威脅 (APT)

  • B:社交工程攻擊

  • C:弱點攻擊

  • D:橫向移動

  • E:未知安全威脅

  • F:C&C 回呼

  • G:勒索軟體

ApexCentralHost

Apex Central 主機名稱

範例:TW-CHRIS-W2019

devicePayloadId

唯一訊息 GUID

範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697

記錄檔範例:

CEF:0|Trend Micro|Apex Central|2019|MS:Clean|This is a policy
name|3|deviceExternalId=90045 rt=Sep 17 2018 01:27:42 GMT+00
:00 dhost=user@test.com duser=user@test.com act=Clean cs1Label
=Policy_Settings cs1=This is policy content cs2Label=CLF_Produ
ctVersion cs2=3.2 cs3Label=Filter_Type cs3=URL reputation filt
er cs5Label=CLF_ReasonCodeSource cs5=20 cs6Label=Action_on_Mes
sage cs6=0 cat=1705 dvchost=ApexOneClient01 cn1Label=Severity
cn1=2 TMCMLogSeverity=Second scan engine fname=NE_AEP.1550
msg=plain_qp_no8_av1u_NE_AEP.1550 shost=user2@test.com suser=
user2@test.com cn2Label=Filter_Action_Result cn2=21 deviceFaci
lity=Deep Discovery Email Inspector src=10.206.155.122 reason=
B,G ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C036
0-9CDE11EB-D4B8-F51F-C697
上層主題: Syslog 內容對應 — CEF