|
CEF 索引鍵 |
說明 |
值 |
|---|---|---|
|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
|
標頭 (vendor) |
裝置供應商 |
Trend Micro |
|
標頭 (pname) |
裝置產品 |
Apex Central |
|
標頭 (pver) |
裝置版本 |
2019 |
|
標頭 (eventid) |
AV:處理行動 |
AV:檔案已重新命名 |
|
標頭 (eventName) |
病毒/惡意程式名稱 |
JS_EXPLOIT.SMDN |
|
標頭 (severity) |
嚴重性 |
3 |
|
cnt |
偵測 |
範例:10 |
|
dhost |
端點 |
範例:ApexOneClient01 |
|
duser |
使用者 |
範例:Admin004 |
|
act |
處理行動 |
範例:檔案已重新命名 如需詳細資訊,請參閱處理行動對應資料表。 |
|
rt |
記錄檔產生時間 (UTC) |
範例:2017 年 10 月 6 日 08:39:46 GMT+ 00:00 |
|
cn1Label |
cn1 欄位的對應標籤 |
範例:VLF_PatternNumber |
|
cn1 |
特徵碼/規則版本 |
範例:920500 |
|
cn2Label |
cn2 欄位的對應標籤 |
範例:VLF_SecondAction |
|
cn2 |
第二個處理行動 |
範例:3 如需詳細資訊,請參閱第二個處理行動對應資料表。 |
|
cs1Label |
cs1 欄位的對應標籤 |
範例:VLF_FunctionCode |
|
cs1 |
掃瞄類型 |
範例:手動掃瞄
|
|
cs2Label |
cs2 欄位的對應標籤 |
範例:VLF_EngineVersion |
|
cs2 |
引擎版本 |
範例:9.500.1005 |
|
cs3Label |
cs3 欄位的對應標籤 |
範例:CLF_ProductVersion |
|
cs3 |
產品版本 |
範例:11 |
|
cs4Label |
cs4 欄位的對應標籤 |
範例:CLF_ReasonCode |
|
cs4 |
原因代碼 |
範例:病毒記錄檔 |
|
cs5Label |
cs5 欄位的對應標籤 |
範例:VLF_FirstActionResult |
|
cs5 |
第一個處理行動結果 |
範例:無法清除檔案 如需詳細資訊,請參閱處理行動對應資料表。 |
|
cs6Label |
cs6 欄位的對應標籤 |
範例:第二個處理行動結果 |
|
cs6 |
第二個處理行動結果 |
範例:無法清除檔案。""暫不處理 如需詳細資訊,請參閱處理行動對應資料表。 |
|
cat |
記錄類型 |
範例:1703 |
|
dvchost |
產品伺服器名稱 |
範例:ApexOneServer01 |
|
cn3Label |
cn3 欄位的對應標籤 |
範例:CLF_SeverityCode |
|
cn3 |
嚴重性代碼 |
範例:2
|
|
deviceExternalId |
識別碼 |
範例:3 |
|
fname |
檔案 |
範例:FakeMalwareRebootDel.exe |
|
filePath |
檔案路徑 |
範例:C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\ |
|
msg |
壓縮檔中的檔案 |
範例:BMAC Schedule of Events.xls |
|
shost |
來源主機、UNC 或電子郵件信箱 註:
系統可能不會將此金鑰納入在記錄檔中。 |
範例:"xxx@test.com" |
|
dst |
端點 IPv4 位址 |
範例:50.8.1.1 |
|
c6a3Label |
c6a3 欄位的對應標籤 |
範例:SLP_DestinationIP |
|
c6a3 |
端點 IPv6 位址 |
範例:fe80::38ca:cd15:443c:40bb%11 |
|
fileHash |
檔案 SHA-1 |
範例:D6712CAE5EC821F910E14945153AE7871AA536CA |
|
deviceFacility |
產品 |
範例:Apex One |
|
原因 |
嚴重安全威脅類型 |
範例:E
|
|
deviceNtDomain |
Active Directory 網域 |
範例:APEXTMCM |
|
dntdom |
Apex One 網域階層 |
範例:OSCEDomain1 |
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label= VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label= CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs 6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6 93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\ \Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\ \ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1 0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS- W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697