檢視次數:

CEF 索引鍵

說明

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

裝置供應商

Trend Micro

標頭 (pname)

裝置產品

Apex Central

標頭 (pver)

裝置版本

2019

標頭 (eventid)

AV:處理行動

AV:檔案已重新命名

標頭 (eventName)

病毒/惡意程式名稱

JS_EXPLOIT.SMDN

標頭 (severity)

嚴重性

3

cnt

偵測

範例:10

dhost

端點

範例:ApexOneClient01

duser

使用者

範例:Admin004

act

處理行動

範例:檔案已重新命名

如需詳細資訊,請參閱處理行動對應資料表

rt

記錄檔產生時間 (UTC)

範例:2017 年 10 月 6 日 08:39:46 GMT+ 00:00

cn1Label

cn1 欄位的對應標籤

範例:VLF_PatternNumber

cn1

特徵碼/規則版本

範例:920500

cn2Label

cn2 欄位的對應標籤

範例:VLF_SecondAction

cn2

第二個處理行動

範例:3

如需詳細資訊,請參閱第二個處理行動對應資料表

cs1Label

cs1 欄位的對應標籤

範例:VLF_FunctionCode

cs1

掃瞄類型

範例:手動掃瞄

  • 0:未知

  • 1:無

  • 11:即時掃瞄

  • 12:手動掃瞄

  • 13:預約掃瞄

  • 16:立即掃瞄

  • 17:卡掃瞄

  • 18:損害清除及復原服務

  • 19:儲存裝置掃瞄

cs2Label

cs2 欄位的對應標籤

範例:VLF_EngineVersion

cs2

引擎版本

範例:9.500.1005

cs3Label

cs3 欄位的對應標籤

範例:CLF_ProductVersion

cs3

產品版本

範例:11

cs4Label

cs4 欄位的對應標籤

範例:CLF_ReasonCode

cs4

原因代碼

範例:病毒記錄檔

cs5Label

cs5 欄位的對應標籤

範例:VLF_FirstActionResult

cs5

第一個處理行動結果

範例:無法清除檔案

如需詳細資訊,請參閱處理行動對應資料表

cs6Label

cs6 欄位的對應標籤

範例:第二個處理行動結果

cs6

第二個處理行動結果

範例:無法清除檔案。""暫不處理

如需詳細資訊,請參閱處理行動對應資料表

cat

記錄類型

範例:1703

dvchost

產品伺服器名稱

範例:ApexOneServer01

cn3Label

cn3 欄位的對應標籤

範例:CLF_SeverityCode

cn3

嚴重性代碼

範例:2

  • 0:未知

  • 1:資訊

  • 2:警告

  • 3:錯誤

  • 4:嚴重

deviceExternalId

識別碼

範例:3

fname

檔案

範例:FakeMalwareRebootDel.exe

filePath

檔案路徑

範例:C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\

msg

壓縮檔中的檔案

範例:BMAC Schedule of Events.xls

shost

來源主機、UNC 或電子郵件信箱

註:

系統可能不會將此金鑰納入在記錄檔中。

範例:"xxx@test.com"

dst

端點 IPv4 位址

範例:50.8.1.1

c6a3Label

c6a3 欄位的對應標籤

範例:SLP_DestinationIP

c6a3

端點 IPv6 位址

範例:fe80::38ca:cd15:443c:40bb%11

fileHash

檔案 SHA-1

範例:D6712CAE5EC821F910E14945153AE7871AA536CA

deviceFacility

產品

範例:Apex One

原因

嚴重安全威脅類型

範例:E

  • A:已知的進階持續安全威脅 (APT)

  • B:社交工程攻擊

  • C:弱點攻擊

  • D:橫向移動

  • E:未知安全威脅

  • F:C&C 回呼

  • G:勒索軟體

deviceNtDomain

Active Directory 網域

範例:APEXTMCM

dntdom

Apex One 網域階層

範例:OSCEDomain1

記錄檔範例:

CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXP
LOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 G
MT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=Fi
le renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=
VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manua
l Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=
CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=vi
rus log cs5Label=VLF_FirstActionResult cs5=File renamed cs
6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=Ape
xOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C6
93056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\
\Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\
\ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=1
0.201.129.24 devic eFacility=Apex One reason=B deviceNtDom
ain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS-
W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697