CEF 行為監控記錄檔

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

產品供應商

Trend Micro

標頭 (pname)

產品名稱

Apex Central

標頭 (pver)

產品版本

2019

標頭 (eventid)

行為監控策略識別碼

BM:1000

標頭 (eventName)

記錄檔名稱

行為監控

標頭 (severity)

嚴重性

3

rt

事件觸發時間 (UTC)

範例："2018 年 3 月 22 日 08:23:23 GMT+00:00"

dvchost

主機名稱

範例：localhost

cs2Label

cs2 欄位的對應標籤

策略

cs2

策略類型

• 遭到入侵的可執行檔

• 新的啟動程式

• 主機檔案的修改

• 程式庫植入

• 新增 Internet Explorer 嵌入程式

• Internet Explorer 設定的修改

• Shell 的修改

• 新增服務

• 安全策略修改

• 防火牆策略的修改

• 系統檔案的修改

• 重複的系統檔案

• 分層服務提供器

• 系統程序的修改

• 可疑行為

• 新發現的程式

• 未經授權的檔案加密

• 安全威脅行為分析

• 使用者定義的策略

sproc

事件的目標

範例：C:\\Windows\\SysWOW64\\rundll32.exe

cs3Label

cs3 欄位的對應標籤

Event_Type

cs3

事件類型

• 程序

• 處理影像

• 登錄

• 檔案系統

• 驅動程式

• SDT

• 系統 API

• 使用者模式

• 弱點攻擊

• 全部

cs4Label

cs4 欄位的對應標籤

作業

cs4

事件目標所執行的作業

• 建立程序

• 開啟

• 終止

• 刪除

• 寫入

• 存取

• 建立檔案

• 關閉

• 執行

• 啟動

• 弱點攻擊

• 未處理的作業

cs5Label

cs5 欄位的對應標籤

Risk_Level

cs5

風險等級

範例：1

• 0：低

• 1：高

TMCMLogTarget

目標主機

範例：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\COM+

act

轉譯的處理行動

• 允許

• 詢問

• 拒絕

• 終止

• 唯讀

• 唯讀/唯寫

• 唯讀/僅能執行

• 意見反應

• 清除

• 未知

• 評估

• 已終止。檔案已還原。

• 已終止。有些檔案未還原。

• 已終止。檔案未還原。

• 已終止。重新啟動結果：檔案已還原。

• 已終止：重新啟動結果：部分檔案未還原。

• 已終止：重新啟動結果：檔案未還原。

shost

來源主機（端點）

範例：shost1

src

來源主機 IP 位址

範例："10.0.147.105"

deviceFacility

產品

範例：Apex One

原因

嚴重安全威脅類型

範例：E

• A：已知的進階持續安全威脅 (APT)

• B：社交工程攻擊

• C：弱點攻擊

• D：橫向移動

• E：未知安全威脅

• F：C&C 回呼

• G：勒索軟體

deviceNtDomain

Active Directory 網域

範例：APEXTMCM

dntdom

Apex One 網域階層

範例：OSCEDomain1

TMCMLogDetectedHost

發生記錄事件的端點名稱

範例：MachineHostName

TMCMLogDetectedIP

發生記錄事件的 IP 位址

範例：10.1.2.3

ApexCentralHost

Apex Central 主機名稱

範例：TW-CHRIS-W2019

devicePayloadId

唯一訊息 GUID

範例：1C00290C0360-9CDE11EB-D4B8-F51F-C697

TMCMdevicePlatform

端點作業系統

範例：Windows 7 6.1 (Build 7601) Service Pack 1