CEF 索引鍵 |
說明 |
值 |
---|---|---|
標頭 (logVer) |
CEF 格式版本 |
CEF:0 |
標頭 (vendor) |
產品供應商 |
Trend Micro |
標頭 (pname) |
產品名稱 |
Apex Central |
標頭 (pver) |
產品版本 |
2019 |
標頭 (eventid) |
行為監控策略識別碼 |
BM:1000 |
標頭 (eventName) |
記錄檔名稱 |
行為監控 |
標頭 (severity) |
嚴重性 |
3 |
rt |
事件觸發時間 (UTC) |
範例:"2018 年 3 月 22 日 08:23:23 GMT+00:00" |
dvchost |
主機名稱 |
範例:localhost |
cs2Label |
cs2 欄位的對應標籤 |
策略 |
cs2 |
策略類型 |
|
sproc |
事件的目標 |
範例:C:\\Windows\\SysWOW64\\rundll32.exe |
cs3Label |
cs3 欄位的對應標籤 |
Event_Type |
cs3 |
事件類型 |
|
cs4Label |
cs4 欄位的對應標籤 |
作業 |
cs4 |
事件目標所執行的作業 |
|
cs5Label |
cs5 欄位的對應標籤 |
Risk_Level |
cs5 |
風險等級 |
範例:1
|
TMCMLogTarget |
目標主機 |
範例:HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\COM+ |
act |
轉譯的處理行動 |
|
shost |
來源主機(端點) |
範例:shost1 |
src |
來源主機 IP 位址 |
範例:"10.0.147.105" |
deviceFacility |
產品 |
範例:Apex One |
原因 |
嚴重安全威脅類型 |
範例:E
|
deviceNtDomain |
Active Directory 網域 |
範例:APEXTMCM |
dntdom |
Apex One 網域階層 |
範例:OSCEDomain1 |
TMCMLogDetectedHost |
發生記錄事件的端點名稱 |
範例:MachineHostName |
TMCMLogDetectedIP |
發生記錄事件的 IP 位址 |
範例:10.1.2.3 |
ApexCentralHost |
Apex Central 主機名稱 |
範例:TW-CHRIS-W2019 |
devicePayloadId |
唯一訊息 GUID |
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697 |
TMCMdevicePlatform |
端點作業系統 |
範例:Windows 7 6.1 (Build 7601) Service Pack 1 |
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs 5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior Analysis sproc=subject cs3Label=Event_Type cs3=File system TMCMLogTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVer sion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create Proces s shost=shost1 src=10.0.76.40 deviceFacility=Apex One reason =G deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetecte dHost=shost1 TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW -CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F -C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1