Common Event Format (CEF) 和 Log Event Extended Format (LEEF) 日誌訊息格式略有不同。例如,GUI 中的
"Source User" 欄位在 CEF 中對應的欄位名稱為 "suser";在 LEEF 中,相同的欄位名稱則為 "usrName"。日誌訊息欄位也會根據事件是否源自代理或
Server & Workload Security保護 以及哪個功能創建了日誌訊息而有所不同。
 |
注意如果您的 syslog 訊息被截斷,可能是因為您使用的是使用者資料報通訊協定 (UDP)。為了防止截斷,請改用傳輸層安全性 (TLS) 傳輸您的 syslog 訊息。關於切換到
TLS 的說明,請參閱 定義 syslog 配置。
|
|
注意基本 syslog 格式不支援惡意程式防護、網頁信譽評等、完整性監控和 Application Control 保護模組。
|
如果 syslog 訊息是從 Server & Workload Security保護 發送的,會有幾個不同之處。為了保留原始代理主機名稱(事件的來源),會出現一個新的擴展("dvc" 或 "dvchost")。如果主機名稱是 IPv4 地址,則使用
"dvc";如果是主機名稱和 IPv6 地址,則使用 "dvchost"。
此外,如果事件被標記,則使用擴充功能 "TrendMicroDsTags"。這僅適用於未來自動標記,因為事件僅在被Server & Workload Security保護收集時通過syslog轉發。通過工作負載安全轉發的日誌產品仍將顯示為 "Deep Security Agent";然而,產品版本是Server & Workload Security保護的版本。
CEF syslog 訊息格式
所有 CEF 事件都包含 'dvc=IPv4 地址' 或 'dvchost=主機名'(或 IPv6 地址),以確定事件來源的原始代理。此擴展對於從 Server & Workload Security保護 發送的事件非常重要,因為在這種情況下,消息的 syslog 發送者不是事件的發起者。
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
要判斷日誌條目是來自 Server & Workload Security保護 還是代理,請查看「裝置產品」欄位:
Sample CEF Log Entry: 一月 18 11:07:53 dsmhost CEF:0|趨勢科技|Workload Security Manager|<工作負載安全 version>|600|管理員已登入|4|suser=Master...
|
注意在受虛擬裝置保護但沒有內部代理程式的虛擬機上發生的事件,仍然會被識別為來自代理程式。
|
要進一步確定觸發事件的規則類型,請查看「簽章 ID」和「名稱」欄位:
Sample Log Entry: 三月 19 15:19:15 root CEF:0|趨勢科技|Deep Security Agent|<Agent version>|123|Out Of Allowed
Policy|5|cn1=1...
"簽章 ID" 值表示已觸發的事件類型:
|
簽章 ID
|
說明
|
|
10
|
自訂入侵防護 (IPS) 規則
|
|
20
|
僅記錄防火牆規則
|
|
21
|
拒絕防火牆規則
|
|
30
|
自訂完整性監控規則
|
|
40
|
自訂日誌檢查規則
|
|
100-7499
|
系統事件
|
|
100-199
|
策略防火牆規則和防火牆有狀態配置
|
|
200-299
|
IPS 內部錯誤
|
|
300-399
|
SSL/TLS 事件
|
|
500-899
|
IPS 正常化
|
|
1,000,000-1,999,999
|
趨勢科技 IPS 規則。簽章 ID 與 IPS 規則 ID 相同。
|
|
2,000,000-2,999,999
|
完整性監控規則。簽章 ID 是完整性監控規則 ID + 1,000,000。
|
|
3,000,000-3,999,999
|
日誌檢查規則。簽章 ID 是日誌檢查規則 ID 加上 2,000,000。
|
|
4,000,000-4,999,999
|
惡意程式防護事件。目前僅使用這些簽章 ID:
|
|
5,000,000-5,999,999
|
網頁信譽評等事件。目前僅使用這些簽章 ID:
|
|
6,000,000-6,999,999
|
Application Control 事件。目前僅使用這些簽章 ID:
|
|
7,000,000-7,999,999
|
周邊設備存取控管事件。目前僅使用這些簽章 ID:
|
|
注意日誌條目並不總是包含以下事件日誌格式表中描述的所有 CEF 擴展。CEF 擴展也可能不總是按相同的順序排列。如果您使用正則表達式 (regex) 來解析條目,請確保您的表達式不依賴於每個鍵值對的存在或特定順序。
|
|
注意Syslog 訊息受限於 syslog 通訊協定規範的 64 KB。如果訊息較長,資料防護可能會被截斷。基本的 syslog 格式限制為 1 KB。
|
LEEF 2.0 syslog 訊息格式
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF 2.0 Log Entry (Workload Security System Event Log Sample): LEEF:2.0|趨勢科技|Server & Workload Security保護 Manager|<Agent version>|192|cat=系統 name=警報結束 desc=警報: CPU 警告閾值超過\n主題: 10.201.114.164\n嚴重性:
警告 sev=3 src=10.201.114.164 usrName=系統 msg=警報: CPU 警告閾值超過\n主題: 10.201.114.164\n嚴重性:警告
TrendMicroDsTenant=主要
來自Server & Workload Security保護的事件
系統事件記錄檔格式
Base CEF Format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Server & Workload Security保護 Manager|<Server & Workload Security保護 版本>|600|使用者已登入|3|src=10.52.116.160 suser=admin target=admin msg=使用者從 2001:db8::5
登入
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF 2.0 Log Entry: LEEF:2.0|趨勢科技|Server & Workload Security保護 Manager|<DSA version>|192|cat=系統 name=警報結束 desc=警報: CPU 警告閾值超過\n主題: 10.201.114.164\n嚴重性:
警告 sev=3 src=10.201.114.164 usrName=系統 msg=警報: CPU 警告閾值超過\n主題: 10.201.114.164\n嚴重性:
警告 TrendMicroDsTenant=主要
|
注意LEEF 格式使用保留的 "sev" 鍵來顯示嚴重性,並使用 "name" 來顯示名稱值。
|
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
||
|
src
|
src
|
來源 IP 位址
|
Server & Workload Security保護 IP 位址。
|
src=10.52.116.23
|
||
|
suser
|
usrName
|
來源使用者
|
Server & Workload Security保護 管理員的帳戶。
|
suser=主管理員
|
||
|
目標
|
目標
|
目標實體
|
事件的主體。可以是登入Server & Workload Security保護的管理員帳戶,或是一台電腦防護。
|
目標=MasterAdmin 目標=server01
|
||
|
目標ID
|
目標ID
|
目標實體 ID
|
在Server & Workload Security保護中新增的識別碼。
|
targetID=1
|
||
|
目標類型
|
目標類型
|
目標實體類型
|
事件目標實體類型。
|
目標類型=主機
|
||
|
訊息
|
訊息
|
詳細資訊
|
系統事件的詳細資訊。可能包含事件的詳細描述。
|
msg=使用者 MasterAdmin 從 127.0.0.1 嘗試登入時密碼錯誤 msg=對電腦 (localhost) 進行的建議掃瞄已完成...
|
||
|
TrendMicroDsProcessImagePath
|
TrendMicroDsProcessImagePath
|
處理影像路徑
|
生成惡意程式防護事件檢測的進程完整路徑。
|
TrendMicroDsProcessImagePath=/usr/bin/bash
|
||
|
TrendMicroDsProcessPid
|
TrendMicroDsProcessPid
|
進程 PID
|
生成惡意程式防護事件檢測的進程 PID
|
TrendMicroDsProcessPid=4422
|
||
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
||
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
||
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
||
|
TrendMicroDsReasonId
|
TrendMicroDsReasonId
|
事件原因 ID
|
指示事件描述的原因 ID。每個事件都有其自己的原因 ID 定義。
|
TrendMicroDsReasonId=1
|
||
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=3
|
||
|
無
|
貓
|
類別
|
事件類別
|
cat=系統
|
||
|
無
|
名稱
|
名稱
|
事件名稱
|
警報已結束
|
||
|
無
|
描述
|
說明
|
事件說明
|
desc:警報:超過CPU警告閾值
|
代理程式中發生的事件
惡意程式防護事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host
ID dvchost=hostname cn2=205 cn2Label=隔離 File Size cs6=ContainerImageName | ContainerName
| ContainerID cs6Label=Container filePath=C:\Users\trend\Desktop\eicar.exe act=Delete
result=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F
TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF: 2.0|趨勢科技|Deep Security Agent|<Agent version>|4000030|cat=惡意程式防護 name=HEU_AEGIS_CRYPT
desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe
act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=檔案系統
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cn2
|
cn2
|
檔案大小
|
隔離檔案的大小。僅在選擇從代理/設備「直接轉發」時包含此擴展。
|
cn2=100
|
|
cn2標籤
|
cn2標籤
|
檔案大小
|
欄位 cn2 的名稱標籤。
|
cn2Label=隔離檔案大小
|
|
cs3
|
cs3
|
中毒資源
|
間諜程式項目的路徑。此欄位僅適用於間諜程式偵測事件。
|
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
|
|
cs3標籤
|
cs3標籤
|
中毒資源
|
此欄位的名稱標籤為 cs3。此欄位僅用於間諜程式偵測事件。
|
cs3Label=中毒資源
|
|
cs4
|
cs4
|
資源類型
|
資源類型值:
10=檔案和目錄
11=系統登錄
12=網路 Cookies
13=網路 URL 捷徑
14=記憶體中的程式
15=程式啟動區域
16=瀏覽器輔助工具
17=分層服務提供器
18=主機檔案
19=Windows 策略設定
20=瀏覽器
23=Windows Shell 設定
24=IE 下載的程式集
25=新增/移除程式
26=服務
其他=其他
例如,如果有一個名為 spy.exe 的間諜程式檔案,會在系統重新啟動後創建一個登錄執行鍵以保持其持續性,那麼在間諜程式報告中將有兩個項目:spy.exe 的項目具有
cs4=10(檔案和目錄),而登錄執行鍵的項目具有 cs4=11(系統登錄)。
此欄位僅適用於間諜程式偵測事件。
|
cs4=10
|
|
cs4標籤
|
cd4標籤
|
資源類型
|
欄位 cs4 的名稱標籤。此欄位僅用於間諜程式偵測事件。
|
cs4Label=資源類型
|
|
cs5
|
cs5
|
風險等級
|
風險等級值:
0=非常低
25=低
50=中
75=高
100=非常高
此欄位僅適用於間諜程式偵測事件。
|
cs5=25
|
|
cs5標籤
|
cs5標籤
|
風險等級
|
欄位 cs5 的名稱標籤。此欄位僅用於間諜程式偵測事件。
|
cs5Label=風險等級
|
|
cs6
|
cs6
|
容器
|
Docker 容器的映像名稱、容器名稱和偵測到惡意程式的容器 ID。
|
cs6=ContainerImageName | ContainerName | ContainerID
|
|
cs6標籤
|
cs6標籤
|
容器
|
欄位 cs6 的名稱標籤。
|
cs6Label=容器
|
|
filePath
|
filePath
|
檔案路徑
|
惡意程式檔案的位置資訊。
|
filePath=C:\Users\Mei\Desktop\virus.exe
|
|
行動
|
行動
|
處理行動
|
惡意程式防護引擎執行的操作。可能的值有:拒絕存取、隔離、刪除、暫不處理、清除、終止和未指定。
|
act=清除 act=暫不處理
|
|
結果
|
結果
|
結果
|
失敗的惡意程式防護操作結果。
|
result=暫不處理 result=已刪除 result=隔離 result=已清除 result=拒絕存取 result=已終止 result=記錄 result=失敗
result=暫不處理失敗 result=刪除失敗 result=隔離失敗 result=清除失敗 result=終止失敗 result=記錄失敗 result=掃瞄失敗
result=暫不處理 (掃瞄失敗) result=隔離 (掃瞄失敗) result=隔離失敗 (掃瞄失敗) result=拒絕存取 (掃瞄失敗)
|
|
訊息
|
訊息
|
訊息
|
掃瞄類型。可能的值為:即時、排程和手動。
|
msg=即時 msg=排程
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=fe80::f018:a3c6:20f9:afa6%5
|
|
TrendMicroDsBehaviorRuleID
|
TrendMicroDsBehaviorRuleID
|
行為監控規則 ID
|
內部惡意程式案例追蹤的行為監控規則 ID。
|
BehaviorRuleID=CS913
|
|
TrendMicroDsBehaviorType
|
TrendMicroDsBehaviorType
|
行為監控類型
|
檢測到的行為監控事件類型。
|
BehaviorType=安全威脅-偵測
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
TrendMicroDs惡意軟體目標計數
|
TrendMicroDs惡意軟體目標計數
|
目標數量
|
目標檔案的數量。
|
TrendMicroDsMalwareTargetCount=3
|
|
TrendMicroDs惡意軟體目標
|
TrendMicroDs惡意軟體目標
|
目標
|
惡意程式試圖影響的檔案、程序或登錄機碼(如果有的話)。如果惡意程式試圖影響多個項目,則此欄位將包含值 "Multiple"
只有可疑活動監控和未經授權變更監控具有此欄位的值。
|
TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTarget=C:\Windows\System32\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings TrendMicroDsMalwareTarget=多個
|
|
TrendMicroDs惡意軟體目標類型
|
TrendMicroDs惡意軟體目標類型
|
目標類型
|
此惡意程式試圖影響的系統資源類型,例如檔案系統、進程或 Windows 登錄。
只有可疑活動監控和未經授權變更監控具有此欄位的值。
|
TrendMicroDsMalwareTargetType=N/A TrendMicroDsMalwareTargetType=漏洞利用 TrendMicroDsMalwareTargetType=檔案系統
TrendMicroDsMalwareTargetType=程序 TrendMicroDsMalwareTargetType=登錄檔
|
|
TrendMicroDsProcess
|
TrendMicroDsProcess
|
處理程序
|
程序名稱
|
TrendMicroDsProcess= abc.exe
|
|
TrendMicroDsFileMD5
|
TrendMicroDsFileMD5
|
檔案 MD5
|
該檔案的MD5雜湊值
|
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
|
|
TrendMicroDsFileSHA1
|
TrendMicroDsFileSHA1
|
檔案 SHA1
|
該檔案的 SHA1 雜湊值
|
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
|
|
TrendMicroDsFileSHA256
|
TrendMicroDsFileSHA256
|
檔案 SHA256
|
該檔案的 SHA256 雜湊值
|
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
|
|
TrendMicroDsDetectionConfidence
|
TrendMicroDsDetectionConfidence
|
安全威脅可能性
|
指示檔案與惡意程式模型的匹配程度(以百分比表示)
|
TrendMicroDsDetectionConfidence=95
|
|
TrendMicroDs相關檢測名稱
|
TrendMicroDs相關檢測名稱
|
可能的安全威脅類型
|
在 Machine Learning 將分析結果與其他已知威脅進行比較後,指示檔案中最可能包含的安全威脅類型(以分號 ";" 分隔)
|
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=惡意程式防護
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=間諜軟體_鍵盤記錄_啟動
|
|
無
|
描述
|
說明
|
事件說明。惡意程式防護使用事件名稱作為說明。
|
desc=間諜軟體鍵盤記錄器啟動中
|
|
TrendMicroDsCommandLine
|
TrendMicroDsCommandLine
|
命令列
|
主體程序執行的命令
|
TrendMicroDsCommandLine=/tmp/orca-testkit-sample/testsys_m64 -u 1000 -g 1000 -U 1000
-G 1000 -e cve_2017_16995 1 -d 4000000
|
|
TrendMicroDsCve
|
TrendMicroDsCve
|
CVE
|
如果在常見弱點和暴露中識別到該進程行為,則提供 CVE 資訊。
|
TrendMicroDsCve=CVE-2016-5195,CVE-2016-5195,CVE-2016-5195
|
|
TrendMicroDsMitre
|
TrendMicroDsMitre
|
MITRE
|
如果在 MITRE 攻擊場景中識別到該進程行為,則顯示 MITRE 資訊。
|
TrendMicroDsMitre=T1068,T1068,T1068
|
|
suser
|
suser
|
使用者名稱
|
觸發此事件的使用者帳號名稱
|
suser=root
|
Application Control 事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Example CEF Log Entry:
CEF: 0|趨勢科技|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202 cn1Label=Host
ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0
suser=root suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh
fsize=20 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason
cs2=0CC9713BA896193A527213D9C94892D41797EB7C cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D
cs3Label=md5Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Example LEEF Log Entry:
LEEF:2.0|趨勢科技|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked
sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root
suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1
cs1=notWhitelisted cs1Label=actionReason|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=2
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cs1
|
cs1
|
原因
|
Application Control 執行指定動作的原因,例如 "notWhitelisted"(該軟體沒有匹配的規則,且 Application Control
被配置為封鎖未識別的軟體)。
|
cs1=未列入白名單
|
|
cs1標籤
|
cs1標籤
|
欄位 cs1 的名稱標籤。
|
cs1Label=動作原因
|
|
|
cs2
|
cs2
|
如果已計算,則為檔案的 SHA-1 雜湊值。
|
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
|
|
|
cs2標籤
|
cs2標籤
|
欄位 cs2 的名稱標籤。
|
cs2Label=sha1
|
|
|
cs3
|
cs3
|
如果已計算,則為檔案的 MD5 雜湊值。
|
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
|
|
|
cs3標籤
|
cs3標籤
|
欄位 cs3 的名稱標籤。
|
cs3Label=md5
|
|
|
行動
|
行動
|
處理行動
|
由 Application Control 引擎執行的操作。可能的值為:已封鎖、允許。
|
act=已封鎖
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.1.10
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
suid
|
suid
|
用戶 ID
|
使用者名稱的帳戶ID號碼。
|
suid=0
|
|
suser
|
suser
|
使用者名稱
|
安裝軟體在受保護電腦上的使用者帳號名稱。
|
suser=root
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶名稱。
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID 號碼。
|
TrendMicroDsTenantId=0
|
|
fileHash
|
fileHash
|
檔案雜湊
|
識別軟體檔案的 SHA 256 雜湊值。
|
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
|
|
filePath
|
filePath
|
檔案路徑
|
惡意程式檔案的位置資訊。
|
filePath=/bin/my.jar
|
|
fsize
|
fsize
|
檔案大小
|
檔案大小(位元組)。
|
fsize=16
|
|
聚合類型
|
聚合類型
|
聚合類型
|
指示事件如何聚合的整數:
如需有關事件彙總的資訊,請參閱 查看 Application Control 事件日誌。
|
aggregationType=2
|
|
重複次數
|
重複次數
|
重複次數
|
事件發生的次數。未聚合的事件值為1。聚合的事件值為2或更多。
|
重複次數=4
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=應用程式控制
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=已封鎖
|
|
無
|
描述
|
說明
|
事件說明。Application Control 使用該動作作為說明。
|
desc=已封鎖
|
防火牆事件日誌格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|20|TCP 80 埠的日誌|0|cn1=1 cn1Label=主機
ID dvc=hostname act=日誌 dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP
src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=分段位元 proto=TCP spt=49617
dpt=80 cs2=0x00 ACK PSH cs2Label=TCP 標誌 cnt=1 TrendMicroDsPacketData=AFB...
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|<Agent version>|21|cat=防火牆 name=Remote Domain Enforcement
(Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1Label=Host
ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=拒絕
dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221
dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP srcPort=23 dstPort=445
cnt=1 TrendMicroDsPacketData=AFB...
Sample TendMicroDsScannerIp Log Entry: CEF 欄位 : (等待檢查), LEEF 欄位: TrendMicroDsScannerIp, 名稱: 掃描器 IP, 說明: 掃描器 IP 位址, 範例: TrendMicroDsScannerIp=192.168.33.1
TrendMicroDsTargetPortList Log Entry: CEF 欄位 : (等待檢查), LEEF 欄位: TrendMicroDsTargetPortList, 名稱: 目標埠列表, 描述: 掃描的埠列表, 範例:
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
|
act=記錄 act=拒絕
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
計數
|
計數
|
重複次數
|
此事件連續重複的次數。
|
cnt=8
|
|
cs2
|
cs2
|
TCP 標誌
|
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2標籤
|
cs2標籤
|
TCP 標誌
|
欄位 cs2 的名稱標籤。
|
cs2Label=TCP 標誌
|
|
cs3
|
cs3
|
封包分段資訊
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3標籤
|
cs3標籤
|
碎片位元
|
欄位 cs3 的名稱標籤。
|
cs3Label=碎片位元
|
|
cs4
|
cs4
|
ICMP 類型和代碼
|
(僅適用於 ICMP 通訊協定)ICMP 類型和代碼,以空格分隔。
|
cs4=11 0 cs4=8 0
|
|
cs4標籤
|
cs4標籤
|
ICMP
|
欄位 cs4 的名稱標籤。
|
ICMP 類型和代碼
|
|
dmac
|
dstMAC
|
目的地 MAC 位址
|
目的電腦網路介面的 MAC 位址。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
目標通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)目的地電腦連線或會話的通訊埠號碼。
|
dpt=80 dpt=135
|
|
目標
|
目標
|
目標 IP 位址
|
目標電腦的 IP 位址。
|
dst=192.168.1.102 dst=10.30.128.2
|
|
在
|
在
|
輸入位元組讀取
|
(僅適用於輸入連線)已讀取的輸入位元組數。
|
在=137 在=21
|
|
輸出
|
輸出
|
輸出位元組讀取
|
(僅適用於輸出連線)已讀取的輸出位元組數。
|
out=216 out=13
|
|
proto
|
proto
|
傳輸通訊協定
|
所使用的傳輸通訊協定名稱。
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
來源 MAC 位址
|
來源電腦網路介面的 MAC 位址。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
來源通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)來源電腦連線或會話的通訊埠號碼。
|
spt=1032 spt=443
|
|
src
|
src
|
來源 IP 位址
|
此事件中封包的來源 IP 位址。
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
乙太網路幀類型
|
連接乙太網路幀類型。
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
封包資料
|
封包資料,以Base64表示。
|
TrendMicroDsPacketData=AFB...
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=exch01.example.com dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=5
|
|
無
|
貓
|
類別
|
類別
|
cat=防火牆
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=遠端網域強制執行(分割隧道)
|
|
無
|
描述
|
說明
|
事件說明。防火牆事件使用事件名稱作為說明。
|
desc=遠端網域強制執行(分割隧道)
|
|
TrendMicroDsScannerIp
|
TrendMicroDsScannerIp
|
掃描器 IP
|
掃描器 IP 位址
|
TrendMicroDsScannerIp=192.168.33.1
|
|
TrendMicroDsTargetPortList
|
TrendMicroDsTargetPortList
|
目標端口列表
|
掃描的端口列表
|
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
完整性監控日誌事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|30|新完整性監控規則|6|cn1=1 cn1Label=Host
ID dvchost=hostname act=updated filePath=c:\windows\message.dll suser=admin sproc=C:\Windows\System32\notepad.exe
msg=lastModified,sha1,size
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|<Agent version>|2002779|cat=完整性監控 name=Microsoft
Windows - 系統檔案已修改 desc=Microsoft Windows - 系統檔案已修改 sev=8 cn1=37 cn1Label=主機 ID dvchost=www.example.com
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=已更新 suser=admin sproc=C:\Windows\System32\notepad.exe
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
由完整性規則檢測到的操作。可能包含:創建、更新、刪除或重命名。
|
act=已建立 act=已刪除
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
filePath
|
filePath
|
目標實體
|
完整性規則目標實體。可能包含檔案或目錄路徑、註冊表鍵等。
|
filePath=C:\WINDOWS\system32\drivers\etc\hosts
|
|
suser
|
suser
|
來源使用者
|
更改被監控檔案的使用者帳戶。
|
suser=WIN-038M7CQDHIN\管理員
|
|
存儲過程
|
存儲過程
|
來源程序
|
事件來源進程的名稱。
|
sproc=C:\Windows\System32\notepad.exe
|
|
訊息
|
訊息
|
屬性變更
|
(僅適用於“重新命名”操作)更改屬性名稱的列表。如果選擇“通過管理器中繼”,則所有事件操作類型都包含完整描述。
|
msg=最後修改,sha1,大小
|
|
oldfilePath
|
oldfilePath
|
舊目標實體
|
(僅適用於“重命名”操作)先前的完整性規則目標實體將重命名操作從先前的目標實體捕獲到新的目標實體,並記錄在 filePath 欄位中。
|
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=8
|
|
無
|
貓
|
類別
|
類別
|
cat=完整性監控
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=Microsoft Windows - 系統檔案已修改
|
|
無
|
描述
|
說明
|
事件說明。完整性監控使用事件名稱作為說明。
|
desc=Microsoft Windows - 系統檔案已修改
|
入侵防護事件日誌格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|1001111|測試入侵防護規則|3|cn1=1 cn1Label=主機
ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP
src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=分段位元 proto=TCP spt=49786
dpt=80 cs2=0x00 ACK PSH cs2Label=TCP 標誌 cnt=1 act=IDS:重設 cn3=10 cn3Label=入侵防護封包位置
cs5=10 cs5Label=入侵防護串流位置 cs6=8 cs6Label=入侵防護標誌 TrendMicroDsPacketData=R0VUIC9zP3...
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|<Agent version>|1000940|cat=入侵防護 name=週日 Java RunTime
Environment Multiple 緩衝區溢位 弱點 desc=週日 Java RunTime Environment Multiple 緩衝區溢位 弱點 sev=10
cn1=6 cn1Label=Host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
dstMAC=55:C0:A8:55:FF:41 srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84
dst=56.19.41.128 out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0
cnt=1 act=IDS:Reset cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position
cs6=0 cs6Label=DPI Flags TrendMicroDsPacketData=R0VUIC9zP3...
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
(在 Deep Security 7.5 SP1 版本之前編寫的 IPS 規則還可以執行插入、替換和刪除操作。這些操作不再執行。如果觸發了仍然嘗試執行這些操作的舊
IPS 規則,事件將顯示該規則已在僅檢測模式下應用。)
|
act=封鎖
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cn3
|
cn3
|
入侵防護封包位置
|
觸發事件的資料封包中的位置。
|
cn3=37
|
|
cn3標籤
|
cn3標籤
|
入侵防護封包位置
|
欄位 cn3 的名稱標籤。
|
cn3Label=入侵防護封包位置
|
|
計數
|
計數
|
重複次數
|
此事件連續重複的次數。
|
cnt=8
|
|
cs1
|
cs1
|
入侵防護過濾器註解
|
(可選)一個備註欄位,可以包含與有效負載文件相關的簡短二進位或文字備註。如果備註欄位的值全部是可打印的 ASCII 字元,將作為文字記錄,空格將轉換為底線。如果包含二進位資料,將使用
Base-64 編碼記錄。
|
cs1=刪除資料
|
|
cs1標籤
|
cs1標籤
|
入侵防護注意事項
|
欄位 cs1 的名稱標籤。
|
入侵防護註記
|
|
cs2
|
cs2
|
TCP 標誌
|
(僅適用於 TCP 通訊協定)如果已設置 TCP 標頭,則可能會出現原始 TCP 標誌位元組以及 URG、ACK、PSH、RST、SYN 和 FIN 欄位。
|
cs2=0x10 ACK cs2=0x14 ACK RST
|
|
cs2標籤
|
cs2標籤
|
TCP 標誌
|
欄位 cs2 的名稱標籤。
|
cs2Label=TCP 標誌
|
|
cs3
|
cs3
|
封包分段資訊
|
|
cs3=DF cs3=MF cs3=DF MF
|
|
cs3標籤
|
cs3標籤
|
碎片位元
|
欄位 cs3 的名稱標籤。
|
cs3Label=碎片位元
|
|
cs4
|
cs4
|
ICMP 類型和代碼
|
(僅適用於 ICMP 通訊協定)ICMP 類型和代碼按順序存儲,以空格分隔。
|
cs4=11 0 cs4=8 0
|
|
cs4標籤
|
cs4標籤
|
ICMP
|
欄位 cs4 的名稱標籤。
|
ICMP 類型和代碼
|
|
cs5
|
cs5
|
入侵防護串流位置
|
觸發事件的資料流位置。
|
cs5=128 cs5=20
|
|
cs5標籤
|
cs5標籤
|
入侵防護串流位置
|
欄位 cs5 的名稱標籤。
|
cs5Label=入侵防護串流位置
|
|
cs6
|
cs6
|
入侵防護過濾標誌
|
一個包含標誌值總和的組合值:1 - 資料被截斷 - 資料無法被記錄。2 - 日誌溢出 - 此日誌後日誌溢出。4 - 抑制 - 此日誌後日誌閾值被抑制。8 - 有資料
- 包含封包資料。16 - 參考資料 - 參考先前記錄的資料。
|
以下範例將是 1(資料防護被截斷)和 8(有資料防護)的總和組合:cs6=9
|
|
cs6標籤
|
cs6標籤
|
入侵防護標誌
|
欄位 cs6 的名稱標籤。
|
入侵防護過濾器標誌
|
|
dmac
|
dstMAC
|
目的地 MAC 位址
|
目標電腦網路介面 MAC 位址。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
目標通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)目標電腦連接埠。
|
dpt=80 dpt=135
|
|
目標
|
目標
|
目標 IP 位址
|
目標電腦防護 IP 位址。
|
dst=192.168.1.102 dst=10.30.128.2
|
|
xff
|
xff
|
X-Forwarded-For
|
X-Forwarded-For 標頭中最後一個集線器的 IP 位址。這通常是原始 IP 位址,超越可能存在的 Proxy。另請參閱 src 欄位。若要在事件中包含
xff,請啟用 "1006540 - 啟用 X-Forwarded-For HTTP 標頭記錄" 入侵防護規則。
|
xff=192.168.137.1
|
|
在
|
在
|
輸入位元組讀取
|
(僅適用於輸入連線)已讀取的輸入位元組數。
|
在=137 在=21
|
|
輸出
|
輸出
|
輸出位元組讀取
|
(僅適用於輸出連線)已讀取的輸出位元組數。
|
out=216 out=13
|
|
proto
|
proto
|
傳輸通訊協定
|
所使用的連接傳輸通訊協定名稱。
|
proto=tcp proto=udp proto=icmp
|
|
smac
|
srcMAC
|
來源 MAC 位址
|
來源電腦網路介面 MAC 位址。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
來源通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)來源電腦連接埠。
|
spt=1032 spt=443
|
|
src
|
src
|
來源 IP 位址
|
來源電腦 IP 位址。這是最後一個 Proxy 伺服器的 IP,如果存在的話,或者是客戶端 IP。另請參閱 xff 欄位。
|
src=192.168.1.105 src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
乙太網路幀類型
|
連接乙太網路幀類型。
|
TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
封包資料
|
封包資料,以Base64表示。
|
TrendMicroDsPacketData=R0VUIC9zP3...
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶名稱
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=10
|
|
無
|
貓
|
類別
|
類別
|
cat=入侵防護
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=Sun Java 執行環境多個緩衝區溢位弱點
|
|
無
|
描述
|
說明
|
事件說明。入侵防護事件使用事件名稱作為說明。
|
desc=週日 Java 運行時環境多個緩衝區溢位弱點
|
日誌檢查事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|3002795|Microsoft Windows Events|8|cn1=1
cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=多次 Windows 登入失敗 fname=Security
src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security: AUDIT_FAILURE(4625):
Microsoft-Windows-Security-Auditing: (no user): no domain: WIN-RM6HM42G65V: 帳戶登入失敗。主體:
..
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|<Agent version>|3003486|cat=Log Inspection name=郵件伺服器
- MDaemon desc=伺服器關閉。sev=3 cn1=37 cn1Label=主機 ID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 cs1=伺服器關閉。cs1Label=LI 描述 fname= shost= msg=
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cs1
|
cs1
|
特定子規則
|
觸發此事件的日誌檢查子規則。
|
多個 Windows 稽核失敗事件
|
|
cs1標籤
|
cs1標籤
|
LI 說明
|
欄位 cs1 的名稱標籤。
|
cs1Label=LI 說明
|
|
duser
|
duser
|
使用者資訊
|
(如果存在可解析的用戶名)目標用戶的名稱啟動了日誌條目。
|
duser=(無使用者) duser=NETWORK SERVICE
|
|
fname
|
fname
|
目標實體
|
日誌檢查規則目標實體。可能包含檔案或目錄路徑、註冊表鍵等。
|
fname=應用程式 fname=C:\程式集\CMS\logs\server0.log
|
|
訊息
|
訊息
|
詳細資訊
|
日誌檢查事件的詳細資訊。可能包含檢測到的日誌事件的詳細描述。
|
msg=WinEvtLog: Application: AUDIT_FAILURE(20187): pgEvent: (no user): no domain: SERVER01:
使用者 'xyz' 遠端登入失敗
|
|
主機
|
主機
|
來源主機名稱
|
來源電腦防護主機名稱。
|
shost=webserver01.corp.com
|
|
src
|
src
|
來源 IP 位址
|
來源電腦 IP 位址。
|
src=192.168.1.105 src=10.10.251.231
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=3
|
|
無
|
貓
|
類別
|
類別
|
cat=日誌檢查
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=郵件伺服器 - MDaemon
|
|
無
|
描述
|
說明
|
事件說明。
|
伺服器關閉
|
網頁信譽評等事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|<Agent version>|5000000|WebReputation|5|cn1=1 cn1Label=Host
ID dvchost=hostname request=example.com msg=已封鎖 By Admin
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|<Agent version>|5000000|cat=網頁信譽評等 name=WebReputation
desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=可疑
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
請求
|
請求
|
請求
|
請求的 URL。
|
request=http://www.example.com/index.php
|
|
訊息
|
訊息
|
訊息
|
操作類型。可能的值為:即時、排程和手動。
|
msg=即時 msg=排程
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
Server & Workload Security保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=網頁信譽評等
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=網絡聲譽
|
|
無
|
描述
|
說明
|
事件說明。網頁信譽評等使用事件名稱作為說明。
|
desc=網路聲譽
|
周邊設備存取控管事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Sample CEF Log Entry: CEF:0|趨勢科技|Deep Security Agent|50.0.1063|7000000|周邊設備存取控管 DeviceControl|6|cn1=1 cn1Label=Host
ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName
processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc
model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Sample LEEF Log Entry: LEEF:2.0|趨勢科技|Deep Security Agent|50.0.1063|7000000|cat=周邊設備存取控管 name=DeviceControl
desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName
TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2
vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName
domainName=computerDomain deviceType=0 permission=0
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com dvchost=2001:db8::5
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
Server & Workload Security保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
Server & Workload Security保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
裝置
|
裝置
|
裝置名稱
|
被存取的裝置。
|
裝置=Sandisk_USB
|
|
processName
|
processName
|
程序名稱
|
進程名稱。
|
processName=someProcess.exe
|
|
檔案名稱
|
檔案名稱
|
檔案名稱
|
被存取的檔案名稱。
|
fileName=E:\somepath\a.exe
|
|
廠商
|
廠商
|
供應商名稱
|
裝置的供應商名稱。
|
供應商=sandisk
|
|
序號
|
序號
|
產品序號
|
裝置的產品序號。
|
serial=aaa-bbb-ccc
|
|
模型
|
模型
|
型號
|
裝置的產品名稱。
|
型號=A270_USB
|
|
電腦名稱
|
電腦名稱
|
電腦名稱
|
電腦名稱。
|
computerName=Jonh_Computer
|
|
網域名稱
|
網域名稱
|
網域名稱
|
網域名稱。
|
domainName=公司網域
|
|
deviceType
|
deviceType
|
裝置類型
|
裝置 USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2) 的裝置類型
|
deviceType=1
|
|
權限
|
權限
|
權限
|
訪問的封鎖原因 封鎖(0) 只讀(2)
|
permission=0
|