檢視次數:
CEF 索引鍵
說明
標頭 (logVer)
CEF 格式版本
CEF:0
標頭 (vendor)
產品供應商
Trend Micro
標頭 (pname)
產品名稱
Apex Central
標頭 (pver)
產品版本
2019
標頭 (eventid)
行為監控策略識別碼
BM:1000
標頭 (eventName)
記錄檔名稱
行為監控
標頭 (severity)
嚴重性
3
rt
事件觸發時間 (UTC)
範例:2018 年 3 月 22 日 08:23:23 GMT+00:00
dvchost
主機名稱
範例:localhost
cs2Label
cs2 欄位的對應標籤
策略
cs2
策略類型
  • 遭到入侵的可執行檔
  • 新的啟動程式
  • 主機檔案的修改
  • 程式庫植入
  • 新增 Internet Explorer 嵌入程式
  • Internet Explorer 設定的修改
  • Shell 的修改
  • 新增服務
  • 安全策略修改
  • 防火牆策略的修改
  • 系統檔案的修改
  • 重複的系統檔案
  • 分層服務提供器
  • 系統程序的修改
  • 可疑行為
  • 新發現的程式
  • 未經授權的檔案加密
  • 安全威脅行為分析
  • 使用者定義的策略
sproc
事件的目標
範例:C:\\Windows\\SysWOW64\\rundll32.exe
cs3Label
cs3 欄位的對應標籤
Event_Type
cs3
事件類型
  • 程序
  • 處理影像
  • 登錄
  • 檔案系統
  • 驅動程式
  • SDT
  • 系統 API
  • 使用者模式
  • 弱點攻擊
  • 全部
cs4Label
cs4 欄位的對應標籤
作業
cs4
事件目標所執行的作業
  • 建立程序
  • 開啟
  • 終止
  • 刪除
  • 寫入
  • 存取
  • 建立檔案
  • 關閉
  • 執行
  • 啟動
  • 弱點攻擊
  • 未處理的作業
cs5Label
cs5 欄位的對應標籤
Risk_Level
cs5
風險等級
範例:1
  • 0:低
  • 1:高
TMCMLogTarget
目標主機
範例:HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\COM+
act
轉譯的處理行動
  • 允許
  • 詢問
  • 拒絕
  • 終止
  • 唯讀
  • 唯讀/唯寫
  • 唯讀/僅能執行
  • 意見反應
  • 清除
  • 未知
  • 評估
  • 已終止。檔案已還原。
  • 已終止。有些檔案未還原。
  • 已終止。檔案未還原。
  • 已終止。重新啟動結果:檔案已還原。
  • 已終止:重新啟動結果:部分檔案未還原。
  • 已終止:重新啟動結果:檔案未還原。
shost
來源主機(端點)
範例:shost1
src
來源主機 IP 位址
範例:"10.0.147.105"
deviceFacility
產品
範例:Apex One
原因
嚴重安全威脅類型
範例:E
  • A:已知的進階持續安全威脅 (APT)
  • B:社交工程攻擊
  • C:弱點攻擊
  • D:橫向移動
  • E:未知安全威脅
  • F:C&C 回呼
  • G:勒索軟體
deviceNtDomain
Active Directory 網域
範例:APEXTMCM
dntdom
Apex One 網域階層
範例:OSCEDomain1
TMCMLogDetectedHost
發生記錄事件的端點名稱
範例:MachineHostName
TMCMLogDetectedIP
發生記錄事件的 IP 位址
範例:10.1.2.3
ApexCentralHost
Apex Central 主機名稱
範例:TW-CHRIS-W2019
devicePayloadId
唯一訊息 GUID
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697
TMCMdevicePlatform
端點作業系統
範例:Windows 7 6.1 (Build 7601) Service Pack 1
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|BM:1000|Behavior Monitor
ing|3|rt=Sep 20 2019 01:02:03 GMT+00:00 dvchost=localhost cs
5Label=Risk_Level cs5=1 cs2Label=Policy cs2=Threat Behavior 
Analysis sproc=subject cs3Label=Event_Type cs3=File system 
TMCMLogTarget=HKCU\\Software\\Microsoft\\Windows\\CurrentVer
sion\\Run\\COM+ act=Ask cs4Label=Operation cs4=Create Proces
s shost=shost1 src=10.0.76.40 deviceFacility=Apex One reason
=G deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetecte
dHost=shost1 TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW
-CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F
-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service 
Pack 1
Keywords: 行為監控