|
CEF 索引鍵
|
說明
|
值
|
|
標頭 (logVer)
|
CEF 格式版本
|
CEF:0
|
|
標頭 (vendor)
|
裝置供應商
|
Trend Micro
|
|
標頭 (pname)
|
裝置產品
|
Apex Central
|
|
標頭 (pver)
|
裝置版本
|
2019
|
|
標頭 (eventid)
|
事件 ID
|
700106
|
|
標頭 (eventName)
|
記錄檔名稱
|
資料外洩防護
|
|
標頭 (severity)
|
嚴重性
|
3
|
|
cs1Label
|
cs1 欄位的對應標籤
|
策略 GUID
|
|
cs1
|
策略 GUID
|
範例:FAF492CF-164C-4672-9A79-F1AB9CB288A3
|
|
cn1Label
|
cn1 欄位的對應標籤
|
產品
|
|
cn1
|
產品類型值
|
範例:15
|
|
rt
|
事件觸發時間 (UTC)
|
範例:
2018 年 3 月 22 日 08:23:23 GMT+00:00 |
|
src
|
來源主機 IP 位址
|
範例:10.0.57.160
|
|
smac
|
來源主機 MAC 位址
|
範例:74-27-00-0C-65-E7
|
|
shost
|
來源主機名稱
|
範例:shost1
|
|
cs4Label
|
cs4 欄位的對應標籤
|
Incident_Source_(AD_Account)
|
|
cs4
|
違規的使用者名稱
|
範例:Trend
|
|
suser
|
電子郵件寄件者
|
範例:sender@example.com
|
|
要求
|
存取的 URL
|
範例:https://example.com/api/content
|
|
duser
|
以逗號 (,) 分隔的收件者清單
|
範例:user1@example.com;user2@example.com;
|
|
msg
|
主旨
|
範例:Sample,20171017
|
|
filepath
|
檔案路徑
|
範例:D:\\Windows Live Mail\\Storage Folders\\Imported Fo e52\\Local Folders\\Sent Items\\Archive
Aft de1\\Clients,Adv 22b\\
|
|
fname
|
觸發器檔案名稱
|
範例:2B43363A-000000A4.eml
|
|
fsize
|
檔案大小(以位元組為單位)
|
範例:3
|
|
cs5Label
|
cs5 欄位的對應標籤
|
規則
|
|
cs5
|
規則名稱
|
範例:SAMPLE RULE SET
|
|
cs6Label
|
cs6 欄位的對應標籤
|
範本
|
|
cs6
|
範本名稱
|
範例:Apex One policy
|
|
cn3Label
|
cn3 欄位的對應標籤
|
通道
|
|
cn3
|
通道類型
|
範例:3
如需詳細資訊,請參閱通道對應資料表。
|
|
cn2Label
|
cn2 欄位的對應標籤
|
處理行動
|
|
cn2
|
處理行動結果
|
範例:4
如需詳細資訊,請參閱處理行動結果對應資料表。
|
|
cs2Label
|
cs2 欄位的對應標籤
|
策略
|
|
cs2
|
策略名稱
|
範例:OfficeScan
|
|
cs3Label
|
cs3 欄位的對應標籤
|
產品實體/端點
|
|
cs3
|
端點主機名稱
|
範例:Sample_Host
|
|
dvchost
|
伺服器主機名稱
|
範例:localhost
|
|
deviceFacility
|
產品名稱
|
範例:Apex One
|
|
deviceNtDomain
|
Active Directory 網域
|
範例:APEXTMCM
|
|
dntdom
|
Apex One 網域階層
|
範例:OSCEDomain1
|
|
externalId
|
事件的記錄 ID
|
範例:101
|
|
cfp1Label
|
cfp1Label 欄位的對應標籤
|
ForensicFileAvailable
|
|
cfp1
|
指出是否可以下載鑑識檔案
|
|
|
TMCMLogDetectedHost
|
發生記錄事件的端點名稱
|
範例:MachineHostName
|
|
TMCMLogDetectedIP
|
發生記錄事件的 IP 位址
|
範例:10.1.2.3
|
|
ApexCentralHost
|
Apex Central 主機名稱
|
範例:TW-CHRIS-W2019
|
|
devicePayloadId
|
唯一訊息 GUID
|
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
端點作業系統
|
範例:Windows 7 6.1 (Build 7601) Service Pack 1
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|700106|Data Loss Prevent ion|3|cs3Label=Product_Entity/Endpoint cs3=Sample_Host dvc host=Sampledvchost cs2Label=Policy cs2=N/A cn1Label=Product cn1=15 rt=Oct 13 2017 02:54:04 GMT+00:00 src=10.0.9.34 smac= 34-E6-D7-84-BC-7F shost=shost1 cs4Label=Incident_Source_(AD_ Account) cs4=12467 filePath=D:\\2. DRIVER\\drivers WIN7\\Dri vers\\DP_CardReader_14032.7z\\O2Micro\\FORCED\\6x86\\ fname= O2MDFvst.INF cs5Label=Rule cs5=SAMPLE RULE SET cs6Label=Temp late cs6=Apex One policy cn3Label=Channel cn3=0 cn2Label=Act ion cn2=4 deviceFacility=Apex One deviceNtDomain=APEXTMCM dn tdom=OSCEDomain1 externalId=101 cfp1Label=ForensicFileAvaila ble cfp1=0 dvchost=localhost TMCMLogDetectedHost=ApexOneClie nt01 TMCMLogDetectedIP=10.201.86.187 ApexCentralHost=TW-CHRI S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1