CEF 偵測日誌
|
CEF 索引鍵
|
說明
|
值
|
|
標頭 (logVer)
|
CEF 格式版本
|
CEF: 0
|
|
標頭 (vendor)
|
裝置供應商
|
趨勢科技
|
|
標頭 (pname)
|
裝置產品
|
TMES
|
|
標頭 (pver)
|
裝置版本
|
範例:1.0.0.0
|
|
標頭 (eventid)
|
簽章 ID
|
100101
|
|
標頭 (eventName)
|
說明
|
偵測
|
|
標頭 (severity)
|
電子郵件嚴重性
|
6
|
|
rt
|
記錄檔產生時間
|
範例: 2019-12-10T08:26:46.728Z
|
|
cs1Label
|
事件類型
|
事件類型
|
|
cs1
|
事件類型
|
範例:勒索軟體
|
|
cs2Label
|
網域名稱
|
網域名稱
|
|
cs2
|
網域名稱
|
範例: example1.com
|
|
suser
|
電子郵件寄件者
|
範例:user1@example1.com
|
|
duser
|
電子郵件收件人
|
範例:user2@example2.com
|
|
cs3Label
|
電子郵件訊息方向
|
方向
|
|
cs3
|
電子郵件訊息方向
|
|
|
cs4Label
|
唯一訊息識別碼
|
messageId
|
|
cs4
|
唯一訊息識別碼
|
範例: 201605181642138223747@trend.com
|
|
msg
|
電子郵件主旨
|
範例:你好
|
|
cn1Label
|
電子郵件訊息大小
|
訊息大小
|
|
cn1
|
電子郵件訊息大小
|
範例:1809
|
|
cs5Label
|
違規事件分析
|
policyName
|
|
cs5
|
違規事件分析
|
範例: 垃圾郵件
|
|
cs6Label
|
違規活動詳情
|
詳細資料
|
|
cs6
|
違規活動詳情
|
範例:
{"threatNames":"Troj", "fileInfo":[{"fileName":"file1","fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]} |
|
act
|
事件發生時的行動
|
|
記錄檔範例:
CEF:0|Trend Micro|TMES|1.0.0.0|100101|DETECTION|6|rt=2019-12-10T08:26:46.728Z
cs1Label=eventType cs1=virus cs2Label=domainName cs2=example1.com
suser=user1@example1.com duser=user2@example2.com cs3Label=direction
cs3=incoming cs4Label=messageId cs4=201605181642138223747@trend.com
msg=test sample cn1Label=messageSize cn1=1809 cs5Label=policyName
cs5=Test Rule act=Quarantine cs6Label=details cs6={"threatNames":"Troj",
"fileInfo":[{"fileName":"file1",
"fileSha256":"abcd1234dae60bcae54516be6c9953b4bb9644e188606ceac00feebf95bbf10e",
"threatName":"Troj"}]}