|
CEF 索引鍵
|
說明
|
值
|
|
標頭 (logVer)
|
CEF 格式版本
|
CEF:0
|
|
標頭 (vendor)
|
產品供應商
|
Trend Micro
|
|
標頭 (pname)
|
產品名稱
|
Apex Central
|
|
標頭 (pver)
|
產品版本
|
2019
|
|
標頭 (eventid)
|
PML:處理行動結果
|
PML:檔案已清除
|
|
標頭 (eventName)
|
偵測名稱
|
virusa
|
|
標頭 (severity)
|
嚴重性
|
3
|
|
rt
|
事件觸發時間 (UTC)
|
範例:
2018 年 3 月 22 日 08:23:23 GMT+00:00 |
|
dvchost
|
產品伺服器
|
範例:Sample_Host
|
|
cn1Label
|
cn1 欄位的對應標籤
|
ThreatType
|
|
cn1
|
可能的安全威脅類型
|
範例:35143
如需詳細資訊,請參閱安全威脅類型對應資料表。
|
|
cs2Label
|
cs2 欄位的對應標籤
|
DetectionName
|
|
cs2
|
安全威脅
|
範例:Troj.Win32.TRX.XXPE002FF017
|
|
shost
|
中毒端點
|
範例:10.0.0.1
|
|
suser
|
登入使用者
|
範例:TREND\\User
|
|
cn2Label
|
cn2 欄位的對應標籤
|
DetectionType
|
|
cn2
|
偵測類型
|
範例:0
|
|
filePath
|
檔案路徑
|
範例:D:\\
|
|
fname
|
檔案名稱
|
範例:ALCORMP.EXE
|
|
deviceCustomDate1
|
檔案建立時間
|
範例:2017-04-26 05:53:27.000
|
|
sproc
|
系統程序
|
範例:notepad.exe
|
|
cn4Label
|
cn4 欄位的對應標籤
|
ProcessCommandLine
|
|
cs4
|
程序指令
|
範例:notepad.exe
|
|
duser
|
程序擁有者
|
範例:user1
|
|
app
|
感染通道
|
範例:10
|
|
cs3Label
|
cs3 欄位的對應標籤
|
InfectionLocation
|
|
cs3
|
感染來源
|
範例:http://10.0.0.1/
|
|
dst
|
產品/端點 IPv4 位址
|
範例:10.0.17.6
|
|
c6a3Label
|
c6a3 欄位的對應標籤
|
產品/端點 IP
|
|
c6a3
|
產品/端點 IPv6 位址
|
範例:fd66:5168:9882:6:b5b0:b2b5:4173:3f5d
|
|
cn3Label
|
cn3 欄位的對應標籤
|
Confidence
|
|
cn3
|
安全威脅可能性
|
範例:82
|
|
act
|
處理行動結果
|
範例:21
如需詳細資訊,請參閱處理行動對應資料表。
|
|
filehash
|
檔案 SHA-1
|
範例:52c17c785b45ee961f68fb17744276076f383085
|
|
dhost
|
產品實體/端點
|
範例:dhost1
|
|
deviceExternalId
|
記錄序號
|
範例:100
|
|
deviceFacility
|
產品
|
範例:Apex One
|
|
原因
|
嚴重安全威脅類型
|
範例:E
|
|
deviceNtDomain
|
Active Directory 網域
|
範例:APEXTMCM
|
|
dntdom
|
Apex One 網域階層
|
範例:OSCEDomain1
|
|
TMCMLogDetectedHost
|
發生記錄事件的端點名稱
|
範例:MachineHostName
|
|
TMCMLogDetectedIP
|
發生記錄事件的 IP 位址
|
範例:10.1.2.3
|
|
ApexCentralHost
|
Apex Central 主機名稱
|
範例:TW-CHRIS-W2019
|
|
devicePayloadId
|
唯一訊息 GUID
|
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
端點作業系統
|
範例:Windows 7 6.1 (Build 7601) Service Pack 1
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|PML:File cleaned|Detecti on01|3|deviceExternalId=1 rt=Dec 01 2018 16:01:00 GMT+00:00 deviceFacility=15 dvchost=OSCE01 cn1Label=ThreatType cn1=1 c s2Label=DetectionName cs2=Detection01 shost=10.0.0.1 suser=S ample_Domain\\Sample_User cn2Label=DetectionType cn2=0 fileP ath=C:\\test01\\aaa.exe fname=aaa.exe deviceCustomDate1Label =FileCreationDate deviceCustomDate1=Dec 02 2018 00:01:00 GMT +00:00 sproc=notepad.exe cs4Label=ProcessCommandLine cs4=not epad.exe -test duser=admin01 app=1 cs3Label=InfectionLocatio n cs3=https://10.1.1.1 dst=80.1.1.1 cn3Label=Confidence cn3= 81 act=21 fileHash=177750B65A21A9043105FD0820B85B58CF148A01 dhost=OSCEClient11 reason=E deviceNtDomain=APEXTMCM dntdom=O SCEDomain1 TMCMLogDetectedHost=OSCEClient11 TMCMLogDetectedI P=80.1.1.1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C 00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windo ws 7 6.1 (Build 7601) Service Pack 1