ビュー:
注:

1つのAttack Discoveryによる検出ログに関連するオブジェクトが4つを超える場合、Apex Centralでは最初の4つのオブジェクトのみが転送されます。

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

イベントID

700220

ヘッダ (eventName)

ログ名

Attack Discovery Detections

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "38"

rt

イベントトリガ時刻 (UTC)

例: "Mar 22 2018 08:23:23 GMT+00:00"

dhost

エンドポイントのホスト名

例: "ApexOneClient01"

dst

クライアントのIPv4アドレス

例: "10.0.8.20"

C6a3

クライアントのIPv6アドレス

例: "fd96:7521:9502:6:b5b0:b2b5:4173:3f5d"

duser

ユーザ名

例: "Admin004"

customerExternalID

インスタンスID

例: "8c1e2d8f-a03b-47ea-aef8-5aeab99ea697"

cn1Label

「cn1」フィールドに対応するラベル

"SLF_RiskLevel"

cn1

リスクレベル

例: "0"

  • 0: 不明

  • 100: リスク低

  • 500: リスク中

  • 1000: リスク高

cn2Label

「cn2」フィールドに対応するラベル

"SLF_PatternNumber"

cn2

パターンファイル番号

例: "30.1012.00"

cs1Label

「cs1」フィールドに対応するラベル

"SLF_RuleID"

cs1

ルールID

例: "powershell invoke expression"

cat

カテゴリID

例: "point of entry"

cs2Label

「cs2」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_1"

cs2

Attack Discoveryのオブジェクト情報

例: 

process - powershell.exe - { "META_FILE_MD5" :    "9393f60b1739074eb17c5f4ddd    efe239", "META_FILE_NAME" :    "powershell.exe", "META_FILE_SHA1" :    "887ce4a295c163791b60fc23d2    85e6d84f28ee4c", "META_FILE_SHA2" :    "de96a6e50044335375dc1ac238    336066889d9ffc7d73628ef4fe    1b1b160ab32c", "META_PATH" :     "c:\\windows\\system32\\wi     ndowspowershell\\v1.0\\", "META_PROCESS_CMD" :   [ "powershell  cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" :     "microsoft windows", "META_SIGNER_VALIDATION" :     true, "META_USER_USER_NAME" :     "Administrator", "META_USER_USER_SERVERNAME" :     "Host", "OID" : 1}

cs3Label

「cs3」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_2"

cs3

Attack Discoveryのオブジェクト情報

例: 

process - powershell.exe - { "META_FILE_MD5" :    "9393f60b1739074eb17c5f4ddd    efe239", "META_FILE_NAME" :    "powershell.exe", "META_FILE_SHA1" :    "887ce4a295c163791b60fc23d2    85e6d84f28ee4c", "META_FILE_SHA2" :    "de96a6e50044335375dc1ac238    336066889d9ffc7d73628ef4fe    1b1b160ab32c", "META_PATH" :     "c:\\windows\\system32\\wi     ndowspowershell\\v1.0\\", "META_PROCESS_CMD" :   [ "powershell  cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" :     "microsoft windows", "META_SIGNER_VALIDATION" :     true, "META_USER_USER_NAME" :     "Administrator", "META_USER_USER_SERVERNAME" :     "Host", "OID" : 1}

cs4Label

「cs4」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_3"

cs4

Attack Discoveryのオブジェクト情報

例: 

process - powershell.exe - { "META_FILE_MD5" :    "9393f60b1739074eb17c5f4ddd    efe239", "META_FILE_NAME" :    "powershell.exe", "META_FILE_SHA1" :    "887ce4a295c163791b60fc23d2    85e6d84f28ee4c", "META_FILE_SHA2" :    "de96a6e50044335375dc1ac238    336066889d9ffc7d73628ef4fe    1b1b160ab32c", "META_PATH" :     "c:\\windows\\system32\\wi     ndowspowershell\\v1.0\\", "META_PROCESS_CMD" :   [ "powershell  cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" :     "microsoft windows", "META_SIGNER_VALIDATION" :     true, "META_USER_USER_NAME" :     "Administrator", "META_USER_USER_SERVERNAME" :     "Host", "OID" : 1}

cs5Label

「cs5」フィールドに対応するラベル

"SLF_ADEObjectGroup_Info_4"

cs5

Attack Discoveryのオブジェクト情報

例: 

process - powershell.exe - { "META_FILE_MD5" :    "9393f60b1739074eb17c5f4ddd    efe239", "META_FILE_NAME" :    "powershell.exe", "META_FILE_SHA1" :    "887ce4a295c163791b60fc23d2    85e6d84f28ee4c", "META_FILE_SHA2" :    "de96a6e50044335375dc1ac238    336066889d9ffc7d73628ef4fe    1b1b160ab32c", "META_PATH" :     "c:\\windows\\system32\\wi     ndowspowershell\\v1.0\\", "META_PROCESS_CMD" :   [ "powershell  cmd " ], "META_PROCESS_PID" : 7132, "META_SIGNER" :     "microsoft windows", "META_SIGNER_VALIDATION" :     true, "META_USER_USER_NAME" :     "Administrator", "META_USER_USER_SERVERNAME" :     "Host", "OID" : 1}

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

TMCMdevicePlatform

エンドポイントのOS

例: Windows 7 6.1 (Build 7601) Service Pack 1

ログの例: 

CEF:0|Trend Micro|Apex Central|2019|700211|Attack Discovery Detections|3|deviceExternalId=5 rt=Jan 17 2019 03:38:06 GMT+00:00 dhost=VCAC-Window-331 dst=10.201.86.150 customerExternalID=8c1e2d8f-a03b-47ea-aef8-5aeab99ea697 cn1Label=SLF_RiskLevel cn1=0 cn2Label=SLF_PatternNumber cn2=30.1012.00 cs1Label=SLF_RuleID cs1=powershell invoke expression cat=point of entry cs2Label=SLF_ADEObjectGroup_Info_1 cs2=process - code9.exe - {USER: administrator09} deviceNtDomain=APEXTMCM dntdom=OSCEDomain1 TMCMLogDetectedHost=VCAC-Window-331 TMCMLogDetectedIP=10.201.86.150 ApexCentralHost=TW-CHRIS-W2019devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1
親トピック: Syslogコンテンツマッピング - CEF
Keywords: CEF Attack Discoveryによる検出ログ