|
CEFキー |
説明 |
値 |
|---|---|---|
|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
|
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
|
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
|
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
|
ヘッダ (eventid) |
AV: 処理 |
AV:File renamed |
|
ヘッダ (eventName) |
ウイルス/不正コード名 |
JS_EXPLOIT.SMDN |
|
ヘッダ (severity) |
重大度 |
3 |
|
cnt |
検出数 |
例: "10" |
|
dhost |
エンドポイント |
例: "ApexOneClient01" |
|
duser |
ユーザ |
例: "Admin004" |
|
act |
処理 |
例: "File renamed" 詳細については、 処理マッピングテーブル を参照してください。 |
|
rt |
イベントトリガ時刻 (UTC) |
例: "Mar 22 2018 08:23:23 GMT+00:00" |
|
cn1Label |
"cn1" フィールドに対応するラベル |
例: "VLF_PatternNumber" |
|
cn1 |
パターンファイル/ルールのバージョン |
例: "920500" |
|
cn2Label |
"cn2" フィールドに対応するラベル |
例: "VLF_SecondAction" |
|
cn2 |
2次処理 |
例: "3" 詳細については、 2次処理マッピングテーブル を参照してください。 |
|
cs1Label |
"cs1" フィールドに対応するラベル |
例: "VLF_FunctionCode" |
|
cs1 |
検索の種類 |
例: "12"
|
|
cs2Label |
"cs2" フィールドに対応するラベル |
例: "VLF_EngineVersion" |
|
cs2 |
検索エンジンバージョン |
例: "9.500.1005" |
|
cs3Label |
"cs3" フィールドに対応するラベル |
例: "CLF_ProductVersion" |
|
cs3 |
製品バージョン |
例: "11" |
|
cs4Label |
"cs4" フィールドに対応するラベル |
例: "CLF_ReasonCode" |
|
cs4 |
理由コード |
例: "virus log" |
|
cs5Label |
"cs5" フィールドに対応するラベル |
例: "VLF_FirstActionResult" |
|
cs5 |
1次処理結果 |
例: "Unable to clean file" 詳細については、 処理マッピングテーブル を参照してください。 |
|
cs6Label |
"cs6" フィールドに対応するラベル |
例: "Second Action Result" |
|
cs6 |
2次処理結果 |
例: "Unable to clean file.Passed" 詳細については、 処理マッピングテーブル を参照してください。 |
|
cat |
ログの種類 |
例: "1703" |
|
dvchost |
製品サーバ名 |
例: "ApexOneServer01" |
|
cn3Label |
"cn3" フィールドに対応するラベル |
例: "Overall_Risk_Rating" |
|
cn3 |
重大度コード |
例: "0"
|
|
deviceExternalId |
ID |
例: "3" |
|
fname |
ファイル |
例: "FakeMalwareRebootDel.exe" |
|
filePath |
ファイルパス |
例: "C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\Rar$DR01.046\\" |
|
msg |
圧縮ファイル内のファイル |
例: "BMAC Schedule of Events.xls" |
|
shost |
配信元ホスト、UNC、メールアドレス
注:
このキーはシステムのログに含まれない場合があります。 |
例: "xxx@test.com" |
|
dst |
エンドポイントのIPv4アドレス |
例: "50.8.1.1" |
|
c6a3Label |
"c6a3" フィールドに対応するラベル |
例: "SLP_DestinationIP" |
|
c6a3 |
エンドポイントのIPv6アドレス |
例: "fe80::38ca:cd15:443c:40bb%11" |
|
fileHash |
ファイルSHA-1 |
例: "D6712CAE5EC821F910E14945153AE7871AA536CA" |
|
deviceFacility |
製品 |
例: "Apex One" |
|
reason |
重大な脅威の種類 |
例: "E"
|
|
deviceNtDomain |
Active Directoryドメイン |
例: APEXTMCM |
|
dntdom |
Apex Oneドメイン階層 |
例: OSCEDomain1 |
|
TMCMLogDetectedHost |
ログイベントが発生したエンドポイント名 |
例: MachineHostName |
|
TMCMLogDetectedIP |
ログイベントが発生したIPアドレス |
例: 10.1.2.3 |
|
ApexCentralHost |
Apex Centralホスト名 |
例: TW-CHRIS-W2019 |
|
devicePayloadId |
一意のメッセージGUID |
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697 |
|
TMCMdevicePlatform |
エンドポイントのOS |
例: Windows 7 6.1 (Build 7601) Service Pack 1 |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|AV:File renamed|JS_EXPLOIT.SMDN|3|deviceExternalId=104 rt=Feb 18 2016 14:34:00 GMT+00:00 cnt=1 dhost=ApexOneClient01 duser=Admin004 act=File renamed cn1Label=VLF_PatternNumber cn1=920500 cn2Label=VLF_SecondAction cn2=3 cs1Label=VLF_FunctionCode cs1=Manual Scan cs2Label=VLF_EngineVersion cs2=9.500.1005 cs3Label=CLF_ProductVersion cs3=10.6 cs4Label=CLF_ReasonCode cs4=virus log cs5Label=VLF_FirstActionResult cs5=File renamed cs6Label=VLF_SecondActionResult cs6=N/A cat=1703 dvchost=ApexOneServer01 cn3Label=CLF_ServerityCode cn3=2 fname=0348C693056617D34FC5B5BAB4643885FEE5FEDF;0xD5D56AC2 filePath=C:\\Users\\Administrator\\Desktop\\trend_test_virus\\Trojans\\ msg=BMAC Schedule of Events.xls shost=xxx@test.com dst=10.201.129.24 devic eFacility=Apex One reason=B deviceNtDomain=APEXTMCM dntdom=O SCEDomain1 ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1