Common Event Format (CEF) とLog Event Extended Format (LEEF) のログメッセージ形式は少し異なります。例えば、UIの[Source User]列はCEFではsuserフィールドに対応しますが、LEEFでは同じフィールドがusrNameと名付けられています。ログメッセージフィールドは、イベントがエージェントまたはWorkload Securityで発生したか、どの機能がログメッセージを作成したかによっても異なります。
syslogメッセージが切り捨てられている場合、ユーザデータグラムプロトコル (UDP) を使用していることが原因かもしれません。切り捨てを防ぐには、syslogメッセージをトランスポート層セキュリティ (TLS) で転送してください。TLSへの切り替え手順については、syslog構成の定義を参照してください。
不正プログラム対策, Webレピュテーション, 変更監視および アプリケーションコントロール 保護モジュールでは、基本的なSyslog形式はサポートされていません。
syslogメッセージがWorkload Securityから送信される場合、いくつかの違いがあります。元のエージェントホスト名 (イベントの発生元) を保持するために、新しい拡張子dvcまたはdvchostが存在します。ホスト名がIPv4アドレスの場合はdvcが使用されます。ホスト名およびIPv6アドレスの場合はdvchostが使用されます。さらに、イベントがタグ付けされている場合は拡張子TrendMicroDsTagsが使用されます。これは、イベントがWorkload Securityによって収集されるときにのみsyslog経由で転送されるため、実行時の自動タグ付けにのみ適用されることに注意してください。Workload Securityを通じて中継されたログの製品は依然としてDeep Security Agentと表示されますが、製品バージョンはWorkload Securityのバージョンです。

CEFのsyslogメッセージの形式

すべてのCEFイベントには、イベントの発生元となった元のエージェントを特定するために、dvc=IPv4 Address または dvchost=Hostname(またはIPv6アドレス) が含まれます。この拡張機能は、Workload Securityから送信されたイベントにとって重要です。この場合、メッセージのsyslog送信者はイベントの発信者ではありません。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
ログエントリが Workload Security とエージェントのどちらからのものかを判断するには、[デバイス製品]フィールドを確認します。
[LEEFログエントリのサンプル:] Jan 18 11:07:53 dsmhost CEF:0|Trend Micro|Workload Security Manager|<Workload Security version>|600|Administrator Signed In|4|suser=Master...
イベントをトリガしたルールの種類を判断するには、「署名ID (Signature ID)」フィールドと「名前 (Name)」フィールドを確認します。
[ログエントリのサンプル:] Mar 19 15:19:15 root CEF:0|Trend Micro|Deep Security Agent|<Agent_Version>|123|Out Of Allowed Policy|5|cn1=1...
次の「署名ID (Signature ID)」の値は、トリガされたイベントの種類を示します。
署名ID
説明
10
カスタム 侵入防御 (IPS)ルール
20
ログのみの ファイアウォール ルール
21
拒否するファイアウォールルール
30
カスタム 変更監視 ルール
40
カスタム セキュリティログ監視 ルール
100-7499
システムイベント
100-199
ポリシー ファイアウォール ルールと ファイアウォール ステートフル設定
200-299
IPSの内部エラー
300-399
SSL/TLSイベント
500-899
IPSの正規化
1,000,000-1,999,999
トレンドマイクロIPSルール。署名IDは、IPSルールIDと同一です。
2,000,000-2,999,999
変更監視 ルール。署名IDは、 変更監視 ルールID + 1,000,000です。
3,000,000-3,999,999
セキュリティログ監視 ルール。署名IDは、 セキュリティログ監視 ルールID + 2,000,000です。
4,000,000-4,999,999
不正プログラム対策 イベント。現在は、以下の署名IDのみが使用されています。
  • 4,000,000 - 不正プログラム対策 - リアルタイム検索
  • 4,000,001 - 不正プログラム対策 - 手動検索
  • 4,000,002 - 不正プログラム対策 - 予約検索
  • 4,000,003 - 不正プログラム対策 - クイック検索
  • 4,000,010 - スパイウェア対策 - リアルタイム検索
  • 4,000,011 - スパイウェア対策 - 手動検索
  • 4,000,012 - スパイウェア対策 - 予約検索
  • 4,000,013 - スパイウェア対策 - クイック検索
  • 4,000,020 - 不審アクティビティ - リアルタイム検索
  • 4,000,030 - 不正変更 - リアルタイム検索
5,000,000-5,999,999
Webレピュテーション イベント。現在は、以下の署名IDのみが使用されています。
  • 5,000,000 - Webレピュテーション - ブロック済み
  • 5,000,001 - Webレピュテーション - 検出のみ
6,000,000-6,999,999
アプリケーションコントロール イベント。現在は、以下の署名IDのみが使用されています。
  • 6,001,100 - アプリケーションコントロール - ブロックリスト内の検出のみ
  • 6,001,200 - アプリケーションコントロール - 検出のみ、許可リストにない
  • 6,002,100 - アプリケーションコントロール - ブロックリスト内
  • 6,002,200 - アプリケーションコントロール - ブロック済み、許可リストに含まれていません
7,000,000-7,999,999
デバイスコントロールイベント。現在は、以下の署名IDのみが使用されています。
  • 7,000,000-デバイスコントロール-不明なデバイスへのアクセスがブロックされました
  • 7,000,200-デバイスコントロール-不明なデバイスの書き込みがブロックされました
  • 7,001,000-デバイスコントロール-USBデバイスへのアクセスがブロックされました
  • 7,001,200-デバイスコントロール-USBデバイスの書き込みがブロックされました
  • 7,002,000-デバイスコントロール-モバイルデバイスへのアクセスがブロックされました
  • 7,002,200-デバイスコントロール-モバイルデバイスの書き込みがブロックされました
次のイベントログの形式の表に示すすべてのCEF拡張が必ずしも各ログエントリに含まれているわけではありません。また、CEF拡張の順序が常に同じであるとは限りません。正規表現を使用してエントリを解析する場合は、表にある各キーと値のペアがあることを前提としたり、またはその順序に依存したりしないようにしてください。 {: .note }
Syslogメッセージは、Syslogプロトコル仕様によって最大64KBに制限されています。長いメッセージの場合は、データが切り捨てられることがあります。Basic Syslog形式は、最大1KBに制限されています。 {: .note }

LEEF 2.0のsyslogメッセージの形式

[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEF 2.0ログエントリのサンプル (Workload Securityシステムイベントログのサンプル):] LEEF:2.0|Trend Micro|Workload Security Manager|<Agent version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPUWarning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary

システムイベントログの形式

システムイベントはWorkload Securityから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Workload Security Manager|<Workload Security version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from 2001:db8::5
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEF 2.0ログエントリのサンプル:] LEEF:2.0|Trend Micro|Workload Security Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning TrendMicroDsTenant=Primary
LEEF形式では、重要度を示すsevという予約キーと、名前を示すnameという予約キーが使用されます。
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
src
src
Source IP Address
Workload SecurityのIPアドレス。
src=10.52.116.23
suser
usrName
Source User
Workload Security管理者のアカウント
suser=MasterAdmin
target
target
Target Entity
イベントの件名。Workload Securityにログインしている管理者アカウント、またはコンピュータを指定できます。
target=MasterAdmin target=server01
targetID
targetID
Target Entity ID
Workload Securityで追加された識別子です。
targetID=1
targetType
targetType
Target Entity Type
イベントの対象のエンティティの種類。
targetType=Host
msg
msg
詳細
システムイベントの詳細。イベントの詳細な説明が含まれる場合があります。
msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1 msg=A Scan for Recommendations on computer (localhost) has completed...
TrendMicroDsProcessImagePath
TrendMicroDsProcessImagePath
Process Image Path
不正プログラム対策イベントの検出を生成するプロセスのフルパスです。
Windowsではこの情報はサポートされません。
TrendMicroDsProcessImagePath=/usr/bin/bash
TrendMicroDsProcessPid
TrendMicroDsProcessPid
Process PID
不正プログラム対策イベントの検出を生成するプロセスのPIDです。
Windowsではこの情報はサポートされません。
TrendMicroDsProcessPid=4422
TrendMicroDsTags
TrendMicroDsTags
Event Tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant Name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
TrendMicroDsReasonId
TrendMicroDsReasonId
イベント理由ID
イベントの説明の理由IDを示します。各イベントには独自の理由ID定義があります。
TrendMicroDsReasonId = 1
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=3
なし
Windows、Linux
カテゴリ
イベントのカテゴリ
cat=System
なし
name
名前
イベント名
name=Alert Ended
なし
desc
説明
イベントの説明
desc:Alert: CPUの警告しきい値の超過

不正プログラム対策 イベントフォーマット

不正プログラム対策イベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size cs6=ContainerImageName | ContainerName | ContainerID cs6Label=Container filePath=C:\Users\trend\Desktop\eicar.exe act=Delete result=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF: 2.0|Trend Micro|Deep Security Agent|<Agent version>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011 TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=1
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
cn2
cn2
File Size
隔離ファイルのサイズ。この拡張機能は、エージェントからの直接転送が選択された場合にのみ含まれます。
cn2=100
cn2Label
cn2Label
File Size
フィールドcn2の名前ラベル。
cn2Label=Quarantine File Size
cs3
cs3
Infected Resource
スパイウェアアイテムのパス。このフィールドはスパイウェア検出イベント専用です。
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
cs3Label
cs3Label
Infected Resource
フィールドcs3の名前ラベル。このフィールドはスパイウェア検出イベント専用です。
cs3Label=Infected Resource
cs4
cs4
Resource Type
Resource Typeの値:
10=ファイルとディレクトリ
11=システムレジストリ
12=インターネットCookie
13=インターネットURLショートカット
14=メモリ内のプログラム
15=プログラム起動領域
16=ブラウザヘルパーオブジェクト
17=レイヤードサービスプロバイダ
18=hostsファイル
19=Windowsポリシー設定
20=ブラウザ
23=Windowsシェル設定
24=IEでダウンロードしたプログラムファイル
25=プログラムの追加/削除
26=サービス
その他=その他
たとえば、システムの再起動後もスパイウェアファイルを存続させるためにレジストリ実行キーを作成するspy.exeという名前のスパイウェアファイルがある場合、スパイウェアのレポートには次の2つのアイテムが含まれます。spy.exeのアイテムはcs4=10 (ファイルとディレクトリ)、実行キーのアイテムはcs4=11 (システムレジストリ) となります。
このフィールドはスパイウェア検出イベント専用です。
cs4=10
cs4Label
cd4Label
Resource Type
フィールドcs4の名前ラベル。このフィールドはスパイウェア検出イベント専用です。
cs4Label=Resource Type
cs5
cs5
リスクレベル
リスクレベルの値:
0=超低
25=低
50=中
75=高
100=超高
このフィールドはスパイウェア検出イベント専用です。
cs5=25
cs5Label
cs5Label
リスクレベル
フィールドcs5の名前ラベル。このフィールドはスパイウェア検出イベント専用です。
cs5Label=Risk Level
cs6
cs6
Container
不正プログラムが検出されたDockerコンテナのイメージ名、コンテナ名、コンテナID。
cs6=ContainerImageName | ContainerName | ContainerID
cs6Label
cs6Label
Container
フィールドcs6の名前ラベル。
cs6Label=Container
filePath
filePath
File Path
不正プログラムファイルの場所。
filePath=C:\\Users\\Mei\\Desktop\\virus.exe
act
act
処理
不正プログラム対策エンジンによって実行されたアクション。
可能な値は、アクセス拒否、隔離、削除、許可、クリーン、終了、および未指定です。
act=Clean act=Pass
結果
結果
結果
失敗した 不正プログラム対策 処理の結果
result=合格
result=削除済み
result=隔離済み
result=クリーン済み
result=アクセス拒否
result=終了
result=ログ
result=失敗
結果=合格 不合格
result=削除に失敗しました
result=隔離に失敗しました
結果=クリーン失敗
result=終了に失敗しました
result=ログ失敗
result=検索失敗
result=合格 (検索失敗)
result=隔離済み (検索失敗)
result=隔離に失敗しました (検索に失敗しました)
result=アクセス拒否 (検索失敗)
msg
msg
メッセージ
検索の種類。
可能な値は、Realtime、Scheduled、Manualです。
リアルタイム
スケジュール済み
dvc
dvc
Device address
cn1のIPv4アドレス。
送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。
dvchost=www.example.com
dvchost=fe80::f018:a3c6:20f9:afa6%5
TrendMicroDsBehaviorRuleID
TrendMicroDsBehaviorRuleID
挙動監視ルールID
内部不正プログラムのケース追跡の挙動監視ルールIDです。
BehaviorRuleID = CS913
TrendMicroDsBehaviorType
TrendMicroDsBehaviorType
挙動監視の種類
検出された挙動監視イベントの種類。
BehaviorType =脅威の検出
TrendMicroDsTags
TrendMicroDsTags
Events tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
TrendMicroDsMalwareTargetCount
TrendMicroDsMalwareTargetCount
ターゲット数
ターゲットファイルの数。
TrendMicroDsMalwareTargetCount = 3
TrendMicroDsMalwareTarget
TrendMicroDsMalwareTarget
Target(s)
不正プログラムが影響を与えようとしていたファイル、プロセス、またはレジストリキー (該当する場合)。不正プログラムが複数に影響を与えようとしていた場合、このフィールドには複数と表示されます。
このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。
TrendMicroDsMalwareTarget=N/A
TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
TrendMicroDsMalwareTarget=複数
TrendMicroDsMalwareTargetType
TrendMicroDsMalwareTargetType
Target Type
この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。
このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。
TrendMicroDsMalwareTargetType=N/A
TrendMicroDsMalwareTargetType=エクスプロイト
TrendMicroDsMalwareTargetType=ファイルシステム
TrendMicroDsMalwareTargetType=プロセス
TrendMicroDsMalwareTargetType=レジストリ
TrendMicroDsProcess
TrendMicroDsProcess
プロセス
プロセス名
TrendMicroDsProcess = abc.exe
TrendMicroDsFileMD5
TrendMicroDsFileMD5
File MD5
ファイルのMD5ハッシュ。
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
TrendMicroDsFileSHA1
TrendMicroDsFileSHA1
File SHA1
ファイルのSHA1ハッシュ。
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
TrendMicroDsFileSHA256
TrendMicroDsFileSHA256
File SHA256
ファイルのSHA256ハッシュ。
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence
TrendMicroDsDetectionConfidence
Threat Probability
ファイルが不正プログラムモデルと一致する割合 (%表示) を示します。
TrendMicroDsDetectionConfidence=95
TrendMicroDsRelevantDetectionNames
TrendMicroDsRelevantDetectionNames
Probable Threat Type
機械学習型検索が分析を他の既知の脅威 (セミコロン「;」で区切る) と比較した後にファイルに含まれる脅威の最も可能性の高い種類を示します。
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=6
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Anti-Malware
なし
name
名前
イベント名
name=SPYWARE_KEYL_ACTIVE
なし
desc
説明
イベントの説明。不正プログラム対策 では、イベント名が説明として使用されます。
desc=SPYWARE_KEYL_ACTIVE
TrendMicroDsCommandLine
TrendMicroDsCommandLine
コマンドライン
対象プロセスが実行するコマンド
TrendMicroDsCommandLine = / tmp / orca-testkit-sample / testsys_m64 -u 1000 -g 1000 -U 1000 -G 1000 -e cve_2017_16995 1 -d 4000000
TrendMicroDsCve
TrendMicroDsCve
CVE
CVE情報(プロセスの動作がCommon Vulnerabilities and Exposuresのいずれかで特定されている場合)
TrendMicroDsCve = CVE-2016-5195、CVE-2016-5195、CVE-2016-5195
TrendMicroDsMitre
TrendMicroDsMitre
MITRE
MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。
TrendMicroDsMitre = T1068、T1068、T1068
suser
suser
ユーザ名
このイベントをトリガしたユーザアカウント名
suser=root

アプリケーションコントロール イベント形式

アプリケーションコントロールイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[Example CEF Log Entry:] CEF: 0|トレンドマイクロ|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202 cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|トレンドマイクロ|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=2
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
cs1
cs1
理由
アプリケーションコントロールが指定されたアクションを実行した理由、例えばnotWhitelisted (ソフトウェアに一致するルールがなく、アプリケーションコントロールが未認識のソフトウェアをブロックするように設定されていた)。
cs1=notWhitelisted
cs1Label
cs1Label
フィールドcs1の名前ラベル。
cs1Label=actionReason
cs2
cs2
ファイルのSHA-1ハッシュ (計算済みの場合)。
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
cs2Label
cs2Label
フィールドcs2の名前ラベル。
cs2Label=sha1
cs3
cs3
ファイルのMD5ハッシュ (計算済みの場合)。
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
cs3Label
cs3Label
フィールドcs3の名前ラベル。
cs3Label=md5
act
act
処理
アプリケーションコントロールエンジンによって実行されたアクション。
可能な値は、Blocked、Allowedです。
act=blocked
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.1.10
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
suid
suid
ユーザID
ユーザ名のアカウントIDnumber。
suid=0
suser
suser
ユーザ名
保護対象コンピュータにソフトウェアをインストールしたユーザアカウントの名前。
suser=root
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント名。
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID番号。
TrendMicroDsTenantId=0
fileHash
fileHash
File hash
ソフトウェアファイルを識別するSHA 256ハッシュ。
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
filePath
filePath
File Path
不正プログラムファイルの場所。
filePath=/bin/my.jar
fsize
fsize
File Size
バイト単位のファイルサイズ。
fsize=16
aggregationType
aggregationType
Aggregation Type
イベントの集約方法を示す整数:
  • 0: イベントが集約されません。
  • 1: イベントが、ファイル名、パス、イベントの種類に応じて集約されます。
  • 2: イベントがイベントの種類に応じて集計されます。
詳細については、アプリケーションコントロールイベントログの表示を参照してください。
aggregationType=2
repeatCount
repeatCount
繰り返しカウント
イベントの発生回数。非集約イベントの値には1を指定します。集約イベントの値は2以上です。
repeatCount=4
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=6
なし
Windows、Linux
カテゴリ
カテゴリ
cat=AppControl
なし
name
名前
イベント名
name=blocked
なし
desc
説明
イベントの説明。アプリケーションコントロール では、アクションを説明として使用します。
desc=blocked

ファイアウォールイベントログの形式

ファイアウォールイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|21|cat=Firewall name=Remote Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP srcPort=23 dstPort=445 cnt=1 TrendMicroDsPacketData=AFB...
[Sample TendMicroDsScannerIp Log Entry:] CEF Field : (wait check), LEEF Field: TrendMicroDsScannerIp, Name: Scanner IP, Description: Scanner IP Address, Example: TrendMicroDsScannerIp=192.168.33.1
[TrendMicroDsTargetPortList Log Entry:] CEF Field : (wait check), LEEF Field: TrendMicroDsTargetPortList, Name: Target Port List, Description: Scanned Port List, Example: TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
act
act
処理
act=ログ
act=Deny
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=113
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
cnt
cnt
繰り返しカウント
このイベントが連続して繰り返された回数。
cnt=8
cs2
cs2
TCP Flags
cs2=0x10 ACK
cs2=0x14 ACK RST
cs2Label
cs2Label
TCP Flags
フィールドcs2の名前ラベル。
cs2Label=TCP Flags
cs3
cs3
Packet Fragmentation Information
cs3=DF
cs3=MF
cs3=DF MF
cs3Label
cs3Label
Fragmentation Bits
フィールドcs3の名前ラベル。
cs3Label=Fragmentation Bits
cs4
cs4
ICMP Type and Code
ICMPプロトコルのみの場合。
ICMPタイプとコード、スペースで区切られています。
cs4=11 0
cs4=8 0
cs4Label
cs4Label
ICMP
フィールドcs4の名前ラベル。
cs4Label=ICMP Type and Code
dmac
dstMAC
Destination MAC Address
送信先コンピュータのネットワークインタフェースのMACアドレス。
dmac= 00:0C:29:2F:09:B3
dpt
dstPort
送信先ポート
TCPおよびUDPプロトコルのみ。
宛先コンピュータの接続またはセッションのポート番号。
dpt=80
dpt=135
dst
dst
Destination IP Address
送信先コンピュータのIPアドレス。
dst=192.168.1.102
dst=10.30.128.2
in
in
Inbound Bytes Read
着信接続のみ。
受信バイト数の読み取り。
in=137
in=21
out
out
Outbound Bytes Read
送信接続のみの場合。
送信バイト数の読み取り。
out=216
out=13
proto
proto
Transport protocol
使用するトランスポートプロトコルの名前。
proto=tcp
proto=udp
proto=icmp
smac
srcMAC
Source MAC Address
送信元コンピュータのネットワークインタフェースのMACアドレス。
smac= 00:0E:04:2C:02:B3
spt
srcPort
送信元ポート
TCPおよびUDPプロトコルのみ。
ソースコンピュータの接続またはセッションのポート番号。
spt=1032
spt=443
src
src
Source IP Address
このイベントにおけるパケットの送信元IPアドレス。
src=192.168.1.105
src=10.10.251.231
TrendMicroDsFrameType
TrendMicroDsFrameType
Ethernet frame type
接続のイーサネットフレームの種類。
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
TrendMicroDsPacketData
TrendMicroDsPacketData
Packet data
Base64で表されるパケットデータ。
TrendMicroDsPacketData = AFB ...
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=exch01.example.com
dvchost=2001:db8::5
TrendMicroDsTags
TrendMicroDsTags
Event Tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant Name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=5
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Firewall
なし
name
名前
イベント名
name=Remote Domain Enforcement (Split Tunnel)
なし
desc
説明
イベントの説明。ファイアウォールイベントでは、イベント名が説明として使用されます。
desc=Remote Domain Enforcement (Split Tunnel)
TrendMicroDsScannerIp
TrendMicroDsScannerIp
Scanner IP
Scanner IPアドレス
TrendMicroDsScannerIp=192.168.33.1
TrendMicroDsTargetPortList
TrendMicroDsTargetPortList
対象ポートリスト
検索されたポートリスト
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
TrendMicroDsUserName
TrendMicroDsUserName
ユーザ名
パケット内で検出されたユーザ名
TrendMicroDsUserName=root

変更監視 ログイベント形式

変更監視ログイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\windows\message.dll suser=admin sproc=C:\Windows\System32\notepad.exe msg=lastModified,sha1,size
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated suser=admin sproc=C:\Windows\System32\notepad.exe
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
act
act
処理
変更監視ルールによって検出される処理。値は、created、updated、deleted、またはrenamedのいずれかです。
act=created
act=削除済み
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=113
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
filePath
filePath
Target Entity
整合性ルールの対象エンティティ。ファイルまたはディレクトリパス、レジストリキーなどを含む場合があります。
filePath=C:\WINDOWS\system32\drivers\etc\hosts
suser
suser
Source User
監視対象のファイルを変更したユーザーのアカウント。
suser=WIN-038M7CQDHIN \ Administrator
sproc
sproc
ソースプロセス
イベントのソースプロセスの名前。
sproc = C:\\Windows\\System32\\notepad.exe
msg
msg
Attribute changes
名前変更アクションのみ。
変更された属性名のリスト。マネージャ経由のリレーが選択されている場合、すべてのイベントアクションタイプに完全な説明が含まれます。
msg=lastModified,sha1,size
oldfilePath
oldfilePath
Old target entity
名前変更アクションのみ。
前の整合性ルールは、以前のターゲットエンティティから新しいターゲットエンティティへの名前変更アクションをキャプチャするために、filePathフィールドに記録されます。
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTags
TrendMicroDsTags
Events tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=8
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Integrity Monitor
なし
name
名前
イベント名
name=Microsoft Windows - System file modified
なし
desc
説明
イベントの説明。変更監視 では、イベント名が説明として使用されます。
desc=Microsoft Windows - System file modified

侵入防御 イベントログの形式

IPSイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|1000940|cat=Intrusion Prevention name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41 srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128 out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI Flags TrendMicroDsPacketData=R0VUIC9zP3...
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
act
act
処理
Deep Securityバージョン7.5 SP1以前に作成されたIPSルールは、追加で挿入、置換、削除のアクションを実行することができました。これらのアクションはもう実行されません。これらのアクションを試みる古いIPSルールがトリガーされた場合、イベントはそのルールが検出のみモードで適用されたことを示します。
act=Block
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=113
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
cn3
cn3
Intrusion Prevention Packet Position
イベントをトリガしたデータのパケット内の位置。
cn3=37
cn3Label
cn3Label
Intrusion Prevention Packet Position
フィールドcn3の名前ラベル。
cn3Label=Intrusion Prevention Packet Position
cnt
cnt
繰り返しカウント
このイベントが連続して繰り返された回数。
cnt=8
cs1
cs1
Intrusion Prevention Filter Note
オプション。
ペイロードファイルに関連付けられた短いバイナリまたはテキストのメモを含むことができるメモフィールド。メモフィールドの値がすべて印刷可能なASCII文字の場合、スペースがアンダースコアに変換されてテキストとして記録されます。バイナリデータを含む場合、Base-64エンコーディングを使用して記録されます。
cs1=Drop_data
cs1Label
cs1Label
Intrusion Prevention Note
フィールドcs1の名前ラベル。
cs1Label=Intrusion Prevention Note
cs2
cs2
TCP Flags
TCPプロトコルのみの場合。
TCPヘッダーが設定されている場合、生のTCPフラグバイトに続いてURG、ACK、PSH、RST、SYN、FINフィールドが存在する可能性があります。
cs2=0x10 ACK
cs2=0x14 ACK RST
cs2Label
cs2Label
TCP Flags
フィールドcs2の名前ラベル。
cs2Label=TCP Flags
cs3
cs3
Packet Fragmentation Information
cs3=DF
cs3=MF
cs3=DF MF
cs3Label
cs3Label
Fragmentation Bits
フィールドcs3の名前ラベル。
cs3Label=Fragmentation Bits
cs4
cs4
ICMP Type and Code
ICMPプロトコルのみの場合。
ICMPタイプとコードは、それぞれの順序でスペースで区切られて保存されます。
cs4=11 0
cs4=8 0
cs4Label
cs4Label
ICMP
フィールドcs4の名前ラベル。
cs4Label=ICMP Type and Code
cs5
cs5
Intrusion Prevention Stream Position
イベントをトリガしたデータのストリーム内の位置。
cs5=128
cs5=20
cs5Label
cs5Label
Intrusion Prevention Stream Position
フィールドcs5の名前ラベル。
cs5Label=Intrusion Prevention Stream Position
cs6
cs6
Intrusion Prevention Filter Flags
フラグ値の合計を含む結合値:
1 - データが切り捨てられました - データを記録できませんでした。
2 - ログオーバーフロー - このログの後にログがオーバーフローしました。
4 - 抑制済み - このログの後にログの閾値が抑制されました。
8 - データあり - パケットデータを含む。
16 - レファレンスデータ - 以前に記録されたデータを参照します。
次の例は、1 (データが切り捨てられた) と8 (データがある) の合計の組み合わせです。
cs6=9
cs6Label
cs6Label
Intrusion Prevention Flags
フィールドcs6の名前ラベル。
cs6=Intrusion Prevention Filter Flags
cs7
cs7
Flow
仮想アプライアンスで保護されている仮想マシンで発生したイベントのうち、ゲスト内にAgentが存在しない場合は、 Agentからのイベントとして識別されます。
フロー値:
FWD=Connection Flow
REV=Reverse Flow
cs7=FWD
cs7Label
cs7Label
Flow
フィールドcs7の名前ラベル。
cs7Label=Flow
dmac
dstMAC
Destination MAC Address
送信先コンピュータのネットワークインタフェースMACアドレス。
dmac= 00:0C:29:2F:09:B3
dpt
dstPort
送信先ポート
(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。
dpt=80
dpt=135
dst
dst
Destination IP Address
送信先コンピュータのIPアドレス。
dst=192.168.1.102
dst=10.30.128.2
xff
xff
X-Forwarded-For
X-Forwarded-Forヘッダー内の最後のハブのIPアドレス。これは通常、存在する可能性のあるプロキシを超えた発信元のIPアドレスです。srcフィールドも参照してください。イベントにxffを含めるには、1006540 - X-Forwarded-For HTTPヘッダーロギングを有効にするIPSルールを有効にしてください。
xff=192.168.137.1
in
in
Inbound Bytes Read
着信接続のみ。
受信バイト数の読み取り。
in=137
in=21
out
out
Outbound Bytes Read
送信接続のみの場合。
送信バイト数の読み取り。
out=216
out=13
proto
proto
Transport protocol
使用する接続トランスポートプロトコルの名前。
proto=tcp
proto=udp
proto=icmp
smac
srcMAC
Source MAC Address
送信元コンピュータのネットワークインタフェースMACアドレス。
smac= 00:0E:04:2C:02:B3
spt
srcPort
送信元ポート
TCPおよびUDPプロトコルのみ。
ソースコンピュータ接続ポート。
spt=1032
spt=443
src
src
Source IP Address
送信元コンピュータのIPアドレス。これは、最後のプロキシサーバ (存在する場合) のIP、またはクライアントIPです。xffフィールドも参照してください。
src=192.168.1.105
src=10.10.251.231
TrendMicroDsFrameType
TrendMicroDsFrameType
Ethernet frame type
接続のイーサネットフレームの種類。
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
TrendMicroDsPacketData
TrendMicroDsPacketData
Packet data
Base64で表されるパケットデータ。
TrendMicroDsPacketData = R0VUIC9zP3 ...
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTags
TrendMicroDsTags
Event tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=Suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント名
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=10
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Intrusion Prevention
なし
name
名前
イベント名
name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities
なし
desc
説明
イベントの説明。侵入防御 イベントは、イベント名を説明として使用します。
desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities

セキュリティログ監視 イベント形式

ログインスペクションイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no user): no domain: WIN-RM6HM42G65V: An account failed to log on. Subject: ..
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=113
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
cs1
cs1
Specific Sub-Rule
このイベントをトリガしたセキュリティログ監視のサブルール。
cs1=Multiple Windows audit failure events
cs1Label
cs1Label
LI Description
フィールドcs1の名前ラベル。
cs1Label=LI Description
duser
duser
User Information
解析可能なユーザー名が存在する場合。
ターゲットユーザの名前がログエントリを開始しました。
duser=(ユーザなし)
duser=ネットワークサービス
fname
fname
Target entity
セキュリティログ監視 ルールの対象エンティティ。監視対象のログファイルが含まれます。
fname=アプリケーション
fname=C:\Program Files\CMS\logs\server0.log
msg
msg
詳細
セキュリティログ監視 イベントの詳細。検出されたログイベントの詳細な説明が含まれる場合があります。
msg=WinEvtLog: Application: AUDIT_FAILURE(20187): pgEvent: (no user): no domain: SERVER01: Remote login failure for user 'xyz'
shost
shost
Source Hostname
送信元コンピュータのホスト名。
shost=webserver01.corp.com
src
src
Source IP Address
送信元コンピュータのIPアドレス。
src=192.168.1.105
src=10.10.251.231
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTags
TrendMicroDsTags
Events tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=3
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Log Inspection
なし
name
名前
イベント名
name=Mail Server - MDaemon
なし
desc
説明
イベントの説明。
desc=Server Shutdown

Webレピュテーション イベント形式

WebレピュテーションイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|<Agent version>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=example.com msg=Blocked By Admin
[LEEF 2.0の基本形式:] LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|<Agent version>|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=1
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
request
request
Request
要求のURL。
request=http://www.example.com/index.php
msg
msg
メッセージ
アクションの種類。考えられる値は、リアルタイム、スケジュール、および手動です。
リアルタイム
スケジュール済み
dvc
dvc
Device address
cn1のIPv4アドレス。
ソースがIPv6アドレスまたはホスト名の場合は表示されません。代わりにdvchostを使用します。
dvc=10.1.144.199
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTags
TrendMicroDsTags
Events tags
Workload Security イベントタグがイベントに割り当てられている
TrendMicroDsTags=suspicious
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
なし
sev
重要度
イベントの重要度。重要度は1が最も低く、10が最も高くなります。
sev=6
なし
Windows、Linux
カテゴリ
カテゴリ
cat=Web Reputation
なし
name
名前
イベント名
name=WebReputation
なし
desc
説明
イベントの説明。Webレピュテーション では、イベント名が説明として使用されます。
desc=WebReputation

デバイスコントロールイベントの形式

デバイスコントロールイベントはDeep Security Agentから発生します。
[CEFの基本形式:] CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension
[LEEFログエントリのサンプル:] CEF:0|Trend Micro|Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
LEEF 2.0の基本形式: LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter Character is tab)|Extension
[LEEFログエントリのサンプル:] LEEF:2.0|Trend Micro|Deep Security Agent|50.0.1063|7000000|cat=Device Control name=DeviceControl desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
CEF拡張フィールド
LEEF拡張フィールド
名前
説明
cn1
cn1
Host Identifier
Agentコンピュータの一意の内部識別子。
cn1=1
cn1Label
cn1Label
Host ID
フィールドcn1の名前ラベル。
cn1Label=Host ID
dvchost
dvchost
Device host name
cn1のホスト名またはIPv6アドレス。
ソースがIPv4アドレスの場合は表示されません。代わりにdvcフィールドを使用します。
dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTenant
TrendMicroDsTenant
Tenant name
Workload Security テナント
TrendMicroDsTenant=Primary
TrendMicroDsTenantId
TrendMicroDsTenantId
Tenant ID
Workload Security テナントID
TrendMicroDsTenantId=0
デバイス
デバイス
デバイス名
アクセスされたデバイス。
device=Sandisk_USB
processName
processName
プロセス名
プロセス名。
processName=someProcess.exe
fileName
fileName
ファイル名
アクセスされたファイル名。
fileName=E:\somepath\a.exe
ベンダー
ベンダー
ベンダー名
デバイスのベンダ名。
vendor=sandisk
シリアル
シリアル
シリアル番号
デバイスのシリアル番号。
シリアル= aaa-bbb-ccc
モデル
モデル
モデル
デバイスの製品名。
model=A270_USB
computerName
computerName
コンピュータ名
コンピュータ名。
computerName=Jonh_Computer
domainName
domainName
ドメイン名
ドメイン名。
domainName=CompanyDomain
deviceType
deviceType
デバイスの種類
デバイスタイプのデバイスUSB_STORAGE_DEVICE (1) MOBILE_DEVICE (2)
deviceType=1
許可
許可
権限
アクセスのブロック理由 BLOCK (0) READ_ONLY (2)
権限= 0