Vulnerability Protection 趋势科技服务器深度安全防护系统可以使用以下格式将事件转发到 syslog 服务器:
系统只会为“系统事件”选项卡上选定的事件发送 Syslog 消息。用户可以在策略编辑器或计算机编辑器中为其他事件类型配置 syslog 通知。
以下步骤介绍了如何在 Red Hat Enterprise Linux 6 或 7 上配置 rsyslog,以接收 Vulnerability Protection 趋势科技服务器深度安全防护系统的日志。
vi /etc/rsyslog.conf rsyslog.conf 顶部附近的下面各行以将其从:#$ModLoad imudp
#$UDPServerRun 514
#$ModLoad imtcp
#$InputTCPServerRun 514
更改为 $ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
rsyslog.conf 的末尾:
#Save Vulnerability ProtectionDeep Security Manager logs to VPM.logDSM.logLocal4.* /var/log/VPM.logDSM.log touch /var/log/VPM.logDSM.log 创建 /var/log/VPM.logDSM.log 文件service rsyslog restart systemctl restart rsyslog
当 Syslog 运行时,您将在以下位置看到日志:/var/log/VPM.logDSM.log
以下步骤介绍如何在 Red Hat Enterprise Linux 上配置 Syslog 来接收来自 Vulnerability Protection 趋势科技服务器深度安全防护系统的日志。
vi /etc/syslog.conf
syslog.conf 的末尾:
#Save Vulnerability ProtectionDeep Security Manager logs to VPM.logDSM.log Local4.* /var/log/VPM.logDSM.log touch /var/log/VPM.logDSM.log 创建 /var/log/VPM.logDSM.log 文件
vi /etc/sysconfig/syslog
SYSLOGD_OPTIONS" 并向选项添加 "-r"
/etc/init.d/syslog restart
当 Syslog 运行时,您将在以下位置看到日志: /var/log/VPM.logDSM.log
您可以配置 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心,以指示所有被管理的计算机发送日志至 Syslog 计算机,或者可以独立配置个别计算机。
将管理中心配置为指示所有被管理的计算机使用 Syslog:
您现已配置 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心以指示所有现有和新的计算机缺省情况下使用远程 Syslog。
有两个选项可指定从其发送 syslog 消息的位置。第一个选项(直接转发)直接从客户端或虚拟设备实时发送消息。第二个选项(通过管理中心中继)在收集有关波动信号的事件之后从管理中心发送 syslog 消息。如果目标使用授权基于源的数量,则可能需要从管理中心发送的选项。
如果从管理中心发送 syslog 消息,则存在若干差异。为了保留原始主机名(事件源),提供了新的扩展名("dvc" 或 "dvchost")。如果主机名为 IPv4 地址,则使用 "dvc";"dvchost" 用于主机名和 IPv6 地址。此外,如果标记了事件,则使用扩展名 "TrendMicroDsTags"(这仅适用于将来运行的自动标记,因为仅当事件由管理中心收集时,它们才通过 syslog 转发)。通过管理中心中继日志的产品仍将显示为“Vulnerability Protection 趋势科技服务器深度安全防护系统客户端”;但是,其产品版本是管理中心的版本。
所有 CEF 事件都包括 dvc=IPv4 地址或 dvchost=Hostname(或 IPv6 地址)以便确定事件的原始源。这种扩展对于从虚拟设备或管理中心发送的事件很重要,因为在这种情况下,消息的 syslog 发送者不是事件的发出者。
可针对特定策略以及在各台计算机上覆盖此缺省设置。要在计算机上进行覆盖,请找到要配置的计算机,打开计算机编辑器,转至设置,然后单击 SIEM 选项卡。如同计算机的许多其他设置一样,您也可以指示它继承缺省设置,或者覆盖缺省设置。要指示此计算机忽略任何可继承的缺省设置,请选择将事件转发到选项,再输入另一个 syslog 服务器的详细信息,或者根本不转发任何日志。按照相同的过程覆盖策略的设置。
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
要确定日志条目到底来自 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心还是 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端,请查看“设备产品”文本框:
CEF 日志条目示例: Jan 18 11:07:53 vpmhostdsmhost CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Manager|<DSM version>2.0|600|Administrator Signed In|4|suser=Master...
要进一步确定触发事件的规则种类,请查看“签名 ID”和“名称”文本框:
日志条目示例: Mar 19 15:19:15 chrisds7 CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|123|Out Of Allowed Policy|5|cn1=1...
以下“签名 ID”值指示出已经触发的事件种类:
| 签名 ID | 描述 |
| 10 | 定制入侵防御规则 |
| 20 | 仅记录防火墙规则 |
| 21 | 拒绝防火墙规则 |
| 30 | 定制完整性监控规则 |
| 40 | 定制日志审查规则 |
| 100-7499 | 系统事件 |
| 100-199 | 不允许的策略防火墙规则和防火墙状态配置 |
| 200-299 | 入侵防御系统 (IPS) 内部错误 |
| 300-399 | SSL 事件 |
| 500-899 | 入侵防御规范化 |
| 1,000,000-1,999,999 | 趋势科技入侵防御规则。签名 ID 与入侵防御规则 ID 相同。 |
| 2,000,000-2,999,999 | 趋势科技完整性监控规则。签名 ID 等于完整性监控规则 ID + 1,000,000。 |
| 3,000,000-3,999,999 | 趋势科技日志审查规则。签名 ID 等于日志审查规则 ID + 2,000,000。 |
| 4,000,000-4,999,999 |
为趋势科技防恶意软件事件保留。当前,仅使用以下签名 ID:
|
| 5,000,000-5,999,999 | 为趋势科技 Web 信誉事件保留。当前,仅使用以下签名 ID:
|
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 2.0 日志条目示例(DSM 系统事件日志示例): LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|192|cat=System name=Alert Ended desc=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning sev=3 src=10.201.114.164 usrName=System msg=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Manager|<DSM version>2.0|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from fe80:0:0:0:2d02:9870:beaa:fd41
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 2.0 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|192|cat=System name=Alert Ended desc=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning sev=3 src=10.201.114.164 usrName=System msg=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| src | src | 源 IP 地址 | 源 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心 IP 地址。 | src=10.52.116.23 |
| suser | usrName | 源用户 | 源 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心用户帐户。 | suser=MasterAdmin |
| target | target | 目标实体 | 事件目标实体。事件的目标可能是登录到 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的管理员帐户,也可能是一台计算机。 | target=MasterAdmin target=server01 |
| targetID | targetID | 目标实体 ID | 事件目标实体 ID。 | targetID=1 |
| targetType | targetType | 目标实体类型 | 事件目标实体类型。 | targetType=Host |
| msg | msg | 详细信息 | 系统事件的详细信息。可能包含事件的详细描述。 | msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1 msg=A Scan for Recommendations on computer (localhost) has completed... |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=3 |
| 无 | cat | 类别 | 事件类别 | cat=System |
| 无 | name | 名称 | 事件名称 | name=Alert Ended |
| 无 | desc | 描述 | 事件描述 | desc:Alert:CPU Warning Threshold Exceeded |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|21|cat=Firewall name=Remote Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP srcPort=23 dstPort=445 cnt=1
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | 防火墙规则所采取的操作。可包含:Log 或 Deny。如果规则或网络引擎是在分接模式下工作,则操作值前会附加 "IDS:"。 | act=Log act=Deny |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| cnt | cnt | 重复计数 | 连续重复此事件的次数。 | cnt=8 |
| cs2 | cs2 | TCP 标志 | (仅针对 TCP 协议)如果设置了 TCP 标头位,则会显示有后跟 URG、ACK、PSH、RST、SYN 和 FIN 文本框的原始 TCP 标志字节。如果选择了“通过管理中心中继”,则此扩展的输出仅包含标志名称。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP 标志 | 文本框 cs2 的友好名称标签。 | cs2Label=TCP Flags |
| cs3 | cs3 | 数据包片段信息 | 如果已设置了 IP "Dont Fragment" 位,会有 "DF" 文本框。如果已设置了 "IP More Fragments" 位,会有 "MF" 文本框。 | cs3=DF cs3=MF cs3=DF MF |
| cs3Label | cs3Label | 片段位 | 文本框 cs3 的友好名称标签。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP 类型和代码 | (仅针对 ICMP 协议)按其各自顺序存储的 ICMP 类型和代码(以空格分隔)。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | 文本框 cs4 的友好名称标签。 | cs4Label=ICMP Type and Code |
| dmac | dstMAC | 目标 MAC 地址 | 目标计算机网络接口 MAC 地址。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | 目标端口 | (仅针对 TCP 和 UDP 协议)目标计算机连接端口。 | dpt=80 dpt=135 |
| dst | dst | 目标 IP 地址 | 目标计算机 IP 地址。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | 读取的入站字节 | (仅针对入站连接)读取的入站字节数。 | in=137 in=21 |
| out | out | 读取的出站字节 | (仅针对出站连接)读取的出站字节数。 | out=216 out=13 |
| proto | proto | 传输协议 | 所用的连接传输协议的名称。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | 源 MAC 地址 | 源计算机网络接口 MAC 地址。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | 源端口 | (仅针对 TCP 和 UDP 协议)源计算机连接端口。 | spt=1032 spt=443 |
| src | src | 源 IP 地址 | 源计算机 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | 以太网帧类型 | 连接以太网帧类型。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | 数据包数据 | (如果已设置了包括数据包数据)数据包数据的 Base64 编码副本。转义“等号”字符。例如 "\="。如果选择了“通过管理中心中继”选项,则不包括此扩展。 | TrendMicroDsPacketData=AA...BA\= |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=5 |
| 无 | cat | 类别 | 类别,例如“防火墙” | cat=Firewall |
| 无 | name | 名称 | 事件名称 | name=Remote Domain Enforcement (Split Tunnel) |
| 无 | desc | 描述 | 事件描述。防火墙事件没有事件描述,因此使用事件名称。 | desc=Remote Domain Enforcement (Split Tunnel) |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>2.0|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|1000940|cat=Intrusion Prevention name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41 srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128 out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI Flags
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | 入侵防御规则所采取的操作。可包含:Block、Reset 或 Log。如果规则或网络引擎在仅检测模式下工作,则操作值前会附加 "IDS:"。(在趋势科技服务器深度安全防护系统 7.5 SP1 前的版本中写入的 IPS 规则还可以执行 Insert、Replace 和 Delete 操作。现在不再执行这些操作。如果触发了仍尝试执行这些操作的旧版 IPS 规则,则“事件”将指示该规则是以“仅检测”模式应用的。) | act=Block |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| cn3 | cn3 | 入侵防御数据包位置 | 触发事件的数据的数据包内部位置。 | cn3=37 |
| cn3Label | cn3Label | 入侵防御数据包位置 | 文本框 cn3 的友好名称标签。 | cn3Label=Intrusion Prevention Packet Position |
| cnt | cnt | 重复计数 | 连续重复此事件的次数。 | cnt=8 |
| cs1 | cs1 | 入侵防御过滤器注释 | (可选)包含与有效载荷文件相关联的简短二进制或文本注释的注释文本框。如果注释文本框的值全部为可打印的 ASCII 字符,将会记录为文本,并且会将空格转换为下划线。如果此文本框包含二进制数据,则会使用 Base-64 编码进行记录。 | cs1=Drop_data |
| cs1Label | cs1Label | 入侵防御注释 | 文本框 cs1 的友好名称标签。 | cs1Label=Intrusion Prevention Note |
| cs2 | cs2 | TCP 标志 | (仅针对 TCP 协议)如果设置了 TCP 标头位,则会显示有后跟 URG、ACK、PSH、RST、SYN 和 FIN 文本框的原始 TCP 标志字节。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP 标志 | 文本框 cs2 的友好名称标签。 | cs2Label=TCP Flags |
| cs3 | cs3 | 数据包片段信息 | 如果已设置了 IP "Dont Fragment" 位,会有 "DF" 文本框。如果已设置了 "IP More Fragments" 位,会有 "MF" 文本框。 | cs3=DF cs3=MF cs3=DF MF |
| cs3Label | cs3Label | 片段位 | 文本框 cs3 的友好名称标签。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP 类型和代码 | (仅针对 ICMP 协议)按其各自顺序存储的 ICMP 类型和代码(以空格分隔)。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | 文本框 cs4 的友好名称标签。 | cs4Label=ICMP Type and Code |
| cs5 | cs5 | 入侵防御流位置 | 触发事件的数据的流内部位置。 | cs5=128 cs5=20 |
| cs5Label | cs5Label | 入侵防御流位置 | 文本框 cs5 的友好名称标签。 | cs5Label=Intrusion Prevention Stream Position |
| cs6 | cs6 | 入侵防御过滤器标志 | 包括以下标志值之和的组合值: 1 - 已截短数据 - 无法记录数据。 2 - 日志溢出 - 日志在此日志后溢出。 4 - 已抑制 - 在此日志后抑制了日志阈值。 8 - 包含数据 - 包含数据包数据 16 - 引用数据 - 引用先前已记录的数据。 |
以下示例可能是 1(已截短数据)和 8(包含数据)的求和组合: cs6=9 |
| cs6Label | cs6Label | 入侵防御标志 | 文本框 cs6 的友好名称标签。 | cs6=Intrusion Prevention Filter Flags |
| dmac | dstMAC | 目标 MAC 地址 | 目标计算机网络接口 MAC 地址。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | 目标端口 | (仅针对 TCP 和 UDP 协议)目标计算机连接端口。 | dpt=80 dpt=135 |
| dst | dst | 目标 IP 地址 | 目标计算机 IP 地址。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | 读取的入站字节 | (仅针对入站连接)读取的入站字节数。 | in=137 in=21 |
| out | out | 读取的出站字节 | (仅针对出站连接)读取的出站字节数。 | out=216 out=13 |
| proto | proto | 传输协议 | 所用的连接传输协议的名称。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | 源 MAC 地址 | 源计算机网络接口 MAC 地址。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | 源端口 | (仅针对 TCP 和 UDP 协议)源计算机连接端口。 | spt=1032 spt=443 |
| src | src | 源 IP 地址 | 源计算机 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | 以太网帧类型 | 连接以太网帧类型。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | 数据包数据 | (如果已设置了包括数据包数据)数据包数据的 Base64 编码副本。转义“等号”字符。例如 "\="。如果选择了“通过管理中心中继”选项,则不包括此扩展。 | TrendMicroDsPacketData=AA...BA\= |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=exch01 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=Suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户名称 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=10 |
| 无 | cat | 类别 | 类别,例如“入侵防御” | cat=Intrusion Prevention |
| 无 | name | 名称 | 事件名称 | name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
| 无 | desc | 描述 | 事件描述。入侵防御事件没有事件描述,因此使用事件名称。 | desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security:AUDIT_FAILURE(4625):Microsoft-Windows-Security-Auditing:(no user):no domain:WIN-RM6HM42G65V:An account failed to log on.Subject: ..
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| cs1 | cs1 | 特定子规则 | 触发此事件的日志审查子规则。 | cs1=Multiple Windows audit failure events |
| cs1Label | cs1Label | LI 描述 | 文本框 cs1 的友好名称标签。 | cs1Label=LI Description |
| duser | duser | 用户信息 | (如果存在可解析的用户名)启动日志条目的目标用户的名称。 | duser=(no user) duser=NETWORK SERVICE |
| fname | fname | 目标实体 | 日志审查规则目标实体。可能包含文件或目录路径、注册表项等。 | fname=Application fname=C:\Program Files\CMS\logs\server0.log |
| msg | msg | 详细信息 | 日志审查事件的详细信息。可能包含检测到的日志事件的详细描述。 | msg=WinEvtLog:Application:AUDIT_FAILURE(20187):pgEvent:(no user):no domain:SERVER01:Remote login failure for user 'xyz' |
| shost | shost | 源主机名 | 源计算机主机名 | shost=webserver01.corp.com |
| src | src | 源 IP 地址 | 源计算机 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=3 |
| 无 | cat | 类别 | 类别,例如“日志审查” | cat=Log Inspection |
| 无 | name | 名称 | 事件名称 | name=Mail Server - MDaemon |
| 无 | desc | 描述 | 事件描述。 | desc=Server Shutdown |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\\windows\\message.dll msg=lastModified,sha1,size
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | 完整性规则检测到的操作。可包含:创建、更新、检测或更名。 | act=created act=deleted |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| filePath | filePath | 目标实体 | 完整性规则目标实体。可能包含文件或目录路径、注册表项等。 | filePath=C:\WINDOWS\system32\drivers\etc\hosts |
| msg | msg | 属性更改 | (仅针对 "updated" 操作)已更改的属性名称的列表。 如果选择了“通过管理中心中继”,则所有事件操作类型都包括完整描述。 |
msg=lastModified,sha1,size |
| oldfilePath | oldfilePath | 旧目标实体 | (仅针对 "renamed" 操作)要捕获从先前的目标实体到新目标实体的更名操作的先前完整性规则目标实体会记录在 filePath 文本框中。 | oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=laptop_adaggs |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=8 |
| 无 | cat | 类别 | 类别,例如“完整性监控” | cat=Integrity Monitor |
| 无 | name | 名称 | 事件名称 | name=Microsoft Windows - System file modified |
| 无 | desc | 描述 | 事件描述。完整性监控程序事件没有事件描述,因此使用事件名称。 | desc=Microsoft Windows - System file modified |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例:CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size filePath=C:\\Users\\trend\\Desktop\\eicar.txt act=Delete msg=Realtime
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|4000010|cat=Anti-Malware name=SPYWARE_KEYL_ACTIVE desc=SPYWARE_KEYL_ACTIVE sev=6 cn1=45 cn1Label=Host ID dvchost=laptop_mneil TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs3=C:\\Windows\\System32\\certreq.exe cs3Label=Infected Resource cs4=10 cs4Label=Resource Type cs5=50 cs5Label=Risk Level act=Clean msg=Realtime
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=1 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| cn2 | cn2 | 文件大小 | 隔离文件的大小。仅当选择了从客户端/设备“直接转发”时才包括此扩展。 | cn2=100 |
| cn2Label | cn2Label | 文件大小 | 文本框 cn2 的友好名称标签。 | cn2Label=Quarantine File Size |
| filepath | filepath | 文件路径 | 目标文件的位置。 | filePath=C:\\virus\\ei1.txt |
| act | act | 操作 | 防恶意软件引擎执行的操作。可能的值有:拒绝访问、隔离、删除、不予处理、清除和未指定。 | act=Clean act=Pass |
| msg | msg | 消息 | 扫描类型。可能的值有:Realtime、Scheduled 和 Manual。 | msg=Realtime msg=Scheduled |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=laptop_mneil |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=6 |
| 无 | cat | 类别 | 类别,例如“防恶意软件” | cat=Anti-Malware |
| 无 | name | 名称 | 事件名称 | name=SPYWARE_KEYL_ACTIVE |
| 无 | desc | 描述 | 事件描述。防恶意软件事件没有事件描述,因此使用事件名称。 | desc=SPYWARE_KEYL_ACTIVE |
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例:CEF:0|Trend Micro|Vulnerability ProtectionDeep Security Agent|<DSA version>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=site.com msg=Blocked By Admin
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|9.6.2007|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=hr_data2 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符。 | cn1=1 |
| cn1Label | cn1Label | 主机 ID | 文本框 cn1 的友好名称标签。 | cn1Label=Host ID |
| request | request | 请求 | 请求的 URL。 | request=site.com |
| msg | msg | 消息 | 操作类型。可能的值有:Realtime、Scheduled 和 Manual。 | msg=Realtime msg=Scheduled |
| dvc | dvc | 设备地址 | cn1 的 IP 地址。如果地址是 IPv4 地址,使用 dvc。如果地址是 IPv6 地址或主机名,则使用 dvchost。 | dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 | cn1 的 IP 地址。如果地址是 IPv6 地址或主机名,使用 dvchost。如果地址是 IPv4 地址,则使用 dvc。 | dvchost=hr_data2 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性,10 代表最高的严重性。 | sev=6 |
| 无 | cat | 类别 | 类别,例如“Web 信誉” | cat=Web Reputation |
| 无 | name | 名称 | 事件名称 | name=WebReputation |
| 无 | desc | 描述 | 事件描述。Web 信誉事件没有事件描述,因此使用事件名称。 | desc=WebReputation |