系统日志恶意软件事件感染通知示例
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Vertexbot.CY|5|externalId=353
eventId=13321 lastActivityTime=2016-02-24 02:17:25.638+00
src=31.170.165.131 dst=10.1.1.48 malwareSeverity=0.5
malwareCategory=Unknown cncServers=31.170.165.131
CEF 电子邮件恶意软件事件通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
Syslog 电子邮件恶意软件事件通知示例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|email|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract startTime=2016-01-23 17:36:39.841+00
CEF CnC 通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
malwareSeverity=0.5 malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
Syslog CnC 通知示例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|cnc|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10 malwareSeverity=0.5
malwareCategory=Trojan_DataTheft cncServers=50.154.149.189
CEF 文件提交通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|submission|TROJAN_Zemot.CY|7|externalId=995
eventId=123 lastActivityTime=2016-01-23 17:36:39.841+00
src=50.154.149.189 dst=192.168.1.10
fileHash=d93216633bf6f86bc3076530b6e9ca6443fc75b5 fileName=abc.bin
fileType=Zip archive data, at least v2.0 to extract submissionTime=2016- 01-23 17:36:39.841+00
Syslog 文件上传通知示例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|submission|VIRUS_NABUCUR.DC|5|externalId=354
eventId=13322 lastActivityTime=2016-02-24 02:25:05.163039+00src= dst=
fileHash=12b1777e451ef24bcc940bc79cdd7a0ffb181d78 fileName=
fileType=PE32 executable (GUI) Intel 80386, for MS Windows
submissionTime=2016-02-24 02:25:05.163039+00
CEF 漏洞通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|7|externalId=995 eventId=123
lastActivityTime=2016-01-23 17:36:39.841+00 src=50.154.149.189
dst=192.168.1.10 reqReferer=http://forums.govteen.com/content.php
url=http://64.202.116.151/nzrems2/1
Syslog 漏洞通知示例:
<134>Nov 23 21:58:05 tap54.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|exploit|Exploit|3|externalId=352
eventId=13319 lastActivityTime=2016-02-24 02:18:21.105811+00
src=64.202.116.124 dst=192.168.50.203 reqReferer=http:// www.christianforums.com/
url=http://64.202.116.124/5butqfk/?2
CEF 数据失窃通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10
description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
Syslog 数据失窃通知示例:
<134> Nov 23 18:50:00 tap0.test.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|datatheft|2ND_ORDER_DLP_CUSTOMIZED :
CreditCard_Rule|7|externalId=995 eventId=123 lastActivityTime=2016-01-23
17:36:39.841+00 src=50.154.149.189 dst=192.168.1.10 description=2ND_ORDER_DLP_CUSTOMIZED : CreditCard_Rule port=80
protocol=HTTP startTime=2016-01-23 17:36:39.841+00
CEF 系统运行状况通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|3|traffic-health|5|desc=10.2.20.54
(10.2.20.54) received 0 KB of monitor traffic over last 10 minutes
json={"pretty_age": "10 minutes", "ip": "10.2.20.54", "age": 10,
"appliance": "10.2.20.54", "sample_size": 2, "traffic": "0”}
Syslog 系统运行状况通知示例:
<134>Nov 24 17:12:55 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|3|link-health|5|desc=Link eth1 on 10.2.20.54
(10.2.20.54) is down json={"interface": "eth1", "ip": "10.2.20.54",
"appliance": "10.2.20.54", "app_id": "467dea60-d7da-11dd-83c7-
10bf48d79a6e", "up": false}
CEF 系统审计通知示例:
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-system-config|5|desc=descriptio
json={ "user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|update-smtp|5|desc=description json={
"user_id" : "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" :
"test.JATP", "is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
2016-01-23 17:36:39.841+00 tap0.test.JATP.net
CEF:0|JATP|Cortex|3.6.0.15|2|reboot|5|desc=description json={ "user_id"
: "8d7c450e-df6a-0ab6-193d-143bfc6f7cac", "user_name" : "test.JATP",
"is_admin" : 0, "has_debug": 1 , "reset_password" : 1}
Syslog 系统审计通知示例:
<134>Nov 24 14:32:59 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|add-user|5|username=admin desc=Delete user
'jane' with id 'f263f0b1-353e-046c-1577-6adc1c96cb62' json={ "user_id" :
"f263f0b1-353e-046c-1577-6adc1c96cb62", "user_name" : "jane"}
<134>Nov 24 14:31:20 tap0.eng.JATP.net JATP:
CEF:0|JATP|Cortex|3.6.0.15|2|update-user|5|username=admin desc=Updated
user id '27ee212e-855d-08d4-953f-6b9cea46a679': name 'john', is admin:
yes, has debug: yes, reset password: no json={ "user_id" : "27ee212e-
855d-08d4-953f-6b9cea46a679", "user_name" : "john", "is_admin" : 1,
"has_debug": 1 , "reset_password" : 0}
使用 CEF 警报事件 ID 或事件 ID 在瞻博网络 ATP 设备 Web UI 中显示详细信息
给定事件 ID 或事件 ID,您可以使用以下 URL 在瞻博网络 ATP 设备 Web UI 中显示相关详细信息。
将“JATP_HOSTNAME_HERE”替换为您的瞻博网络 ATP 设备主机名,并将“0000000”替换为event_id或incident_id。
-
https://JATP_HOSTNAME_HERE/admin/index.html?incident_id=0000000
-
https://JATP_HOSTNAME_HERE/admin/index.html?event_id=0000000
如果当前没有登录会话处于活动状态,系统将提示输入登录/密码。
CEF 扩展字段键=值对定义
瞻博网络 ATP 设备在其 CEF 扩展字段键=值对中使用以下参数。扩展中的密钥有“=”符号;例如:。cncServers=a.b.c.d eventId=123。扩展之前的字段被管道包围(“|”);例如:|login|、|cnc|、|JATP|。
下表定义了 CEF 和/或 Syslog 消息中的每个扩展字段键。
扩展字段密钥 |
全名和说明 |
事件类型 |
数据类型和长度 |
CEF 或 Syslog 键值(示例) |
|---|---|---|---|---|
说明= 仅用于系统审核 |
描述 desc 是系统审计事件的描述 |
审计 |
字符串 1023 字符 |
说明=update-user |
json= |
json 输出会根据引用的系统审核事件类型发送不同的数据。 以下示例 json= 适用于 update-user: json = { “user_id”: “2721f188-682e-03d0- 6dfa-5d5d68047b6”, “用户名”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1 , ”reset_password“ : 0} |
审计 |
字符串 1023 字符 |
json= 这个 json= 字段用于登录: 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|login|5|username=a dmin desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
登录 |
登录 |
审计 |
字符串 |
登录 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|login|5|username=a dmin desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
登录失败 |
登录失败 |
审计 |
字符串 |
登录失败 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|日志|5|username=admin desc=description json={ “user_id”: “8d7c450edf6a- 0ab6-193d- 143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
注销 |
锁定 |
审计 |
字符串 |
注销 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|logout|5|username= admin desc=说明 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
add-user |
添加用户 |
审计 |
字符串 |
add-user 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|添加用户|5|username=admin desc=description json={ “user_id”: “8d7c450edf6a- 0ab6-193d- 143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
update-user |
更新用户 |
审计 |
字符串 |
update-user 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|更新用户|5|username=admin desc=description json={ “user_id”: “8d7c450edf6a- 0ab6-193d- 143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
update-system-config |
系统配置更新 |
审计 |
字符串 |
update-system-config <134>11月24日 14:35:48 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|更新系统配置|5|username=adm in desc=更新设置:软件自动更新:“是”,设置主机名:'tap0',设置server_fqdn:'tap0.eng.JATP.net',Set ivp_format:'application/zip'远程 shell 已启用:是 json={ “do_auto_update”: 1, “主机名”:“tap0”,“server_fqdn”:“tap0.eng.JATP.net”,“ivp_format”:“application/zip”,“remote_shell_enabled:1 |
重新 启动 |
重新 启动 |
审计 |
字符串 |
重新 启动 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|reboot|5|用户名称 =admin desc=说明 json={ “user_id”: “8d7c450edf6a- 0ab6-193d- 143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
设备连接运行状况 |
设备连接的运行状况 |
审计 |
字符串 |
设备连接运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|appliance-connecthealth|5|username=adm in desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
链路运行状况 |
链路运行状况 |
链路运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|链路运行状况|5|username=adm in desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
||
流量运行状况 |
流量运行状况 |
流量运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2||5|username=adm in desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
||
clear-db |
清除数据库 |
审计 |
字符串 |
clear-db <134>11月24日 16:32:03 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2||5|username=admin desc=Clear 事件数据库 json={ “status”: 0} |
重启服务 |
重启服务 |
审计 |
字符串 |
重启服务 <134>11月24日 14:37:07 tap54.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|启动服务|5|username=ad min desc=Restart services json={ “status”: 0} |
添加报告 |
添加报告 |
审计 |
字符串 |
添加报告 <134>11月24日 14:37:32 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|报告|5| desc 中的用户名=adm=Add 报告(id '300BF9F1-973B-4523- 8BEB-B82B70B78925') json={ “report_id”:“300BF9F1-973B-4523- 8BEB-B82B70B78925”} |
删除报告 |
删除报告 |
审计 |
字符串 |
删除报告 <134>1月24日 14:37:41 点击0.JATP.netJATP JATP:CEF:0|JATP|Cortex|3.6.0.15|2|15|5| desc 中的用户名称=adm=删除报告 (id 'CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB') json={ “report_id”:“CF411F54-EB45-0C41- 654A-AFA1B9FF9DEB”} |
添加通知 |
添加通知 |
审计 |
字符串 |
添加通知 <1月24日>14:35:04 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|添加|5|用户名 =admin desc=Add 通知(id'AD5D3D6C-6A51-4BB5- 958A-A1B392D3DFDA') json={ “report_id”: “AD5D3D6C-6A51- 4BB5-958AA1B392D3DFDA”} |
删除通知 |
删除通知 |
审计 |
字符串 |
删除通知 <134>11月24日 14:38:13 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|发展|5|用户名 =admin desc=删除通知 (id '26EC53CA-B1A7-4DBAA111- 013CD2548FFD') json={ “report_id”: “26EC53CA-B1A7-4DBAA111- 013CD2548FFD”} |
add-siem |
添加 SIEM |
审计 |
字符串 |
add-siem <1月24日>14:29:08 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|addsiem|5|username=admin desc=将 SIEM 上传添加至'splunktest。Eng。JATP.net' (id '768687F7-4A81-42AF- 897A-6814A48D4155') json={ “report_id”: “768687F7-4A81-42AF- 897A-6814A48D4155”, “host_name”: “splunktest. eng.JATP.net”} |
删除-siem |
删除 SIEM |
审计 |
字符串 |
删除-siem <134>11月24日 14:38:57 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|deletesiem|5|username=admin desc=删除 SIEM 上传至 “10.9.8.7” (id '8165C17F-F375-4226-8E7A-BC8E690E3370') json={ “report_id”:“8165C17F-F375-4226- 8E7A-BC8E690E3370”, “host_name”:“10.9.8.7”} |
add-email-收集器 |
添加电子邮件收集器 |
审计 |
字符串 |
add-email-收集器 <134>11月24日 14:39:35 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|add-emailcollector|5|username=a dmin desc=从 “10.2.10.3” 添加电子邮件收集器 (id '5FB8FFDC-7024- 467A-8AC8- 6CD68CA8781D') json={ “report_id”:“5FB8FFDC- 7024-467A-8AC8- 6CD68CA8781D”, “host_name”:“10.2.10.3”} |
delete-email-收集器 |
删除电子邮件收集器 |
审计 |
字符串 |
delete-email-收集器 <134>11月24日 14:39:09 tap0.eng.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|delete-emailcollector|5|username=a dmin desc=删除 “10.2.10.7” (id '6C36F94A-3CF2- 45D8-83B9- CDF50BE0490B') json={ “report_id”:“6C36F94A-3CF2-45D8-83B9- CDF50BE0490B”, “host_name”:“10.2.10.7”} |
dst= |
目标 IP 地址 当检测引擎内观察到与外部主机的任何通信时,dst 表示目标的 IP 地址。 |
事件 |
IPv4 和 IPv6 地址 |
dst=128.12.38.6
注意:
注意:这也是用户下载恶意软件的目标 IP 地址;此扩展并非仅针对感染。 |
lastActivityTime= |
与此事件关联的上一次活动的时间戳。 |
事件 |
字符串 1023 字符 |
lastActivityTime=2016- 12-26 18:06:52.333023+00 |
fileHash= |
文件Hash 表示来自瞻博网络 ATP 设备检测引擎的恶意软件对象的校验和 |
事件 |
255 字符 |
filehash=3174990d783f4 a1bd5e99db60176b920 |
fileName= |
文件名表示由瞻博网络 ATP 设备检测引擎分析的对象文件的名称 |
事件 |
255 字符 |
fileName=Trojan.通用 |
fileType= |
fileType 表示分析的对象类型。 |
事件 |
255 字符 |
fileType=pdf |
startTime= |
startTime 表示瞻博网络 ATP 设备检测系统中初始恶意软件事件的日期和时间。 |
事件 |
字符串 1023 字符 |
startTime=2016-08-11 18:22:19 |
恶意软件毅力= |
严重性风险范围在 0-10 |
事件 |
整数 |
恶意软件毅力=0.75 |
恶意软件类别= |
瞻博网络 ATP 设备恶意软件类别确定 |
事件 |
字符串 1023 字符 |
恶意软件类别= |
cncServers= |
与此事件关联的 CnC 服务器的 IP 地址 |
事件 |
IPv4 和 IPv6 地址 |
cncServers=31.170.165.131 |
提交时间= |
CM Web UI 中用户文件提交选项的日期和时间 |
事件 |
数据 |
提交时间=2016- 12-26 17:54:46.04875+00 |
src= |
与此恶意软件事件关联的源地址。 |
事件 |
IPv4 和 IPv6 地址 |
src=64.202.116.124 |
dst= |
与此恶意软件事件关联的源地址。 |
事件 |
IPv4 和 IPv6 地址 |
dst=10.1.1.1 |
reqReferer= |
触发的或与恶意软件漏洞关联的 HTTP 地址的 URL |
事件 |
Url |
reqReferer=http:// www.christianforums.com/ |
url= |
与漏洞利用恶意软件事件关联的 URL。 |
事件 |
Url |
url=http:// 64.202.116.124/5butqfk/ ?2 |
外部Id= |
瞻博网络 ATP 设备事件编号。 例子: externalId=1003 |
Extern al ID |
瞻博网络 ATP 设备事件编号。 |
例子: externalId=1003 |
EventId= |
瞻博网络 ATP 设备事件 ID 编号。 示例:eventId=13405 |
事件 ID |
瞻博网络 ATP 设备事件 ID 编号。 |
示例:eventId=13405 |
用户名= |
管理员或用户的用户名 系统审计系统日志中包含用户名。 |
事件 |
字符串 |
例子: 用户名=“s_roberts” |
端口= |
与事件关联的端口号 |
事件 |
整数 |
端口= 22 |
协议= |
与事件关联的协议 |
事件 |
整数 |
协议=http |
设备连接运行状况 |
Web 收集器和辅助核心之间的连接运行状况。 |
健康 |
字符串 |
11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|appliance-connecthealth|5|username=adm in desc=描述 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
流量运行状况 |
流量运行状况 |
健康 |
字符串 |
流量运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2||5|desc=说明 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
链路运行状况 |
链路运行状况 |
健康 |
字符串 |
链路运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|链路运行状况|5|desc=说明 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
服务运行状况 |
服务运行状况 |
健康 |
字符串 |
服务运行状况 11 月 23 日 <134> 18:50:00 tap0.test.JATP.net JATP:CEF:0|JATP|Cortex|3.6.0.15|2|服务|5|desc=说明 json={ “user_id”:“8d7c450e-df6a-0ab6- 193d-143bfc6f7cac”, “user_name”: “test。JATP“,”is_admin“: 0, ”has_debug“: 1, ”reset_password“: 1} |
src_hostname |
威胁源的主机名。从 Active Directory 获取信息(适用于从 Active Directory 获取威胁源主机详细信息的 SMB 横向检测) |
事件 |
字符串 |
12 月 2 日 IP 17:17:25 IP 12 月 2 日 17:08:08 主机名 CEF:0|JATP|Cortex|3.6.0.1444|cnc|TROJAN_DUSV EXT.|10|externalId=1489 eventId=14046 lastActivityTime=2016- 05-03 00:08:08.349+00 src=31.170.165.131 dst=172.20.1.201 src_hostname= dst_hostname=emailuse r-host src_username= dst_username=emailuse r malwareseverity=0.75 malwareCatary=Troja n_Generic cncServers=31.170.165.131 |
dst_hostname |
端点主机名(威胁目标);信息从 Active Directory 获取 |
事件 |
字符串 |
12 月 6 日 IP 16:52:22 IP 12 月 6 日 16:51:38 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1504 eventId=14067 lastActivityTime=2016- 12-06 23:51:38+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test@abc.com} 启动时间=2016- 12-06 23:51:0 38+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileHash=bce00351cfc55 9afec5beb90ea387b037 88e4af5 fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |
src_username |
登录威胁源主机的人员的用户名。从 Active Directory 获取信息(适用于横向传播,因为只有这样,我们才能从 Active Directory 获取威胁源的主机详细信息) |
事件 |
字符串 |
12 月 3 日 IP 16:42:24 IP 12 月 3 日 16:42:54 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |
dst_username: 登录威胁目标主机的人员的用户名。从 Active Directory 获取信息。 |
12 月 3 日 IP 16:42:24 IP 12 月 3 日 16:42:54 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src= dst= src_hostname= dst_hostname= src_username= dst_username=src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@abc.com,test3@abc.com,} url=http:/ /greatfilesarey.asia/QA/ fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |
|||
src_email_id |
电子邮件发件人的电子邮件 ID |
事件 |
字符串 |
12 月 3 日 IP 16:42:24 IP 12 月 3 日 16:42:54 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |
dst_email_id |
收件人的电子邮件地址 |
事件 |
字符串 |
12 月 3 日 IP 16:42:24 IP 12 月 3 日 16:42:54 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |
Url |
电子邮件中发送的无效 URL(在 CEF/Syslog 中,瞻博网络 ATP 设备发送的最大恶意 URL 数为 5,用字符空格隔开) |
事件 |
字符串 |
12 月 3 日 IP 16:42:24 IP 12 月 3 日 16:42:54 主机名 CEF:0|JATP|Cortex|3.6.0.1444|电子邮件|网络钓鱼|8|e xternalId=1499 eventId=14058 lastActivityTime=2016- 05-03 23:42:54+00 src_email_id=src@abc.com dst_email_id={test1@ab c.com,test2@ab c.com,test3@ab c.com,} startTime=2016-2016-05-03 23:42:54+00 url=http:// greatfilesarey.asia/QA/ files_to_pcaps/ 74280968a4917da52b5 555351eeda969.bin fileType=PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows |