FireEye のサンプル・イベント・メッセージ
このサンプル・イベント・メッセージは、 IBM QRadarとの統合が正常に行われたことを確認するために使用します。
重要: フォーマットの問題のため、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
Syslog プロトコルまたは TLS Syslog プロトコルを使用する場合の FireEye サンプル・メッセージ
以下のサンプル・イベント・メッセージは、Indicator of Compromise (IOC) が検出されたことを示しています。
<149>Jul 23 18:54:24 fireeye.mps.test cef[5159]: CEF:0|fireeye|HX|4.8.0|IOC Hit Found|IOC Hit Found|10|rt=Jul 23 2019 16:54:24 UTC dvchost=fireeye.mps.test categoryDeviceGroup=/IDS categoryDeviceType=Forensic Investigation categoryObject=/Host cs1Label=Host Agent Cert Hash cs1=fwvqcmXUHVcbm4AFK01cim dst=192.168.1.172 dmac=00-00-5e-00-53-00 dhost=test-host1 dntdom=test deviceCustomDate1Label=Agent Last Audit deviceCustomDate1=Jul 23 2019 16:54:22 UTC cs2Label=FireEye Agent Version cs2=29.7.0 cs5Label=Target GMT Offset cs5=+PT2H cs6Label=Target OS cs6=Windows 10 Pro 17134 externalId=17688554 start=Jul 23 2019 16:53:18 UTC categoryOutcome=/Success categorySignificance=/Compromise categoryBehavior=/Found cs7Label=Resolution cs7=ALERT cs8Label=Alert Types cs8=exc act=Detection IOC Hit msg=Host test-host1 IOC compromise alert categoryTupleDescription=A Detection IOC found a compromise indication. cs4Label=IOC Name cs4=SVCHOST SUSPICIOUS PARENT PROCESS | QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | IOC Hit Found |
| イベント・カテゴリー | FireEyeMPS (イベント・コンテンツから抽出) |
| 宛先 IP | 192.168.1.172 |
| 宛先 MAC | 00-00-5e-00-53-00 |
| ログ・ソースの時刻 | Jul 23 2019 16:54:24 UTC |