Cisco Secure Firewall Management Center Event Streamer 集成指南,版本 7.2.0
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
当地语言翻译版本说明
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
- 已更新:
- 2023年8月8日
Chapter: 了解遗留数据结构
了解旧版数据结构
本附录包含之前版本的 Cisco Secure Firewall 系统产品中受 eStreamer 支持的数据结构的相关信息。
如果您的客户端使用事件流请求并对比特位进行设置,以请求采用较旧版本格式的数据,您可以使用此附录中的信息识别您收到的数据消息的数据结。
请注意,在版本 5.0 之前的版本中,ID 分配给单独的检测引擎。对于版本 5.0,ID 分配给设备。根据版本,数据结构可反映这一点。
旧版入侵数据结构
- 入侵事件 (IPv4) 记录 5.0.x - 5.1
- 入侵事件 (IPv6) 记录 5.0.x - 5.1
- 入侵事件记录 5.2.x
- 入侵事件记录 5.3
- 入侵事件记录 5.1.1.x
- 入侵事件记录 5.3.1
- 入侵事件记录 5.4.x
- 入侵事件记录 6.x
- 入侵事件记录 7.0
- 入侵影响警报数据
- 入侵事件额外数据记录
- 入侵事件额外数据元数据
入侵事件 (IPv4) 记录 5.0.x - 5.1
下图中的阴影部分表示入侵事件 (IPv4) 记录中的字段。记录类型为 207。
通过在请求消息中设置入侵事件标志或扩展请求标志可请求入侵事件记录。请参阅请求标志和提交扩展请求。
对于版本 5.0.x - 5.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
入侵事件 (IPv6) 记录 5.0.x - 5.1
下图中的阴影部分表示入侵事件 (IPv6) 记录中的字段。记录类型为 208。
通过在请求消息中设置入侵事件标志或扩展请求标志可请求入侵事件记录。请参阅请求标志和提交扩展请求。
对于版本 5.0.x - 5.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
包含检测设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
入侵事件记录 5.2.x
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 34。
你可以通过扩展请求,仅从 eStreamer 请求 5.2.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 5(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.2.x 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
入侵事件记录 5.3
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 41。
您可以通过扩展请求,仅从 eStreamer 请求 5.3 入侵事件,要提交扩展请求,您需要在流请求消息中请求事件类型代码 12 和版本代码 6(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.3 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
入侵事件记录 5.1.1.x
下图中的阴影部分表示入侵事件记录中的字段。记录类型为 400,块类型为 25。
您可以通过扩展请求,仅从 eStreamer 请求 5.1.1.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 4(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.1.1.x 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
入侵事件记录 5.3.1
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 42。
你可以通过扩展请求,仅从 eStreamer 请求 5.3.1 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 7(有关提交扩展请求的信息,请参阅提交扩展请求)。
对于版本 5.3.1 入侵事件,事件 ID、受管设备 ID 以及事件秒构成唯一标识符。连接秒、连接实例以及连接计数器在一起构成与入侵事件相关的连接事件的唯一标识符。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
入侵事件记录 5.4.x
下图中的阴影部分表示入侵事件记录中的字段。在系列 2 数据块组中,记录类型为 400,块类型为 45。它替代了块类型 42,然后被块类型 60 替代。已添加用于 SSL 支持和网络分析策略的字段。
你可以通过扩展请求,仅从 eStreamer 请求 5.4.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 12 和版本代码 8(有关提交扩展请求的信息,请参阅提交扩展请求)。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
入侵事件记录 6.x
下图中的阴影部分表示入侵事件记录中的字段。此数据块的记录类型为系列 2 数据块组中的 400,块类型为系列 2 数据块组中的 60。它取代了块类型 45,并在 7.0 中被块类型 81 取代。已添加 HTTP 响应字段。
您可以通过扩展请求,仅从 eStreamer 请求 6.x 入侵事件,要提交扩展请求,您需要在流请求消息中请求事件类型代码 12 和版本代码 9(有关提交扩展请求的信息,请参阅提交扩展请求)。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
入侵事件记录 7.0
下图中的阴影部分表示入侵事件记录中的字段。此数据块的记录类型为系列 2 数据块组中的 400,块类型为系列 2 数据块组中的 81。它替代了块类型 60,然后被块类型 85 替代。已添加“内联结果原因”(Inline Result Reason)、“入口和出口虚拟路由转发”(Ingress and Egress Virtual Route Forwarding) 以及“Snort 版本”(Snort Version) 字段。“已阻止”(Blocked) 字段已重命名为“内联结果”(Inline Result)。
您可以通过扩展请求,仅从 eStreamer 请求 7.0 入侵事件,要提交扩展请求,您需要在流请求消息中请求事件类型代码 12 和版本代码 10(有关提交扩展请求的信息,请参阅提交扩展请求)。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) |
||||||||||||||||||||||||||||||||
|
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“入口 VRF ”(Ingress VRF) 名称字段中的字节数。 |
||
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“出口 VRF ”(Egress VRF) 名称字段中的字节数。 |
||
入侵影响警报数据
入侵影响警报事件包含影响事件的相关信息。当将入侵事件与系统网络映射数据进行比较且影响已确定时,系统传输入侵影响警报数据。该记录使用记录类型为 9 的标准记录报头,后面跟着数据块类型为系列 1 数据块组中的 20 的入侵影响警报数据块。(影响警报数据块是系列 1 类型的数据块。有关系列 1 数据块的详细信息,请参阅了解发现(系列 1)块。)
您可以通过在请求消息的标志字段中设置位 5 来请求 eStreamer 只传输入侵影响事件。有关请求消息的详细信息,请参阅事件流请求消息格式。这些警报的版本 1 只处理 IPv4。5.3 中引入的版本 2 除了处理 IPv4 之外,还处理 IPv6 事件。
|
表示后面是入侵影响警报数据块。此字段的值始终为 |
||
|
||
|
与影响事件相关的目标 IP 地址的 IP 地址(如适用),采用 IP 地址八位组。如果无目标 IP 地址,则此值为 |
||
|
启动包含影响名称的字符串数据块。此值始终设置为 |
||
入侵事件额外数据记录
eStreamer 服务可传输与入侵事件额外数据记录中的入侵事件相关的事件额外数据。记录类型始终为
110
。
此记录在版本 7.1 中已弃用。虽然仍然可以请求,但不会生成任何记录。
事件额外数据出现在封装事件额外数据数据块中,该数据块的数据块类型值始终为
4
。(事件额外数据数据块是系列 2 数据块。有关系列 2 数据块的详细信息,请参阅了解系列 2 数据块。)
支持的额外数据类型包括 IPv6 源地址和目标地址,以及通过 HTTP 代理或负载均衡器与网络服务器连接的客户端的源 IP 地址(v4 或 v6)。下图显示入侵事件额外数据记录的格式。
如果在请求消息的“请求标志”(Request Flags) 字段中设置位 27,您将收到每个入侵事件的事件额外数据。如果设置位 20,您也会收到入侵事件额外数据元数据中描述的事件额外数据元数据。如果启用位 23,eStreamer 将包含扩展事件报头。有关设置请求标志的信息,请参阅请求标志。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
请注意,事件额外数据块结构包含一个 BLOB 块类型,该块类型是 Cisco Secure Firewall 系统 版本 4.10 中引入的几种可变长度数据结构之一。
|
启动事件额外数据数据块。值始终为 |
||
入侵事件额外数据元数据
eStreamer 服务可传输与入侵事件额外数据元数据记录中的入侵事件额外数据记录相关的事件额外数据元数据。记录类型始终为
111
。
此记录在版本 7.1 中已弃用。虽然仍然可以请求,但不会生成任何记录。
事件额外数据元数据出现在封装事件额外数据元数据数据块中,该数据块的数据块类型值始终为
5
。事件额外数据数据块是系列 2 数据块。
如果在请求消息的“请求标志”(Request Flags) 字段中设置位 20,您将收到事件额外数据元数据。如果想收到入侵事件和事件额外数据元数据,还必须设置位 2。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
事件额外数据元数据数据块类型 (5) (Event Extra Data Metadata Data Block Type (5)) |
||||||||||||||||||||||||||||||||
请注意,块结构包含封装字符串块类型,该块类型是 Cisco Secure Firewall 系统 版本 4.10 中引入的几种系列 2 可变长度数据结构之一。
|
事件额外数据元数据数据块长度 (Event Extra Data Metadata Data Block Length) |
||
旧版恶意软件事件数据结构
- 恶意软件事件数据块 5.1
- 恶意软件事件数据块 5.1.1.x
- 恶意软件事件数据块 5.2.x
- 恶意软件事件数据块 5.3
- 恶意软件事件数据块 5.3.1
- 恶意软件事件数据块 5.4.x
- 恶意软件事件数据块 6.x
恶意软件事件数据块 5.1
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 16。您可以通过在事件版本为 1 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
恶意软件事件数据块 5.1.1.x
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 24。您可以通过在事件版本为 2 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
恶意软件事件数据块 5.2.x
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 33。您可以通过在事件版本为 3 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
恶意软件事件数据块 5.3
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 35。您可以通过在事件版本为 4 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
|
检测名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
|
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
|
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
|
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
|
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列”(Parent File SHA Hash) 字段中的字节数。 |
||
|
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
|
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
恶意软件事件数据块 5.3.1
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 44。它替代了块 35。您可以通过在事件版本为 5 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
|
检测名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
|
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
|
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
|
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
|
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列”(Parent File SHA Hash) 字段中的字节数。 |
||
|
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
|
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
恶意软件事件数据块 5.4.x
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 47。它替代了块 44,然后被块替代。已添加用于 SSL 和文件存档支持的字段。
您可以通过在事件版本为 6 且事件代码为 101 的请求消息中设置恶意软件事件标志(请求标志字段中的位 30)将该事件作为恶意软件事件记录的一部进行请求。
|
检测名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
|
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
|
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
|
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
|
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列”(Parent File SHA Hash) 字段中的字节数。 |
||
|
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
|
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
恶意软件事件数据块 6.x
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 62。它替代了块 47。已添加 HTTP 响应字段。它被块 80 替代。
您可以通过在事件版本为 7 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软事件记录的一部分进行请求。
|
检测名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
|
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
|
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
|
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
|
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列”(Parent File SHA Hash) 字段中的字节数。 |
||
|
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
|
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
旧版发现数据结构
发现事件报头 5.0 - 5.1.1.x
发现和连接事件消息包含发现事件报头。它传送事件的类型和子类型、事件发生的时间、出现该事件的设备以及消息中事件数据的结构。报头后面是实际主机发现、用户或连接事件数据。按事件类型划分的主机发现结构中介绍了与不同事件类型/子类型值相关的结构。
发现事件报头的事件类型和事件子类型字段用于识别传输的事件消息的结构。一旦确定事件数据块的结构,您的程序即可对消息进行适当解析。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
|
生成发现事件的设备的 ID 号码。您可以通过请求版本 3 和版本 4 元数据获取设备的元数据。有关详细信息,请参阅受管设备记录元数据。 |
||
|
事件类型 (Event Type)(新事件为 |
||
|
事件子类型。有关可用事件子类型列表,请参阅按事件类型划分的主机发现结构。 |
||
用于 5.0 - 5.1 的用户客户端应用数据块
用户客户端应用数据块包含客户端应用数据来源、添加数据的用户的标识号以及 IP 地址范围数据块列表的相关信息。用户客户端应用数据块的块类型为 59。
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用户服务器数据块字段。 |
||
扫描结果数据块 5.0 - 5.1.1.x
扫描结果数据块对漏洞进行说明,在添加扫描结果事件(事件类型 1002,子类型 11)中使用。扫描结果数据块的块类型为 102。
|
包含主机输入数据的用户产品数据块。有关此数据块的说明,请参阅用户产品数据块 5.1+。 |
用于 5.0.x 的用户产品数据块
用户产品数据块传输从第三方应用导入的主机输入数据,包括第三方应用字符串映射。此数据块在连接统计信息数据块 6.0.x和用户服务器和操作系统消息中使用。在版本 4.10.x 中,用户产品数据块的块类型为 65,在版本 5.0 - 5.0.x 中,其块类型为 118。这两种块类型的结构相同。
|
用户产品数据块类型 (65 | 118) (User Product Data Block Type (65 | 118)) |
||||||||||||||||||||||||||||||||
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
|
启动由传送有关应用到特定 IP 地址范围中指定主机的修复的用户输入数据的修复列表数据块组成的通用列表数据块。值始终为 |
||
|
包含应用到主机的修复的相关信息的修复列表数据块。有关此数据块的说明,请参阅修复列表数据块。 |
用于 5.0 - 5.0.2 的用户登录信息数据块
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户信息更新消息块。
在版本 5.0 - 5.0.2 中,用户登录信息数据块的块类型为 121。
用户登录信息数据块 5.1 - 5.4.x
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户帐户更新消息数据块。
在版本 4.7-4.10.x 中,用户登录信息数据块的块类型为 73,在版本 5.0 - 5.0.2 中,块类型为系列 1 数据块组中的 121,在版本 5.1-5.4.x 中,块类型为系列 1 数据块组中的 127。
|
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户登录信息数据块 6.0.x
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户帐户更新消息数据块。
在版本 6.0.x 中,用户登录信息数据块的块类型为 159。它具有新 ISE 集成终端配置文件、安全情报字段。
在版本 4.7-4.10.x 中,用户登录信息数据块的块类型为 73。在版本 5.0 - 5.0.2 中,块类型为系列 1 数据块组中的 121。在版本 5.1+ 中,块类型为系列 1 数块组中的 127。有关详细信息,请参阅用户登录信息数据块 5.1 - 5.4.x。
|
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户登录信息数据块 6.1.x
在版本 6.1+ 中,用户登录信息数据块的块类型为系列 1 数据块组中的 165。它具有新的端口和隧道字段。它替代块类型 159。有关详细信息,请参阅用户登录信息数据块 6.0.x。它被块类型 167 替代。
|
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用户登录信息数据块 6.1.x
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户信息更新消息块。
在版本 6.1x 中,用户登录信息数据块的块类型为系列 1 数据块组中的 165。它具有新的端口和隧道字段。它替代块类型 159。它被块类型 167 替代。用户登录信息数据块 6.0.x有关详细信息,请参阅。
|
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
用于 5.x 的用户信息数据块
用户信息数据块在用户修改消息中使用,传送检测到、删除或丢弃的用户的信息。有关详细信息,请参阅用户修改消息
在版本 4.7-4.10.x 中,用户信息数据块的块类型为系列 1 数据块组中的 75,在版本 5.x 中,块类型为系列 1 数据块组中的 120。块类型 75 与块类型 120 的结构相同。
用于 5.0 - 5.0.2 的主机配置文件数据块
下图显示版本 5.0 至 5.0.2 中主机配置文件数据块的格式。主机配置文件数据块也不包含主机临界值,但包含 VLAN 在线状态指示器。此外,主机配置文件数据块可以传输主机的 NetBIOS 名称。此主机配置文件数据块的块类型为 91。
下表对由版本 4.9 返回到版本 5.0.2 的主机配置文件数据块的字段进行了说明。
|
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
|
操作系统指纹(SMB 指纹)数据块 (Operating System Fingerprint (SMB Fingerprint) Data Blocks) * |
包含用 SMB 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
|
操作系统指纹(DHCP 指纹)数据块 (Operating System Fingerprint (DHCP Fingerprint) Data Blocks) * |
包含用 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。 |
|
|
包含网络协议号的数据字段,如协议数据块中所记录。 |
||
|
包含传输协议号的数据字段,如协议数据块中所记录。 |
||
|
主机 MAC 地址数据块中的字节数,包括主机 MAC 地址块类型和长度字段的八个字节,加上随后的主机 MAC 地址数据中的字节数。 |
||
|
主机 MAC 地址 4.9+中描述的主机 MAC 地址数据字段。 |
||
|
描述客户端应用的客户端应用数据字段,如用于 5.0+ 的主机客户端应用数据块中所记录。 |
||
|
表示 NetBIOS 名称字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上 NetBIOS 名称的字节数。 |
||
用于 5.0 - 5.0.2 的操作系统指纹数据块
操作系统指纹数据块的块类型为 87。块包括指纹通用唯一标识符 (UUID) 以及指纹类型、指纹源类型和指纹源 ID。下图显示用于版本 5.0 至版本 5.0.2 的操作系统指纹数据块的格式。
|
操作系统指纹块类型 (87) (Operating System Fingerprint Block Type (87)) |
|||||||||||||||||||||||||||||||||
|
操作系统指纹数据块中的字节数。此值应始终为 |
||
|
采用八位组的指纹识别号,用作操作系统的唯一标识符。指纹 UUID 映射到漏洞数据库 (VDB) 中的操作系统名称、供应商和版本。 |
||
旧版连接数据结构
- 连接统计信息数据块 5.0 - 5.0.2
- 连接统计信息数据块 5.1
- 连接统计信息数据块 5.2.x
- 用于 5.0 - 5.1 的连接区块数据块
- 用于 5.1.1-6.0.x 的连接区块数据块
- 连接统计信息数据块 5.1.1.x
- 连接统计信息数据块 5.3
- 连接统计信息数据块 5.3.1
- 连接统计信息数据块 5.4
- 连接统计信息数据块 5.4.1
- 连接统计信息数据块 6.0.x
- 连接统计信息数据块 6.1.x
- 连接统计信息数据块 6.2-6.7.x
- 连接统计信息数据块 7.0
连接统计信息数据块 5.0 - 5.0.2
连接统计信息数据块在连接数据消息中使用。用于版本 5.0 - 5.0.2 的连接统计信息数据块的块类型为 115。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下图显示用于 5.0 - 5.0.2 的连接统计信息数据块的格式:
下表对用于 5.0 - 5.0.2 的连接统计信息数据块的字段进行了说明。
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块 5.1
连接统计信息数据块在连接数据消息中使用。5.0.2 到 5.1 的连接数据块变更包括添加了具有 5.1 中引入的配置参数的新字段(规则操作原因、监控器规则、安全情报源/目标、安全情报层)。用于版本 5.1 的连接统计信息数据块的块类型为 126。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块 5.2.x
连接统计信息数据块在连接数据消息中使用。版本 5.1.1 到版本 5.2 的连接数据块变更包括添加了用于支持地理位置的新字段。用于版本 5.2.x 的连接统计信息数据块的块类型为系列 1 数据块组中的 144。它否决了块类型 137,连接统计信息数据块 5.1.1.x。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.2.x 的连接统计信息数据块的字段进行了说明:
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
用于 5.0 - 5.1 的连接区块数据块
连接区块数据块传送 NetFlow 设备检测到的连接数据。在 4.10.1 之前的版本中,连接区块数据块的块类型为 66。在版本 5.0 - 5.1 中,其块类型为 119。
连接统计信息数据块 5.1.1.x
连接统计信息数据块在连接数据消息中使用。版本 5.1 到版本 5.1.1 的连接数据块变更包括添加了用于识别相关入侵事件的新字段。用于版本 5.1.1.x 的连接统计信息数据块的块类型为 137。它否决了块类型 126,连接统计信息数据块 5.1。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.1.1.x 的连接统计信息数据块的字段进行了说明。
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块 5.3
连接统计信息数据块在连接数据消息中使用。版本 5.2.x 到版本 5.3 的连接数据块变更包括添加了用于 NetFlow 信息的新字段。用于版本 5.3 的连接统计信息数据块的块类型为系列 1 数据块组中的 152。它否决了块类型 144,连接统计信息数据块 5.2.x。
您可以通过在事件版本为 10 且事件代码为 71 的请求消息中设置扩展事件标志(请求标志字段中的位 30)请求扩展事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
连接统计信息数据块 5.3.1
连接统计信息数据块在连接数据消息中使用。从版本 5.3 到版本 5.3.1 对连接数据块进行的唯一变更是添加了安全情景字段。用于版本 5.3.1 的连接统计信息数据块的块类型为系列 1 数据块组中的 154。它否决了块类型 152,连接统计信息数据块 5.3。
您可以通过在事件版本为 11 且事件代码为 71 的请求消息中设置扩展事件标志(请求标志字段中的位 30)请求扩展事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.3.1 的连接统计信息数据块的字段进行了说明。
|
客户端应用 URL 字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上客户端应用 URL 字符串中的字节数。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
连接统计信息数据块 5.4
连接统计信息数据块在连接数据消息中使用。用于 5.4 的连接统计信息数据块中添加了多个新字段,添加新字段是为了支持 SSL 连接、HTTP 重定向以及网络分析策略。用于版本 5.4 的连接统计信息数据块的块类型为系列 1 数据块组中的 155。它不支持块类型 154,连接统计信息数据块 5.3.1。
您可以通过在事件版本为 12 且事件代码为 71 的请求消息中设置扩展事件标志(请求标志字段中的位 30)请求扩展事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.4+ 的连接统计信息数据块的字段进行了说明。
连接统计信息数据块 5.4.1
连接统计信息数据块在连接数据消息中使用。用于 5.4 的连接统计信息数据块中添加了多个新字段,添加新字段是为了支持 SSL 连接、HTTP 重定向以及网络分析策略。用于版本 5.4+ 的连接统计信息数据块的块类型为系列 1 数据块组中的 157。它否决了块类型 155,连接统计信息数据块 5.3.1。
您可以通过在事件版本为 12 且事件代码为 71 的请求消息中设置扩展事件标志(请求标志字段中的位 30)请求扩展事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 5.4+ 的连接统计信息数据块的字段进行了说明。
连接统计信息数据块 6.0.x
连接统计信息数据块在连接数据消息中使用。用于 6.0 的连接统计信息数据块中添加了多个新字段。添加新字段是为了支持 ISE 集成和多个网络映射。用于版本 6.0.x 的连接统计信息数据块的块类型为系列 1 数据块组中的 160。它替代块类型 157,连接统计信息数据块 5.4.1。添加新字段是为了支持 DNS 查询和安全情报。
您可以通过在事件版本为 13 且事件代码为 71 的请求消息中设置扩展事件标志(“请求标志”(Request Flags) 字段中的位 30)请求连接事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
连接统计信息数据块类型 (160) (Connection Statistics Data Block Type (160)) |
||||||||||||||||||||||||||||||||
下表对用于 6.0.x 的连接统计信息数据块的字段进行了说明。
连接统计信息数据块 6.1.x
连接统计信息数据块在连接数据消息中使用。用于 6.1.x 的连接统计信息数据块中添加了多个新字段。添加新字段是为了支持 ISE 集成和多个网络映射。用于版本 6.1+ 的连接统计信息数据块的块类型为系列 1 数据块组中的 163。它替代块类型 160,连接统计信息数据块 6.0.x。添加新字段是为了支持 DNS 查询和安全情报。它被块类型 168 替代,连接统计信息数据块 7.1+,
您可以通过在事件版本为 13 且事件代码为 71 的请求消息中设置扩展事件标志(“请求标志”(Request Flags) 字段中的位 30)请求连接事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下表对用于 6.1.x 的连接统计信息数据块的字段进行了说明。
连接统计信息数据块 6.2-6.7.x
连接统计信息数据块在连接数据消息中使用。用于 6.2-6.7.x 的连接统计信息数据块中添加了第三个安全情报字段。用于版本 6.2-6.7.x 的连接统计信息数据块的块类型为系列 1 数据块组中的 168。它替代块类型 163,连接统计信息数据块 6.1.x。它被块类型 173 替代。
您可以通过在事件版本为 15 且事件代码为 71 的请求消息中设置扩展事件标志(“请求标志”(Request Flags) 字段中的位 30)请求连接事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
下图显示用于 6.2-6.7.x 的连接统计信息数据块的格式:
下表对用于 6.2-6.7.x 的连接统计信息数据块的字段进行了说明。
连接统计信息数据块 7.0
连接统计信息数据块在连接数据消息中使用。“安全组标记”(Security Group Tag)、“虚拟路由和转发”(virtual routing and forwarding) 以及“动态属性”(dynamic attribute) 字段已添加到“7.0+ 的连接统计信息据块”中。用于版本 7.0+ 的连接统计信息数据块的块类型为系列 1 数据块组中的 173。它替代块类型 168,连接统计信息数据块 6.2-6.7.x。它被块类型 174 替代
您可以通过在事件版本为 16 且事件代码为 71 的请求消息中设置扩展事件标志(“请求标志”
(Request Flags) 字段中的位 30)请求连接事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
|
响应方丢弃的数据包数 (Responder Packets Dropped) (Responder Packets Dropped) |
||||||||||||||||||||||||||||||||
|
发起方丢弃的字节数 (Initiator Bytes Dropped) (Initiator Bytes Dropped) |
||||||||||||||||||||||||||||||||
|
响应方丢弃的字节数 (Responder Bytes Dropped) (Responder Bytes Dropped) |
||||||||||||||||||||||||||||||||
旧版文件事件数据结构
用于 5.1.1.x 的文件事件
该文件事件包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 23。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
用于 5.2 的文件事件
该文件事件包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 32。它替代了块类型 23。已添加新字段以跟踪源和目标国家/地区以及客户端和 web 应用实例。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
用于 5.3 的文件事件
该文件事件包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 38。它替代了块类型 32。已添加新字段以跟踪动态文件分析和文件存储。
您可以通过在事件版本为 3 且事件代码为 111 的请求消息中设置文件事件标志(请求标志字段中的位 30)请求文件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
|
表示文件分析中是否使用了 SPERO 签名。如果值为 |
||
|
映射至文件类型的 ID 编号。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
用于 5.3.1 的文件事件
该文件事件包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 43。它替代了块类型 38。已添加安全情景字段。
您可以通过在事件版本为 4 且事件代码为 111 的请求消息中设置文件事件标志(请求标志字段中的位 30)请求文件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
|
表示文件分析中是否使用了 SPERO 签名。如果值为 |
||
|
||
|
映射至文件类型的 ID 编号。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
用于 5.4 的文件事件
该文件事件包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 46。它替代了块类型 43。已添加用于 SSL 和文件存档支持的字段。
您可以通过在事件版本为 5 且事件代码为 111 的请求消息中设置文件事件标志(“请求标志”
(Request Flags) 字段中的位 30)请求文件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
|
表示文件分析中是否使用了 SPERO 签名。如果值为 |
||
|
映射至文件类型的 ID 编号。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
6.x 的文件事件
文件事件数据块包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 56。它替代了块类型 46,然后被块类型 79 替代。已添加 ISE 集成、文件分析、本地恶意软件分析以及容量处理状态等字段。
您可以通过在事件版本为 5 且事件代码为 111 的请求消息中设置文件事件标志(“请求标志”(Request Flags) 字段中的位 30)请求文件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
|
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
|
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
|
表示文件分析中是否使用了 SPERO 签名。如果值为 |
||
|
||
|
映射至文件类型的 ID 编号。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
|
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
|
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
旧版关联事件数据结构
用于 5.0 - 5.0.2 的关联事件
关联事件(在 5.0 之前的版本中称为合规性事件)包含关联策略违规的相关信息。此消息使用标准 eStreamer 消息报头并指定记录类型为 112,随后是类型为 116 的关联数据块。数据块类型 116 与其前身(块类型 107)的区别在于,其包含关联安全区和接口的其他相关信息。
您可以通过扩展请求,仅从 eStreamer 请求 5.0 入侵事件,要提交扩展请求,您需要在流请求消息中请求事件类型代码 31 和版本代码 7(有关提交扩展请求的信息,请参阅提交扩展请求)。您可以选择启用初始事件流请求消息的标志字段中的位 23,以包含扩展事件报头。您也可以启用标志字段中的位 20,以包含用户元数据。
请注意,记录结构包含一个字符串块类型,该数据块为系列 1 中的数据块。有关系列 1 数据块的信息,请参阅了解发现(系列 1)块。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
|||||||||||||||||||||||||||||||||
|
表示随后的关联事件数据块。此字段的值始终为 |
||
|
生成关联事件的受管设备或防御中心的内部识别号。值您可以通过请求版本 3 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
违反的关联策略的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
|
触发策略违规事件的关联规则的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
|
启动包含关联违规事件说明的字符串数据块。此值始终设置为 |
||
|
生成触发关联事件的事件的设备的标识号。您可以通过请求版本 3 元数据获取设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
如果事件为入侵事件,则表示生成事件的 Cisco Secure Firewall 系统预处理器或规则引擎的 ID 号码。 |
||
|
此字段中的设置位表示后面消息中哪些是有效的字段。有关每个位值的列表,请参阅表 B-55。 |
||
|
||
|
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
|
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
用于 5.1-5.3.x 的关联事件
关联事件(在 5.0 之前的版本中称为合规性事件)包含关联策略违规的相关信息。此消息使用标准 eStreamer 消息报头并指定记录类型为 112,随后是类型为系列 1 数据块组中的 128 的关联数据块。数据块类型 128 与其前身(块类型 116)的区别在于其包含 IPv6 支持。
您可以通过扩展请求,仅从 eStreamer 请求 5.1-5.3.x 入侵事件,为此,您需要在流请求消息中请求事件类型代码 31 和版本代码 8(有关提交扩展请求的信息,请参阅提交扩展请求)。您可以选择启用初始事件流请求消息的标志字段中的位 23,以包含扩展事件报头。您也可以启用标志字段中的位 20,以包含用户元数据。
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
|||||||||||||||||||||||||||||||||
请注意,记录结构包含一个字符串块类型,该数据块为系列 1 中的数据块。有关系列 1 数据块的信息,请参阅了解发现(系列 1)块。
|
表示随后的关联事件数据块。此字段的值始终为 128。请参阅了解发现(系列 1)块。 |
||
|
生成关联事件的受管设备或防御中心的内部识别号。值您可以通过请求版本 3 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
违反的关联策略的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
|
触发策略违规事件的关联规则的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
|
启动包含关联违规事件说明的字符串数据块。此值始终设置为 0。有关字符串块的详细信息,请参阅字符串数据块。 |
||
|
生成触发关联事件的事件的设备的标识号。您可以通过请求版本 3 元数据获取设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
如果事件为入侵事件,则表示生成事件的 Cisco Secure Firewall 系统预处理器或规则引擎的 ID 号码。 |
||
|
此字段中的设置位表示后面消息中哪些是有效的字段。有关每个位值的列表,请参阅表 B-55。 |
||
|
||
|
保留此字段,但不再填充。源 IPv4 地址存储在源 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
|
保留此字段,但不再填充。目标 IPv4 地址存储在目标 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
|
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
旧版主机数据结构
要请求这些结构,必须使用主机请求消息。要请求旧版结构,主机请求消息必须使用较旧的格式。有关详细信息,请参阅主机请求消息格式。
以下主题介绍旧版主机数据结构,包括主机配置文件结构和完整主机配置文件结构:
- 完整主机配置文件数据块 5.0 - 5.0.2
- 完整主机配置文件数据块 5.1.1
- 完整主机配置文件数据块 5.2.x
- 用于 5.1.x 的主机配置文件数据块
- 用于 5.0 - 5.1.1.x 的 IP 范围规格数据块
- 访问控制策略规则原因数据块
完整主机配置文件数据块 5.0 - 5.0.2
用于版本 5.0 - 5.0.2 的完整主机配置文件数据块包含一整套主机说明数据。其格式如下图中所示,并在下表中进行说明。请注意,除列表数据块之外,该图未显示封装数据块的字段。这些封装数据块在了解发现和连接数据结构中单独进行说明。完整主机配置文件数据块的块类型值为 111。
下表对用于 5.0 - 5.0.2 记录的完整主机配置文件的组件进行了说明。
|
源自操作系统的指纹数据块 (Operating System Derived Fingerprint Data Blocks) * |
包含源自主机的现有指纹的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 1) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 1) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 2) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 2) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(用户指纹)数据块 (Operating System Fingerprint (User Fingerprint) Data Blocks) * |
包含用户添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(扫描指纹)数据块 (Operating System Fingerprint (Scan Fingerprint) Data Blocks) * |
包含漏洞扫描仪添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(应用指纹)数据块 (Operating System Fingerprint (Application Fingerprint) Data Blocks) * |
包含应用添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(冲突指纹)数据块 (Operating System Fingerprint (Conflict Fingerprint) Data Blocks) * |
包含通过指纹冲突解决选择的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
传输主机上的 TCP有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的 UDP 子服务器相关数据的完整主机数据块列表。有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的网络协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
传送主机上的传输协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
主机 MAC 地址数据块列表。有关此数据块的说明,请参阅主机 MAC 地址 4.9+。 |
||
|
客户端应用数据块列表。有关此数据块的说明,请参阅完整主机客户端应用数据块 5.0+。 |
||
|
在思科漏洞数据库 (VDB) 中识别的漏洞的主机漏洞数据块列表。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
||
|
(第三方/VDB)主机漏洞数据块 ((Third Party/VDB) Host Vulnerability Data Blocks) * |
源自第三方扫描仪且包含已收录到思科漏洞数据库 (VDB) 中的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
(第三方扫描)主机漏洞数据块 ((Third Party Scan) Host Vulnerability Data Blocks) * |
源自第三方扫描仪的主机漏洞数据块。请注意,这些数据块的主机漏洞 ID 为第三方扫描仪 ID,而不是思科检测到的 ID。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
属性值数据块列表。有关此列表中的数据块的说明,请参阅属性值数据块。 |
完整主机配置文件数据块 5.1.1
用于版本 5.1.1 的完整主机配置文件数据块包含一整套主机说明数据。其格式如下图中所示,并在下表中进行说明。请注意,除列表数据块之外,该图未显示封装数据块的字段。这些封装数据块在了解发现和连接数据结构中单独进行说明。完整主机配置文件数据块的块类型值为 135。它否决了数据块 111。
下表对用于 5.1.1 记录的完整主机配置文件的组件进行了说明。
|
源自操作系统的指纹数据块 (Operating System Derived Fingerprint Data Blocks) * |
包含源自主机的现有指纹的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 1) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 1) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 2) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 2) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(用户指纹)数据块 (Operating System Fingerprint (User Fingerprint) Data Blocks) * |
包含用户添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(扫描指纹)数据块 (Operating System Fingerprint (Scan Fingerprint) Data Blocks) * |
包含漏洞扫描仪添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(应用指纹)数据块 (Operating System Fingerprint (Application Fingerprint) Data Blocks) * |
包含应用添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(冲突指纹)数据块 (Operating System Fingerprint (Conflict Fingerprint) Data Blocks) * |
包含通过指纹冲突解决选择的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
传输主机上的 TCP有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的 UDP 子服务器相关数据的完整主机数据块列表。有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的网络协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
传送主机上的传输协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
主机 MAC 地址数据块列表。有关此数据块的说明,请参阅主机 MAC 地址 4.9+。 |
||
|
客户端应用数据块列表。有关此数据块的说明,请参阅完整主机客户端应用数据块 5.0+。 |
||
|
在思科漏洞数据库 (VDB) 中识别的漏洞的主机漏洞数据块列表。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
||
|
(第三方/VDB)主机漏洞数据块 ((Third Party/VDB) Host Vulnerability Data Blocks) * |
源自第三方扫描仪且包含已收录到思科漏洞数据库 (VDB) 中的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
(第三方扫描)主机漏洞数据块 ((Third Party Scan) Host Vulnerability Data Blocks) * |
源自第三方扫描仪的主机漏洞数据块。请注意,这些数据块的主机漏洞 ID 为第三方扫描仪 ID,而不是思科检测到的 ID。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
属性值数据块列表。有关此列表中的数据块的说明,请参阅属性值数据块。 |
||
完整主机配置文件数据块 5.2.x
用于版本 5.2.x 的完整主机配置文件数据块包含一整套主机说明数据。其格式如下图中所示,并在下表中进行说明。请注意,除列表数据块之外,该图未显示封装数据块的字段。这些封装数据块在了解发现和连接数据结构中单独进行说明。完整主机配置文件数据块的块类型值为 140。它替代了之前的版本,之前版本的块类型为 135。
下表对用于 5.2.x 记录的完整主机配置文件的组件进行了说明。
|
主机的 IP 地址以及上次看到每个 IP 地址的时间。有关此数据块的说明,请参阅主机 IP 地址数据块。 |
||
|
源自操作系统的指纹数据块 (Operating System Derived Fingerprint Data Blocks) * |
包含源自主机的现有指纹的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 1) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 1) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (VDB) 本机指纹 2) 数据块 (Operating System Fingerprint (VDB) Native Fingerprint 2) Data Blocks) * |
包含用思科漏洞数据库 (VDB) 中的指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(用户指纹)数据块 (Operating System Fingerprint (User Fingerprint) Data Blocks) * |
包含用户添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(扫描指纹)数据块 (Operating System Fingerprint (Scan Fingerprint) Data Blocks) * |
包含漏洞扫描仪添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(应用指纹)数据块 (Operating System Fingerprint (Application Fingerprint) Data Blocks) * |
包含应用添加的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(冲突指纹)数据块 (Operating System Fingerprint (Conflict Fingerprint) Data Blocks) * |
包含通过指纹冲突解决选择的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(移动)数据块 (Operating System Fingerprint (Mobile) Data Blocks) * |
包含移动设备主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(IPv6 服务器指纹)数据块 (Operating System Fingerprint (IPv6 Server Fingerprint) Data Blocks) * |
包含用 IPv6 服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(IPv6 客户端指纹)数据块 (Operating System Fingerprint (IPv6 Client Fingerprint) Data Blocks) * |
包含用 IPv6 客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹 (IPv6 DHCP) 数据块 (Operating System Fingerprint (IPv6 DHCP) Data Blocks) * |
包含用 IPv6 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(用户代理)数据块 (Operating System Fingerprint (User Agent) Data Blocks) * |
包含用用户代理指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
传输主机上的 TCP有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的 UDP 子服务器相关数据的完整主机数据块列表。有关此数据块的说明,请参阅完整主机服务器数据块 4.10.0+。 |
||
|
传输主机上的网络协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
传送主机上的传输协议相关数据的协议数据块列表。有关此数据块的说明,请参阅协议数据块。 |
||
|
主机 MAC 地址数据块列表。有关此数据块的说明,请参阅主机 MAC 地址 4.9+。 |
||
|
客户端应用数据块列表。有关此数据块的说明,请参阅完整主机客户端应用数据块 5.0+。 |
||
|
在思科漏洞数据库 (VDB) 中识别的漏洞的主机漏洞数据块列表。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
||
|
(第三方/VDB)主机漏洞数据块 ((Third Party/VDB) Host Vulnerability Data Blocks) * |
源自第三方扫描仪且包含已收录到思科漏洞数据库 (VDB) 中的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
(第三方扫描)主机漏洞数据块 ((Third Party Scan) Host Vulnerability Data Blocks) * |
源自第三方扫描仪的主机漏洞数据块。请注意,这些数据块的主机漏洞 ID 为第三方扫描仪 ID,而不是思科检测到的 ID。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
|
属性值数据块列表。有关此列表中的数据块的说明,请参阅属性值数据块。 |
||
用于 5.1.x 的主机配置文件数据块
下图显示主机配置文件数据块的格式。该数据块也不包含主机临界值,但包含 VLAN 在线状态指示器。此外,数据块还可以传输主机的 NetBIOS 名称。主机配置文件数据块的块类型为 132。
下表对版本 5.1.x 返回的主机配置文件数据块的字段进行了说明
|
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(SMB 指纹)数据块 (Operating System Fingerprint (SMB Fingerprint) Data Blocks) * |
包含用 SMB 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(DHCP 指纹)数据块 (Operating System Fingerprint (DHCP Fingerprint) Data Blocks) * |
包含用 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
操作系统指纹(移动设备指纹)数据块 (Operating System Fingerprint (Mobile 设备 Fingerprint) Data Blocks) * |
包含用移动设备指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
|
描述网络协议的协议数据块。有关此数据块的说明,请参阅协议数据块。 |
||
|
描述传输协议的协议数据块。有关此数据块的说明,请参阅协议数据块。 |
||
|
描述主机 MAC 地址的主机 MAC 地址数据块。有关此数据块的说明,请参阅主机 MAC 地址 4.9+。 |
||
|
描述客户端应用的客户端应用数据块。有关此数据块的说明,请参阅完整主机客户端应用数据块 5.0+。 |
||
|
表示 NetBIOS 名称字符串数据块中的字节数,包括字符串块类型和长度字段的八个字节,加上 NetBIOS 名称的字节数。 |
||
用于 5.0 - 5.1.1.x 的 IP 范围规格数据块
IP 范围规格数据块传输一系列 IP 地址。IP 范围规格数据块在用户协议、用户客户端应用、地址规格、用户产品、用户服务器、用户主机、用户漏洞、用户临界点以及用户属性值数据块中使。IP 范围规格数据块的块类型为 61。
|
IP 范围规格数据块中的字节总数,包括 IP 范围规格块类型和长度字段的八个字节,加上随后的 IP 范围规格数据的字节数。 |
||
访问控制策略规则原因数据块
eStreamer 服务用访问控制规则策略规则原因数据块包含有关访问控制策略规则 ID 的信息。此数据块的块类型为系列 2 中的 21。
|
访问控制策略规则原因数据块类型 (21) (Access Control Policy Rule Reason Data Block Type (21)) |
||||||||||||||||||||||||||||||||
|
访问控制策略规则原因数据块长度 (Access Control Policy Rule Reason Data Block Length) |
||||||||||||||||||||||||||||||||
|
访问控制策略规则原因数据块类型 (Access Control Policy Rule Reason Data Block Type) |
||
|
访问控制策略规则原因数据块长度 (Access Control Policy Rule Reason Data Block Length) |
访问控制策略规则原因数据块中的字节总数,包括访问控制策略规则原因数据块类型和长度字段的八个字节,加上随后的数据的字节数。 |
|
反馈