Cisco Security MARS Local Controller および Global Controller ユーザ ガイド リリース 6.x
Cisco Security MARS XML API リファレン ス
Cisco Security MARS XML API リファレンス
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

Cisco Security MARS XML API リファレンス

XML スキーマの概要

XML インシデント通知のデータ ファイルとスキーマ

XML インシデント通知データ ファイルの出力例

XML インシデント通知スキーマ

XML インシデント通知の使用上のガイドラインと表記法

Cisco Security MARS XML API リファレンス

この付録には、Cisco Security MARS の XML データをサードパーティ製アプリケーションに統合する XML アプリケーションを作成するための参考資料を記載しています。

XML スキーマの概要

XML スキーマは、World Wide Web Consortium(W3C)の標準の XML スキーマ言語に従って記述します。定義上、スキーマでは、アプリケーションを作成するために必要なすべてのデータおよびデータ構造体を記述します。多くの XML 開発環境は、すべての構成要素や、構成要素の関係、制約、属性、注釈、および使用上のガイドラインを識別できる方法でスキーマを表示するための、十分な機能を備えています。また、一部のアプリケーションは、ハイパーリンク付きの参照ドキュメントを生成します。シスコでは、スキーマ内にドキュメントおよび注釈のタグを十分に記述することにより、このようなドキュメント生成アプリケーションをサポートします。

表 D-1 に、XML 開発向けの参考資料を示します。

 

表 D-1 XML の参考資料

参考資料の説明
URL

W3C の XML Schema 規格フォーラム(参考資料のリンクを含む)

http://www.w3.org/XML/Schema

XML の一般的な説明(参考資料のリンクを含む)

http://en.wikipedia.org/wiki/Xml

オンライン XML チュートリアル

http://www.w3schools.com/xml/default.asp

XML インシデント通知のデータ ファイルとスキーマ

XML インシデント通知では、XML データ ファイルを添付したインシデントの通知が送信されます。XML データ ファイルには、GUI 上で表示できるすべてのインシデントの詳細(パス/軽減データを除く)が含まれています。XML データ ファイルは、プレーン テキスト ファイルとしても、圧縮した gzip ファイルとしても送信できます。ファイル名には、インシデント ID 番号が含まれます(例: CS-MARS-Incident-13725095.xml )。同じデータを圧縮した場合は、 CS-MARS-Incident-13725095.xml.gz になります。

XML アプリケーションを記述すれば、XML インシデント通知のデータ ファイルの解析と抽出による、サードパーティ製ソフトウェア(トラブル チケット発行システム、ヘルプデスク ソフトウェアなど)との統合が可能になります。

表 D-2 に、Cisco Security MARS の XML インシデント通知機能に関するドキュメントを示します。

 

表 D-2 XML インシデント通知の関連ドキュメント

参考資料の説明
参考資料の場所

MARS 上での XML インシデント通知の設定

「アラートとインシデントの通知」

XML インシデント通知スキーマを含む ZIP ファイル

http://www.cisco.com/en/US/products/ps6241/prod_technical_reference_list.html

XML インシデント通知スキーマから生成された、ハイパーリンク付きの構成要素の参考資料。

http://www.cisco.com/en/US/products/ps6241/prod_technical_reference_list.html

MARS によって生成された XML インシデント通知データの例

例 D-1

XML インシデント通知データ ファイルの出力例

例 D-1 に、"CS-MARS Database Partition Usage" 規則をトリガーするイベントによって生成された XML インシデント通知データを示します。

例 D-1 XML インシデント通知データ ファイルの内容

<?xml version="1.0" encoding="UTF-8"?>
<CSMARS-NOTIFICATION>
<Header>
<Version>1.0</Version>
<GenTimeStamp>May 23, 2007 8:13:19 AM PDT</GenTimeStamp>
<CSMARSHostIpAddr_eth0>10.2.3.48</CSMARSHostIpAddr_eth0>
<CSMARSHostIpAddr_eth1>192.168.1.110</CSMARSHostIpAddr_eth1>
<CSMARSHostName>pnmars</CSMARSHostName>
<CSMARSZoneName />
<CSMARSVersion>4.2.2</CSMARSVersion>
</Header>
<Data>
<Incident id="287001899">
<StartTime>May 23, 2007 8:13:09 AM PDT</StartTime>
<EndTime>May 23, 2007 8:13:10 AM PDT</EndTime>
<Severity>HIGH</Severity>
<Session id="286913412">
<Instance>0</Instance>
<SessionEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="248.64.35.88" />
<SourcePort>15330</SourcePort>
<DestinationPort>3890</DestinationPort>
<Protocol>6</Protocol>
</SessionEndPoints>
<Event id="286914062">
<EventType id="1135" />
<TimeStamp>May 23, 2007 8:13:09 AM PDT</TimeStamp>
<ReportingDevice id="128783" />
<RawMessage>Wed May 23 08:13:09 2007 &lt;134&gt;%PIX-2-106001: Inbound TCP connection denied from 10.3.50.200/15330 to 248.64.35.88/3890 flags FIN on interface inside</RawMessage>
<FalsePositiveType>NOT_AVAILABLE</FalsePositiveType>
<EventEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="248.64.35.88" />
<SourcePort>15330</SourcePort>
<DestinationPort>3890</DestinationPort>
<Protocol>6</Protocol>
</EventEndPoints>
<NATtedEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="248.64.35.88" />
<SourcePort>15330</SourcePort>
<DestinationPort>3890</DestinationPort>
<Protocol>6</Protocol>
</NATtedEndPoints>
<FiringEventFlag>true</FiringEventFlag>
<RuleMatchOffset>1</RuleMatchOffset>
</Event>
<Event id="286913412">
<EventType id="1135" />
<TimeStamp>May 23, 2007 8:11:53 AM PDT</TimeStamp>
<ReportingDevice id="128783" />
<RawMessage>Wed May 23 08:11:53 2007 &lt;134&gt;%PIX-2-106001: Inbound TCP connection denied from 10.3.50.200/15330 to 248.64.35.88/3890 flags FIN on interface inside</RawMessage>
<FalsePositiveType>NOT_AVAILABLE</FalsePositiveType>
<EventEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="248.64.35.88" />
<SourcePort>15330</SourcePort>
<DestinationPort>3890</DestinationPort>
<Protocol>6</Protocol>
</EventEndPoints>
<NATtedEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="248.64.35.88" />
<SourcePort>15330</SourcePort>
<DestinationPort>3890</DestinationPort>
<Protocol>6</Protocol>
</NATtedEndPoints>
<FiringEventFlag>false</FiringEventFlag>
</Event>
</Session>
<Session id="286914063">
<Instance>0</Instance>
<SessionEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="105.74.127.53" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>0</Protocol>
</SessionEndPoints>
<Event id="286914063">
<EventType id="1137" />
<TimeStamp>May 23, 2007 8:13:10 AM PDT</TimeStamp>
<ReportingDevice id="128783" />
<RawMessage>Wed May 23 08:13:10 2007 &lt;134&gt;%PIX-2-106016: Deny IP spoof from (10.3.50.200) to 105.74.127.53 on interface inside</RawMessage>
<FalsePositiveType>NOT_AVAILABLE</FalsePositiveType>
<EventEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="105.74.127.53" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>0</Protocol>
</EventEndPoints>
<NATtedEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="105.74.127.53" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>0</Protocol>
</NATtedEndPoints>
<FiringEventFlag>true</FiringEventFlag>
<RuleMatchOffset>1</RuleMatchOffset>
</Event>
</Session>
<Session id="286914072">
<Instance>0</Instance>
<SessionEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="133.67.205.96" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>6</Protocol>
</SessionEndPoints>
<Event id="286914072">
<EventType id="1139" />
<TimeStamp>May 23, 2007 8:13:10 AM PDT</TimeStamp>
<ReportingDevice id="128783" />
<RawMessage>Wed May 23 08:13:10 2007 &lt;134&gt;%PIX-1-106022: Deny tcp connection spoof from 10.3.50.200 to 133.67.205.96 on interface inside</RawMessage>
<FalsePositiveType>NOT_AVAILABLE</FalsePositiveType>
<EventEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="133.67.205.96" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>6</Protocol>
</EventEndPoints>
<NATtedEndPoints>
<Source ipaddress="10.3.50.200" />
<Destination ipaddress="133.67.205.96" />
<SourcePort>0</SourcePort>
<DestinationPort>0</DestinationPort>
<Protocol>6</Protocol>
</NATtedEndPoints>
<FiringEventFlag>true</FiringEventFlag>
<RuleMatchOffset>1</RuleMatchOffset>
</Event>
</Session>
<Rule id="128791">
<Name>bd</Name>
<Description>stack and decker</Description>
</Rule>
<NetworkAddressObj id="4164952920">
<IPAddress>248.64.35.88</IPAddress>
<MAC />
<DNSName />
<DynamicInfo>
<HostName />
<MACAddress />
<AAAUser />
<EnforcementDeviceAndPort />
<ReportingDevice />
<StartTime>Dec 31, 1969 4:00:00 PM PST</StartTime>
<EndTime>Dec 31, 1969 4:00:00 PM PST</EndTime>
<UpdateTime>Dec 31, 1969 4:00:00 PM PST</UpdateTime>
</DynamicInfo>
</NetworkAddressObj>
<NetworkAddressObj id="2235813216">
<IPAddress>133.67.205.96</IPAddress>
<MAC />
<DNSName />
<DynamicInfo>
<HostName />
<MACAddress />
<AAAUser />
<EnforcementDeviceAndPort />
<ReportingDevice />
<StartTime>Dec 31, 1969 4:00:00 PM PST</StartTime>
<EndTime>Dec 31, 1969 4:00:00 PM PST</EndTime>
<UpdateTime>Dec 31, 1969 4:00:00 PM PST</UpdateTime>
</DynamicInfo>
</NetworkAddressObj>
<NetworkAddressObj id="167981768">
<IPAddress>10.3.50.200</IPAddress>
<MAC />
<DNSName />
<DynamicInfo>
<HostName />
<MACAddress />
<AAAUser />
<EnforcementDeviceAndPort />
<ReportingDevice />
<StartTime>Dec 31, 1969 4:00:00 PM PST</StartTime>
<EndTime>Dec 31, 1969 4:00:00 PM PST</EndTime>
<UpdateTime>Dec 31, 1969 4:00:00 PM PST</UpdateTime>
</DynamicInfo>
</NetworkAddressObj>
<NetworkAddressObj id="1766489909">
<IPAddress>105.74.127.53</IPAddress>
<MAC />
<DNSName />
<DynamicInfo>
<HostName />
<MACAddress />
<AAAUser />
<EnforcementDeviceAndPort />
<ReportingDevice />
<StartTime>Dec 31, 1969 4:00:00 PM PST</StartTime>
<EndTime>Dec 31, 1969 4:00:00 PM PST</EndTime>
<UpdateTime>Dec 31, 1969 4:00:00 PM PST</UpdateTime>
</DynamicInfo>
</NetworkAddressObj>
<EventTypeObj id="1139">
<Name>1106022</Name>
<Description>Denied spoofed packet - different ingress interface</Description>
<Severity>HIGH</Severity>
<CVE />
</EventTypeObj>
<EventTypeObj id="1135">
<Name>1106001</Name>
<Description>Deny packet due to security policy</Description>
<Severity>LOW</Severity>
<CVE />
</EventTypeObj>
<EventTypeObj id="1137">
<Name>1106016</Name>
<Description>Denied IP spoof</Description>
<Severity>MEDIUM</Severity>
<CVE />
</EventTypeObj>
<DeviceObj id="128783">
<Name>pixie</Name>
<NetBiosName />
<DefaultGateway>0.0.0.0</DefaultGateway>
<OperatingSystem id="0" />
</DeviceObj>
</Incident>
</Data>
</CSMARS-NOTIFICATION>
 

XML インシデント通知スキーマ

XML インシデント通知スキーマのドキュメント(csmars-incident-notification-v1_0.xsd)は、次の URL からダウンロードできます。

http://www.cisco.com/en/US/products/ps6241/prod_technical_reference_list.html

XML インシデント通知の使用上のガイドラインと表記法

XML インシデント通知のすべての要素は、XML インシデント通知スキーマに定義します。次の URL では、構成要素の参考資料ドキュメントを含む WinZip アーカイブを参考として入手できます。

http://www.cisco.com/en/US/products/ps6241/prod_technical_reference_list.html

お使いのアプリケーションを使用して同様のドキュメントを生成することにより、それぞれの XML 開発環境内で構成要素を表示したり、構成要素の関係、制約、属性、注釈、および使用上のガイドラインを表示できます。

MARS の XML インシデント通知データの作成には、ベスト エフォート型アプローチが採用されています。データのコンパイル中にエラーが発生した場合、MARS は処理を停止せずに、一部であってもデータを送信します。この場合、スキーマに対してデータ ファイルを検証するとエラーになります。

XML インシデント通知データについては、次の表記法に従います。

文字エンコードは Unicode Transformation Format 8(UTF-8)。

レポートされた時間帯は、インシデントをレポートする Local Controller の時間帯になる。

レポート デバイスからの未処理メッセージは、データ ファイル内で XML によりエスケープ処理する。XML パーサーによる XML データのエスケープ解除が可能であること。

MARS から使用可能な要素の値が存在しない場合、その要素は空のノードとしてデータ ファイルに含まれる。たとえば、デバイスにおいて DNS 名を使用できない場合があります。

すべてのデータ形式は Mmm dd, yyyy hh:mm:ss AM TZD とする。

Mmm は月(Jan、Feb、Mar...Dec)

dd は日(1 ~9、10 ~ 31)

yyyy は年(0000 ~ 9999)

hh : mm : ss は時、分、秒

hh は 1 ~ 9、10 ~ 12

mm は 00 ~ 60

ss は 00 ~ 60

AM または PM

TZD は時間帯の指示子(PDT、PST、MDT、MST など)