Firepower System バージョン 6.3 データベース アクセス ガイド

blocked

侵入イベントをトリガーしたパケットの処理を示す値。

• 0 ：パケットはドロップされなかった
• 1 ：パケットはドロップされた（インライン型、スイッチ型、またはルーティング型展開）
• 2 ：侵入ポリシーが、インライン型、スイッチ型、またはルーティング型展開のデバイスに適用されている場合は、イベントをトリガーしたパケットがドロップされている可能性がある。

description

相関イベントと、このイベントがどのように引き起こされたかに関する情報。

detection_engine_name

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

detection_engine_uuid

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

domain_name

イベントが検出されたドメインの名前。

domain_uuid

イベントが検出されたドメインの UUID。これはバイナリで示されます。

dst_host_criticality

相関イベントに関連する宛先ホストにユーザが割り当てたホスト重要度： None 、 Low 、 Medium 、または High

dst_host_type

宛先ホストのタイプ： Host 、 Router 、 Bridge 、 NAT Device 、または Load Balancer

dst_ip_address

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

dst_ip_address_v6

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

dst_ipaddr

トリガー イベントに関連する宛先ホストの IPv4 または IPｖ6 アドレスのバイナリ表現。

dst_os_product

宛先ホストのオペレーティング システムの名前。

dst_os_vendor

宛先ホストのオペレーティング システムのベンダー。

dst_os_version

宛先ホストのオペレーティング システムのバージョン番号。

dst_port

イベント プロトコル タイプが TCP または UDP の場合にトラフィックを受信するホストのポート番号。プロトコル タイプが ICMP の場合は ICMP コード。

dst_rna_service

トリガー イベントに関連付けられている送信元ホストのアプリケーション プロトコル（判明している場合）。判明していない場合は、次のいずれかになります。

• none または空白：アプリケーション プロトコル トラフィックがありません。
• unknown ：既知のサーバ フィンガープリントに基づいてサーバを識別できませんでした。
• pending ：システムにさらに情報が必要です。

dst_user_dept

宛先ユーザの所属部門。

dst_user_email

宛先ユーザの電子メール アドレス。

dst_user_first_name

宛先ユーザの名前。

dst_user_id

宛先ユーザの内部識別番号。宛先ユーザとは、イベント発生前に宛先ホストにログインした最終ユーザです。

dst_user_last_name

宛先ユーザの姓。

dst_user_last_seen_sec

システムが宛先ユーザのログインを最後に報告した日時を示す UNIX タイムスタンプ。

dst_user_last_updated_sec

宛先ユーザの情報の最終更新日時を示す UNIX タイムスタンプ。

dst_user_name

宛先ユーザのユーザ名。

dst_user_phone

宛先ユーザの電話番号。

dst_vlan_id

宛先ホストの VLAN ID 番号（該当する場合）。

event_id

デバイスによって生成されたトリガー侵入イベントの識別番号。

event_time_sec

トリガー イベントの日時を示す UNIX タイムスタンプ。

event_time_usec

トリガー イベントのタイムスタンプのマイクロ秒単位の増分。

event_type

相関ルールをトリガーした基礎となるイベントのタイプ、または Firepower Management Center が相関イベントを生成する原因となった基礎となるイベントのタイプ値は次のとおりです。

• ids ：侵入イベント トリガー
• rna ：検出イベント、ホスト入力イベント、接続イベント、またはトラフィック プロファイル変更トリガー
• rua ：ユーザ検出イベント トリガー
• whitelist ：コンプライアンス ホワイト リスト違反トリガー

host_event_type

イベント タイプ（ New Host 、 Identity Conflict など）。

id

相関イベントの内部識別番号。

impact

イベントの影響フラグ値。値は次のとおりです。

• 1 ：レッド（脆弱）
• 2 ：オレンジ（脆弱の可能性あり）
• 3 ：イエロー（現在は脆弱でない）
• 4 ：ブルー（不明なターゲット）
• 5 ：グレー（不明な影響）

相関ルールが侵入イベントによってトリガーされた場合にのみ設定します。

interface_egress_name

接続に関連付けられた入力インターフェイス。

interface_ingress_name

接続に関連付けられた出力インターフェイス。

policy_name

違反が発生した相関ポリシー。

policy_rule_name

ポリシー違反をトリガーした相関ルール。

policy_rule_uuid

相関ルールの固有識別子。

policy_time_sec

相関イベントが生成された日時を示す UNIX タイムスタンプ。

policy_uuid

相関ポリシーの固有識別子。

priority

相関イベントのプライオリティ。ユーザ インターフェイスで設定されます。このイベント プライオリティは、トリガーされたルールのプライオリティまたは違反が発生した相関ポリシーのプライオリティによって決まります。

protocol_name

イベントに関連付けられているプロトコル（使用可能な場合）。

protocol_num

IANA 指定のプロトコル番号（使用可能な場合）。

rna_event_type

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

rua_event_type

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

rule_generator_id

トリガー侵入イベントを生成したコンポーネントのジェネレータ ID 番号（GID）。

rule_message

相関ルールをトリガーした侵入イベントを説明するテキスト。ルールベースのイベントの場合、イベント メッセージはルールから生成されます。デコーダベースおよびプリプロセッサベースのイベントの場合、メッセージはハード コーディングされています。

rule_signature_id

イベントのシグニチャ ID（SID）。トリガー侵入イベントが生成される原因となった特定のルール、デコーダ メッセージ、またはプリプロセッサ メッセージを識別します。

security_zone_egress_name

相関イベントの出力セキュリティ ゾーン。

security_zone_ingress_name

相関イベントの入力セキュリティ ゾーン。

sensor_address

コンプライアンス イベントをトリガーした基礎となるイベントを生成した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。

sensor_name

コンプライアンス イベントをトリガーした基礎となるイベントを生成した管理対象デバイス。

sensor_uuid

管理対象デバイスの固有識別子（ sensor_name が null の場合は 0 ）。

src_host_criticality

コンプライアンス イベントに関連する送信元ホストにユーザが割り当てたホスト重要度： None 、 Low 、 Medium 、または High 。

src_host_type

送信元ホストのタイプ： Host 、 Router 、 Bridge 、 NAT Device 、または Load Balancer 。

src_ip_address

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

src_ip_address_v6

バージョン 5.2 で廃止されたフィールド。後方互換性を維持するため、このフィールドの値は null には設定されませんが、信頼できません。

src_ipaddr

トリガー イベントに関連する送信元ホストの IPv4 または IPv6 アドレスのバイナリ表現。

src_os_product

送信元ホストのオペレーティング システムの名前。

src_os_vendor

送信元ホストのオペレーティング システムのベンダー。

src_os_version

送信元ホストのオペレーティング システムのバージョン番号。

src_port

送信元ホストのポート番号。ICMP トラフィックの場合は ICMP タイプが表示されます。

src_rna_service

トリガー イベントに関連付けられている送信元ホストのアプリケーション プロトコル（判明している場合）。判明していない場合は、次のいずれかになります。

• none または空白：アプリケーション プロトコル トラフィックがありません。
• unknown ：既知のサーバ フィンガープリントに基づいてサーバとアプリケーション プロトコルを識別できませんでした。
• pending ：システムにさらに情報が必要です。

src_user_dept

送信元ユーザの所属部門。

src_user_email

送信元ユーザの電子メール アドレス。

src_user_first_name

送信元ユーザの名前。

src_user_id

送信元ユーザの内部識別番号。これは、イベント発生前に送信元ホストにログインしていた最終ユーザです。

src_user_last_name

送信元ユーザの姓。

src_user_last_seen_sec

システムが送信元ユーザのログインを最後に報告した日時を示す UNIX タイムスタンプ。

src_user_last_updated_sec

送信元ユーザの情報の最終更新日時を示す UNIX タイムスタンプ。

src_user_name

送信元ユーザのログイン ユーザ名。

src_user_phone

送信元ユーザの電話番号。

src_vlan_id

送信元ホストの VLAN 識別番号（該当する場合）。

user_event_type

トリガー ユーザ イベントのタイプ（ New User Identity または User Login など）。

dst_ipaddr

または

src_ipaddr

rna_host_ip_map.ipaddr
user_ipaddr_history.ipaddr

id

違反が発生し、修復をトリガーした相関ポリシーの識別番号。

policy_name

違反が発生し、修復をトリガーした相関ポリシー。

policy_rule_name

修復をトリガーした特定の相関ルール。

policy_rule_uuid

相関ルールの固有識別子。

policy_time_sec

修復をトリガーした相関イベントの生成日時を示す UNIX タイムスタンプ。

policy_uuid

相関イベントをトリガーした相関ポリシーの固有識別子。

remediation_name

開始された修復。

remediation_time_sec

Firepower Management Center により修復が開始された日時を示す UNIX タイムスタンプ。

status_text

修復の開始時に発生した事象を説明するメッセージ（「 successful completion of remediation 」など）。

description

ホワイト リスト違反の説明。

detection_engine_name

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

detection_engine_uuid

バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して null を返します。

host_criticality

ホワイト リストに準拠していないホストに対してユーザが割り当てた重要度（[None]、[Low]、[Medium]、または [High]）。

host_type

ホストのタイプ： Host 、 Router 、 Bridge 、 NAT Device 、または Load Balancer 。

id

ホワイト リスト イベントの内部固有識別子。

ip_address

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

ip_address_v6

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

ipaddr

準拠していないホストの IP アドレスのバイナリ表現。

os_product

オペレーティング システムの製品名。

os_vendor

オペレーティング システムのベンダー。

os_version

オペレーティング システムのバージョン番号。

policy_name

ホワイト リストを含む違反コンプライアンス ポリシー。

policy_time_sec

イベントが生成された日時を示す UNIX タイムスタンプ。

policy_uuid

ホワイトリスト イベントを含むコンプライアンス ポリシーの固有識別子。

port

サービス ホワイト リスト違反をトリガーしたイベント（非準拠サービスの結果として違反が発生した場合）に関連付けられているポート（存在する場合）。他のタイプのホワイト リスト違反の場合、このフィールドは空白です。

priority

ホワイト リスト イベントのプライオリティ。ユーザ インターフェイスで設定されます。

protocol_name

イベントに関連付けられているプロトコル（使用可能な場合）。

protocol_num

IANA 指定のプロトコル番号（使用可能な場合）。

rna_service

ホワイト リスト違反をトリガーしたサービス（使用可能な場合）。

sensor_address

トラフィックを検出した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。

sensor_name

ホワイト リスト イベントを生成したデバイス。

sensor_uuid

管理対象デバイスの固有識別子（ sensor_name が null の場合は 0 ）。

user_dept

ユーザの所属部門。

user_email

ユーザの電子メール アドレス。

user_first_name

ユーザの名前。

user_id

イベント発生前にホストにログインしていた最終ユーザの内部 ID 番号。

user_last_name

ユーザの姓。

user_last_seen_sec

システムがユーザのログインを最後に報告した日時を示す UNIX タイムスタンプ。

user_last_updated_sec

ユーザの情報の最終更新日時を示す UNIX タイムスタンプ。

user_name

ユーザのログイン ユーザ名。

user_phone

ユーザの電話番号。

vlan_id

VLAN 識別番号（該当する場合）。

white_list_name

違反が発生したホワイト リスト。

white_list_uuid

ホワイト リストの固有識別子。

ipaddr

rna_host_ip_map.ipaddr
user_ipaddr_history.ipaddr

host_id

ホワイト リストに違反するホストの ID 番号。

info

ホワイト リスト違反に関連付けられたすべての利用可能なベンダー、製品、またはバージョン情報。

ホワイト リストに違反するプロトコルの場合、このフィールドには、違反の原因がネットワーク プロトコルとトランスポート プロトコルのどちらなのかも示されます。

ip_address

バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して null を返します。

port

サービス ホワイト リスト違反をトリガーしたイベント（非準拠サービスの結果として違反が発生した場合）に関連付けられているポート（存在する場合）。他のタイプのホワイト リスト違反の場合、このフィールドは空白です。

protocol_name

イベントに関連付けられているプロトコル。

type

ホワイト リスト違反のタイプ。非準拠が原因で違反が発生したかどうかを示します。

• オペレーティング システム（os）
• サービス（ service ）
• クライアント アプリケーション（ client app ）
• プロトコル（protocol）

violation_time_sec

違反がログに記録された日時を示す UNIX タイムスタンプ。

white_list_name

違反が発生したホワイト リスト。

white_list_uuid

ホワイト リストの固有識別子。