スキーマ：検出イベントおよびネットワークマップのテーブル

この章では、検出イベントとシスコネットワークマップに関連するテーブルのスキーマとサポートされている結合について説明します。

Firepower システムは、ホストとネットワークデバイスにより生成されるトラフィックをモニタし、継続的に検出イベントを生成します。

ネットワークマップとは、検出イベントで報告されるネットワーク資産に関する情報のリポジトリです。ネットワークマップには、検出された各ホストとネットワークデバイスに関する情報（オペレーティングシステム、サーバ、クライアントアプリケーション、ホスト属性、脆弱性など）が含まれています。

脆弱性は、ホストに被害を及ぼす可能性がある特定の侵害やエクスプロイトの記述です。シスコには独自の脆弱性データベース（VBD）があります。この VBD は Bugtraq データベースと MITRE の CVE データベースを相互参照します。また、ホスト入力機能を使用してサードパーティの脆弱性データをインポートできます。

ネットワークマップでの特定のホストに関する情報は、ホストのタイプと、モニタ対象トラフィックで使用可能な情報によって異なる可能性があることに注意してください。

詳細については、次の表に示す項を参照してください。「バージョン」欄は、示されている各テーブルをサポートしている Firepower システムのバージョンを示します。廃止されたテーブルは製品の現行バージョンでも引き続きサポートされていますが、今後もサポートを引き続き受けるために、廃止されたテーブルとフィールドを使用しないでおくことをシスコでは強く推奨します。

表 6-1 検出イベントおよびネットワークマップのテーブルのスキーマ
参照先	次の内容が格納されるテーブル	Version
application_host_map	モニタ対象ネットワークのホストで検出されたアプリケーション。	5.0+
application_ip_map	モニタ対象ネットワークで検出されたアプリケーションに関連付けられているカテゴリ、タグ、生産性、およびリスク。	5.2+
application_ip_map	モニタ対象ネットワークで検出されたアプリケーションに関連付けられているカテゴリ、タグ、生産性、およびリスク。バージョン 5.2 で廃止置き換わるテーブル： `application_ip_map。`	5.0-5.1.x
application_tag_map	モニタ対象ネットワークで検出されたアプリケーションに関連付けられているタグ	5.0+
domain_control_information	ドメイン階層情報	6.0+
network_discovery_event	検出イベントおよびホスト入力イベント。	5.0+
rna_host	モニタ対象ネットワークのホストの基本情報。	5.2+
rna_host_attribute	モニタ対象ネットワークの各ホストに関連付けられているホスト属性。	5.2+
rna_host_client_app	モニタ対象ネットワークのホストで検出されたクライアントアプリケーション。	5.2+
rna_host_client_app	モニタ対象ネットワークのホストで検出された HTTP（Web ブラウザ）クライアントアプリケーションに関連付けられているペイロード。	5.2+
rna_host_ioc_state	ホストの侵害状態が格納されます。	5.3+
rna_host_ip_map	モニタ対象ネットワークのホストの MAC アドレスにホスト ID を相関付けます。	5.2+
rna_host_os	モニタ対象ネットワークのホストで検出されたオペレーティングシステム。	5.2+
rna_host_os_vulns	モニタ対象ネットワークのホストに関連付けられている脆弱性。	5.2+
rna_host_protocol	モニタ対象ネットワークのホストで検出されたプロトコル。	4.10.x+
rna_host_protocol	プロトコルを検出した管理対象デバイスに関連するモニタ対象ネットワーク上のホスト。	5.2+
rna_host_service	モニタ対象ネットワークのホストで検出されたサービス。	5.2+
rna_host_service_banner	モニタ対象ネットワークのホストで検出されたサービスのサービスベンダーとバージョン（「バナー」）をアドバタイズするネットワークトラフィックのヘッダー。	5.2+
rna_host_service_info	モニタ対象ネットワークのホストで検出されたサービスの詳細。	5.2+
rna_host_service_payload	モニタ対象ネットワークのホストで検出されたサービスに関連付けられているペイロード。	5.2+
rna_host_service_subtype	モニタ対象ネットワークのホストで検出されたサービスのサブサービス。	5.2+
rna_host_service_vulns	モニタ対象ネットワークのホストで検出されたサービスに関連付けられている脆弱性。	5.2+
rna_host_third_party_vuln	モニタ対象ネットワークのホストに関連付けられているサードパーティの脆弱性。	5.2+
rna_host_third_party_vuln_bugtraq_id	モニタ対象ネットワークのホストおよび Bugtraq データベース（ `http://www.securityfocus.com/bid/` ）の脆弱性に関連付けられているサードパーティの脆弱性。	5.2+
rna_host_third_party_vuln_cve_id	モニタ対象ネットワークのホストおよび MITRE の CVE データベースの脆弱性に関連付けられているサードパーティの脆弱性。（ `http://www.cve.mitre.org/` ）。	5.2+
rna_host_third_party_vuln_rna_id	モニタ対象ネットワークのホストおよび VDB の脆弱性に関連付けられているサードパーティの脆弱性。	5.2+
rna_ip_host	モニタ対象ネットワークの IP ホストの基本情報。バージョン 5.2 で廃止置き換わるテーブル `rna_host` 。	4.10.x-5.1.x
rna_ip_host_client_app	モニタ対象ネットワークのホストで検出されたクライアントアプリケーション。バージョン 5.2 で廃止置き換わるテーブル `rna_host_client_app` 。	4.10.x-5.1.x
rna_ip_host_client_app_payload	モニタ対象ネットワークの IP ホストで検出された HTTP（Web ブラウザ）クライアントアプリケーションに関連付けられているペイロード。バージョン 5.2 で廃止置き換わるテーブル `rna_host_client_app` 。	4.10.x-5.1.x
rna_ip_host_os	モニタ対象ネットワークの IP ホストで検出されたオペレーティングシステム。バージョン 5.2 で廃止置き換わるテーブル `rna_host_os` 。	4.10.x-5.1.x
rna_ip_host_os_vulns	モニタ対象ネットワークの IP ホストに関連付けられている脆弱性。バージョン 5.2 で廃止置き換わるテーブル： `rna_host_os_vulns` 。	4.10.x--5.1.x
rna_ip_host_sensor	ホストを検出した管理対象デバイスに関連するモニタ対象ネットワーク上の IP ホスト。バージョン 5.2 で廃止置き換わるテーブル： `rna_host_protocol` 。	5.0-5.1.x
rna_ip_host_service	モニタ対象ネットワークの IP ホストで検出されたサービス。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service` 。	4.10.x-5.1.x
rna_ip_host_service_banner	モニタ対象ネットワークのホストで検出されたサービスのサービスベンダーとバージョン（「バナー」）をアドバタイズするネットワークトラフィックのヘッダー。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service_banner` 。	4.10.x-5.1.x
rna_ip_host_service_info	モニタ対象ネットワークの IP ホストで検出されたサービスの詳細。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service_info` 。	4.10.x-5.1.x
rna_ip_host_service_payload	モニタ対象ネットワークの IP ホストで検出されたサービスに関連付けられているペイロード。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service_payload` 。	4.10.x-5.1.x
rna_ip_host_service_subtype	モニタ対象ネットワークの IP ホストで検出されたサービスのサブサービス。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service_subtype` 。	4.10.x-5.1.x
rna_ip_host_service_vulns	モニタ対象ネットワークの IP ホストで検出されたサービスに関連付けられている脆弱性。バージョン 5.2 で廃止置き換わるテーブル `rna_host_service_vulns` 。	4.10.x-5.1.x
rna_ip_host_third_party_vuln	モニタ対象ネットワークの IP ホストに関連付けられているサードパーティの脆弱性。バージョン 5.2 で廃止置き換わるテーブル `rna_host_third_party_vuln` 。	4.10.x-5.1.x
rna_ip_host_third_party_vuln_bugtraq_id	モニタ対象ネットワークの IP ホストおよび Bugtraq データベース（ `http://www.securityfocus.com/bid/` ）の脆弱性に関連付けられているサードパーティの脆弱性。バージョン 5.2 で廃止置き換わるテーブル `rna_host_third_party_vuln_bugtraq_id` 。	4.10.x-5.1.x
rna_ip_host_third_party_vuln_cve_id	モニタ対象ネットワークの IP ホストおよび MITRE の CVE データベースの脆弱性に関連付けられているサードパーティの脆弱性。（ `http://www.cve.mitre.org/` ）。バージョン 5.2 で廃止置き換わるテーブル `rna_host_third_party_vuln_cve_id` 。	4.10.x-5.1.x
rna_ip_host_third_party_vuln_rna_id	モニタ対象ネットワークの IP ホストおよび VDB の脆弱性に関連付けられているサードパーティの脆弱性。バージョン 5.2 で廃止置き換わるテーブル `rna_host_third_party_vuln_rna_id` 。	4.10.x-5.1.x
rna_ip_host_user_history	モニタ対象ネットワークの特定の IP ホストに対するユーザアクティビティ。バージョン 5.2 で廃止置き換わるテーブル `user_ipaddr_history` 。	4.10.x-5.1.x
rna_mac_host	モニタ対象ネットワークの MAC ホスト（IP アドレスを持たないホスト）。	4.10.x-5.1.x
rna_mac_host_sensor	ホストを検出した管理対象デバイスに関連するモニタ対象ネットワーク上の IP ホスト。	5.0-5.1.x
rna_mac_ip_map	モニタ対象ネットワークの IP ホストの MAC アドレス。バージョン 5.2 で廃止置き換わるテーブル： `rna_host_ip_map` および `rna_host_mac_map。`	4.10.x-5.1.x
rna_vuln	シスコ VDB の脆弱性。	4.10.x+
tag_info	検出されたアプリケーションを特徴付けるタグ。	5.0+
url_categories	モニタ対象ネットワークのホストからアクセスされた URL を特徴付けるカテゴリ。	5.0+
url_reputations	モニタ対象ネットワークのホストからアクセスされた URL を特徴付けるレピュテーション。	5.0+
user_ipaddr_history	モニタ対象ネットワークの特定のホストに対するユーザアクティビティ。	5.2+

application_host_map

application_host_map テーブルには、ネットワークで検出された各アプリケーションに関連付けられているカテゴリとタグに関する情報が格納されます。

詳細については、次の項を参照してください。

application_host_map のフィールド

次の表に、 application_host_map テーブルでアクセスできるフィールドについて説明します。

表 6-2 application_host_map のフィールド
フィールド	説明
`application_id`	アプリケーションの内部識別番号。
`application_name`	ユーザインターフェイスに表示されるアプリケーション名。
`application_tag_id`	このフィールドは廃止されており、 `null` を返します。
`business_relevance`	ビジネスの生産性へのアプリケーションの関連度のインデックス（ `1` ～ `5` ）。 `1` は非常に低く、 `5` は非常に高いことを示します。
`business_relevance_description`	ビジネスとの関連度の説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `very high` ）。
`host_id`	ホストの ID 番号。
`risk`	アプリケーションリスクのインデックス（ `1` ～ `5` ）。 `1` は非常に低いリスク、 `5` は重大なリスクを示します。
`risk_description`	リスクの説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `critical` ）。

application_host_map の結合

次の表に、 application_host_map テーブルで実行できる結合について説明します。

表 6-3 application_host_map の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`application_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id rna_host_service_payload.web_application_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id
host_id	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

application_host_map のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出されたアプリケーションに関する情報を返します。

SELECT host_id, application_id, application_name, business_relevance, risk

FROM application_host_map

WHERE HEX(host_id) = "00000000000000000000000000000008";

application_info

application_info テーブルには、モニタ対象ネットワークのホストで検出可能なアプリケーションに関する情報が含まれています。

アプリケーションに関連付けられているタグのリストを application_tag_map テーブルから取得するには application_id で結合します。同様に、アプリケーションの関連カテゴリのリストを application_host_map から取得するには application_id で結合します。

詳細については、次の項を参照してください。

application_info のフィールド

次の表に、 application_info テーブルでアクセスできるフィールドについて説明します。

表 6-4 application_info のフィールド
フィールド	説明
`application_description`	アプリケーションの説明。
`application_id`	アプリケーションの内部識別番号。
`application_name`	ユーザインターフェイスに表示されるアプリケーション名。
`business_relevance`	ビジネスの生産性に対するアプリケーションの関連度のインデックス（ `1` ～ `5` ）。 `1` は非常に低く、 `5` は非常に高いことを示します。
`business_relevance_description`	ビジネスとの関連度の説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `very high` ）。
`domain_name`	アプリケーションが検出されたドメインの名前。
`domain_uuid`	アプリケーションが検出されたドメインの UUID。これはバイナリで示されます。
`is_client_application`	検出されたアプリケーションがクライアントであるかどうかを示す true/false フラグ。
`is_server_application`	検出されたアプリケーションがサーバアプリケーションであるかどうかを示す true/false フラグ。
`is_web_application`	検出されたアプリケーションが Web アプリケーションであるかどうかを示す true/false フラグ。
`risk`	アプリケーションの推定リスクのインデックス（ `1` ～ `5` ）。 `1` は非常に低いリスク、 `5` は重大なリスクを示します。
`risk_description`	リスクの説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `critical` ）。

application_info の結合

次の表に、 application_info テーブルで実行できる結合について説明します。

表 6-5 application_info の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`application_id`	application_host_map.application_id app_ids_stats_current_timeframe.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id si_connection_log.application_protocol_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id connection_summary.application_protocol_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id rna_host_service_payload.web_application_id

application_info のサンプルクエリ

次のクエリは、 Global \ Company B \ Edge ドメイン内で検出された、 host_id が 8 のアプリケーションのレコードを返します。

SELECT application_id, application_name, application_description, business_relevance, risk

FROM application_info

WHERE application_id="8" AND domain_name= "Global \ Company B \ Edge";

application_tag_map

application_tag_map テーブルには、ネットワークで検出された各アプリケーションに関連付けられているタグに関する情報が格納されます。

詳細については、次の項を参照してください。

application_tag_map のフィールド

次の表に、 application_tag_map テーブルでアクセスできるフィールドについて説明します。

表 6-6 application_tag_map のフィールド
フィールド	説明
`application_id`	アプリケーションの内部識別番号。
`application_name`	ユーザインターフェイスに表示されるアプリケーション。
`domain_name`	アプリケーションが検出されたドメインの名前。
`domain_uuid`	アプリケーションが検出されたドメインの UUID。これはバイナリで示されます。
`tag_id`	タグの内部識別番号。
`tag_name`	ユーザインターフェイスに表示されるタグのテキスト。
`tag_type`	`category` または `type` のいずれか。

application_tag_map の結合

次の表に、 application_tag_map テーブルで実行できる結合について説明します。

表 6-7 application_tag_map の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`application_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_host_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id rna_host_service_payload.web_application_id si_connection_log.application_protocol_name si_connection_log.application_protocol_id si_connection_log.client_application_id si_connection_log.web_application_id
`tag_id`	`tag_info.tag_id`

application_tag_map のサンプルクエリ

次のクエリは、指定されたアプリケーションに関連付けられているタグレコードをすべて返します。

SELECT application_id, application_name, tag_id, tag_name

FROM application_tag_map

WHERE application_name="Active Directory";

domain_control_information

domain_control_information テーブルは、ドメインをその UUID にマップし、各ドメインの親ドメインの名前と UUID を示します。

詳細については、次の項を参照してください。

domain_control_information のフィールド

次の表に、 domain_control_information テーブルでアクセスできるフィールドについて説明します。

表 6-8 domain_control_information のフィールド
フィールド	説明
`domain_name`	ドメインの名前
`domain_uuid`	ドメインの UUID。これはバイナリで示されます。
`parent_domain_name`	親ドメインの名前（該当する場合）。
`parent_domain_uuid`	親ドメインの UUID（該当する場合）。これはバイナリで示されます。

domain_control_information の結合

domain_control_information テーブルに対して結合を実行することはできません。

domain_control_information のサンプルクエリ

次のクエリは、すべてのドメイン名、ASCII 形式のドメイン UUID、およびその親ドメインを返します。

SELECT domain_name, uuid_btoa(domain_uuid), parent_domain_name

FROM domain_control_information;

network_discovery_event

network_discovery_event テーブルには、検出イベントとホスト入力イベントに関する情報が格納されます。Firepower システムは、（新しいネットワーク機能を検出したか、または以前に識別されたネットワーク資産の変更を検出することで）モニタ対象ネットワークで変更を検出すると、検出イベントを生成します。Firepower システムは、ユーザがネットワーク資産を追加、変更、または削除することでネットワークマップを手動で変更すると、ホスト入力イベントを生成します。

network_discovery_event テーブルは、Firepower システムバージョン 5.0 以降で廃止されたテーブル rna_events を置き換えます。

詳細については、次の項を参照してください。

network_discovery_event のフィールド

次の表に、 network_discovery_event テーブルでアクセスできるフィールドについて説明します。

表 6-9 network_discovery_event のフィールド
フィールド	説明
`confidence`	Firepower システムによりサービスを識別するために割り当てられた信頼度（ `0` ～ `100` ）。
`description`	イベントの説明。
`domain_name`	イベントが検出されたドメインの名前。
`domain_uuid`	イベントが検出されたドメインの UUID。これはバイナリで示されます。
`event_id`	イベントの内部識別番号。
`event_time_sec`	イベントが生成された日時を示す UNIX タイムスタンプ。
`event_time_usec`	イベントのタイムスタンプのマイクロ秒単位の増分。
`event_type`	イベントのタイプ。 `New Host` や `Identity Conflict` など。
`ip_address`	このフィールドは廃止されており、 `null` を返します。
`ipaddr`	イベントに関連するホストの IPv4 または IPｖ6 アドレスのバイナリ表現。
`mac_address`	イベントに関連するホストの MAC アドレス。
`mac_vendor`	イベントに関連するホストの NIC ハードウェアのベンダー。
`port`	イベントをトリガーしたネットワークトラフィックが使用していたポート。
`sensor_address`	検出イベントを生成した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。
`sensor_name`	検出イベントを生成した管理対象デバイス。
`sensor_uuid`	管理対象デバイスの固有識別子（ `sensor_name` が `null` の場合は `0` ）。
`user_dept`	ホストの最終ログインユーザが所属する部門。
`user_email`	ホストの最終ログインユーザの電子メールアドレス。
`user_first_name`	ホストの最終ログインユーザの名前。
`user_id`	ホストの最終ログインユーザの内部識別番号。
`user_last_name`	ホストの最終ログインユーザの姓。
`user_last_seen_sec`	ホストの最終ログインユーザのユーザアクティビティを Firepower システムが最後に検出した日時を示す UNIX タイムスタンプ。
`user_last_updated_sec`	ホストの最終ログインユーザのユーザレコードを Firepower システムが最後に更新した日時を示す UNIX タイムスタンプ。
`user_name`	ホストの最終ログインユーザのユーザ名。
`user_phone`	ホストの最終ログインユーザの電話番号。

network_discovery_event の結合

次の表に、 network_discovery_event テーブルを使用して実行できる結合について説明します。

表 6-10 network_discovery_event の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`ipaddr`	`rna_host_ip_map.ipaddr user_ipaddr_history.ipaddr`

network_discovery_event のサンプルクエリ

次のクエリは、特定の期間内の検出イベントレコードを返します。このレコードには、ユーザ、検出デバイス名、タイムスタンプ、ホスト IP アドレスなどが含まれます。

SELECT sensor_name, event_time_sec, event_time_usec, event_type, ipaddr, user_id,

hex(mac_address), mac_vendor, port, confidence FROM network_discovery_event

WHERE event_time_sec

BETWEEN UNIX_TIMESTAMP("2013-01-01 00:00:00") AND UNIX_TIMESTAMP("2013-01-01 23:59:59")

ORDER BY event_time_sec DESC, event_time_usec DESC;

rna_host

rna_host テーブルには、管理対象ネットワークのホストの基本情報が格納されます。

バージョン 5.2 以降、このテーブルは rna_ip_host を置き換えます。

詳細については、次の項を参照してください。

rna_host のフィールド

次の表に、 rna_host テーブルでアクセスできるフィールドについて説明します。

表 6-11 `rna_host` のフィールド
フィールド	説明
`criticality`	ホストの重要度（ `None` 、 `Low` 、 `Medium` 、または `High` ）。
`domain_name`	ホストが検出されたドメインの名前。
`domain_uuid`	ホストが検出されたドメインの UUID。これはバイナリで示されます。
`hops`	ホストから、そのホストを検出した管理対象デバイスまでのネットワークホップ数。
`host_id`	ホストの ID 番号。
`host_name`	ホストの名前。
`host_type`	ホストのタイプ： `Host` 、 `Router` 、 `Bridge` 、 `NAT Device` 、または `Load Balancer` 。
`jailbroken`	モバイルデバイスのオペレーティングシステムがジェイルブレイクされているかどうかを示す true/false フラグ。
`last_seen_sec`	システムがホストアクティビティを最後に検出した日時を示す UNIX タイムスタンプ。
`mobile`	検出されたホストがモバイルデバイスであるかどうかを示す true/false フラグ。
`netbios_name`	ホストの NetBIOS 名の文字列。
`notes`	ホストの Notes ホスト属性の内容。
`vlan_id`	VLAN 識別番号（該当する場合）。
`vlan_priority`	VLAN タグに含まれるプライオリティ値。
`vlan_type`	VLAN タグを含むカプセル化パケットのタイプ。 `0` ：イーサネット `1` ：トークンリング

rna_host の結合

次の表に、 rna_host テーブルで実行できる結合について説明します。

表 6-12 rna_host の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	application_host_map.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ip_map.host_id rna_host_ioc_state.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host のサンプルクエリ

次のクエリは、 Global \ Company B \ Edge ドメイン内の 25 件の rna_host レコードを、ホストのタイプに基づいて並べ替えて返します。このレコードには、ホスト ID、VLAN ID、ホストが最後に認識された時点、およびホストのタイプなどが含まれています。

SELECT host_id, vlan_id, last_seen_sec, host_type

FROM rna_host

WHERE domain_name= "Global \ Company B \ Edge"

ORDER BY host_type

LIMIT 0, 25;

rna_host_attribute

rna_host_attribute テーブルには、モニタ対象ネットワーク内の各ホストに関連付けられているホスト属性に関する情報が格納されます。これは、廃止された rna_ip_host_attribute テーブルを置き換えるテーブルです。

詳細については、次の項を参照してください。

rna_host_attribute のフィールド

次の表に、 rna_host_attribute テーブルでアクセスできるフィールドについて説明します。

表 6-13 rna_host_attribute のフィールド
フィールド	説明
`attribute_name`	ホスト属性。 `Host Criticality` や `Default White List` など。
`attribute_value`	ホスト属性の値。
`host_id`	ホストの ID 番号。

rna_host_attribute の結合

次の表に、 rna_host_attribute テーブルで実行できる結合について説明します。

表 6-14 rna_host_attribute の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	application_host_map.host_id rna_host.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_attribute のサンプルクエリ

次のクエリは、選択されたホスト ID に関連付けられているすべてのホスト属性と値を返します。

SELECT attribute_name, attribute_value

FROM rna_host_attribute

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_client_app

rna_host_client_app テーブルには、モニタ対象ネットワークのホストで検出されたクライアントアプリケーションに関する情報が格納されます。これは、廃止された rna_ip_host_client_app テーブルを置き換えるテーブルです。

詳細については、次の項を参照してください。

rna_host_client_app のフィールド

次の表に、 rna_ip_host_client_app テーブルでアクセスできるフィールドについて説明します。

表 6-15 rna_host_client_app のフィールド
フィールド	説明
`application`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`application_protocol_id`	検出されたアプリケーションプロトコルの内部 ID。
`application_protocol_name`	次のいずれかになります。アプリケーションの名前（確実な識別が可能な場合） `pending` （システムがさらにデータを必要としている場合）空白（接続にアプリケーション情報がない場合）
`application_type`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`client_application_id`	アプリケーションが識別可能な場合、アプリケーションの内部識別番号。
`client_application_name`	次のいずれかになります。アプリケーションの名前（確実な識別が可能な場合）。汎用クライアント名（システムがクライアントアプリケーションを検出したが、特定のアプリケーションであることを識別できない場合）。空白（接続にクライアントアプリケーション情報がない場合）。
`hits`	クライアントアプリケーションが検出された回数。
`host_id`	ホストの ID 番号。
`last_used_sec`	システムがアプリケーションアクティビティを最後に検出した日時を示す UNIX タイムスタンプ。
`version`	ホストで検出されたアプリケーションのバージョン。

rna_host_client_app の結合

次の表に、 rna_host_client_app テーブルで実行できる結合について説明します。

表 6-16 rna_host_client_app の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id
`host_id` および `application_protocol_id` および `client_application_id` および `version`	次のセット： `rna_host_client_app_payload.host_id rna_host_client_app_payload.application_protocol_id rna_host_client_app_payload.client_application_id rna_host_client_app_payload.version`
`application_protocol_id` または `client_application_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_host_map.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_service_info.application_protocol_id rna_host_service_payload.web_application_id

rna_host_client_app のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出されたクライアントアプリケーションに関する情報を返します。

SELECT host_id, client_application_id, client_application_name, version, hits, application_protocol_id, application_protocol_name, last_used_sec

FROM rna_host_client_app

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_client_app_payload

rna_host_client_app_payload テーブルには、モニタ対象ネットワークで検出されたホストの Web アプリケーションに関連付けられている HTTP トラフィックのペイロードに関する情報が含まれています。

詳細については、次の項を参照してください。

rna_host_client_app_payload のフィールド

次の表に、 rna_host_client_app_payload テーブルでアクセスできるフィールドについて説明します。

表 6-17 rna_host_client_app_payload のフィールド
フィールド	説明
`application`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`application_protocol_id`	検出されたアプリケーションプロトコルの内部 ID（使用可能な場合）。クライアントアプリケーションと Web アプリケーションの両方の特性を持つトラフィックの場合、 `client_application_id` フィールドと `web_application_id` フィールドの両方に同じ値が入っています。
`application_protocol_name`	次のいずれかになります。アプリケーションの名前（確実な識別が可能な場合） `pending` （システムがさらにデータを必要としている場合）空白（接続にアプリケーション情報がない場合）
`application_type`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`client_application_id`	クライアントアプリケーションの内部識別番号。
`client_application_name`	次のいずれかになります。アプリケーションの名前（確実な識別が可能な場合）。汎用クライアント名（システムがクライアントアプリケーションを検出したが、特定のアプリケーションであることを識別できない場合）。空白（接続にクライアントアプリケーション情報がない場合）。
`host_id`	ホストの ID 番号。
`payload_name`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`payload_type`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`version`	ホストで検出された Web アプリケーションのバージョン。
`web_application_id`	Web アプリケーションの内部識別番号（使用可能な場合）。クライアントアプリケーションと Web アプリケーションの両方の特性を持つトラフィックの場合、 `client_application_id` フィールドと `web_application_id` フィールドの両方に同じ値が入っています。
`web_application_name`	次のいずれかになります。アプリケーションの名前（確実な識別が可能な場合）。 `web browsing` （システムがアプリケーションプロトコル HTTP を検出したが、特定の Web アプリケーションを検出できない場合）。空白（接続に HTTP トラフィックがない場合）。

rna_host_client_app_payload の結合

次の表に、 rna_host_client_app_payload テーブルで実行できる結合について説明します。

表 6-18 rna_host_client_app_payload の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id
次のセット： `host_id,` `application_protocol_id,` `client_application_id,` `version`	次のセット： `rna_host_client_app.host_id rna_host_client_app.application_protocol_id rna_host_client_app.client_application_id rna_host_client_app.version`
`client_application_id` または `web_application_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_host_map.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id rna_host_service_payload.web_application_id

rna_host_client_app_payload のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出された Web アプリケーションに関する情報を返します。

SELECT host_id, web_application_id, web_application_name, version, client_application_id, client_application_name

FROM rna_host_client_app_payload

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_ioc_state

rna_host_ioc_state テーブルには、モニタ対象ネットワークのホストの IOC 状態が格納されます。

詳細については、次の項を参照してください。

rna_host_ioc_state のフィールド

次の表に、 rna_host_ioc_state テーブルでアクセスできるフィールドについて説明します。

表 6-19 rna_host_ioc_state のフィールド
フィールド	説明
`first_seen`	侵害が最初に検出された時点を示す UNIX タイムスタンプ。
`first_seen_sensor_address`	侵害を最初に検出した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。
`first_seen_sensor_name`	侵害を最初に検出した管理対象デバイス。
`host_id`	ホストの ID 番号。
`ioc_category`	侵害のカテゴリ。有効な値は次のとおりです。 `CnC Connected` `Exploit Kit` `High Impact Attack` `Low Impact Attack` `Malware Detected` `Malware Executed` `Dropper Infection` `Java Compromise` `Word Compromise` `Adobe Reader Compromise` `Excel Compromise` `PowerPoint Compromise` `QuickTime Compromise`
`ioc_description`	侵害の説明
`ioc_event_type`	侵害のイベントタイプ。有効な値は次のとおりです。 `Adobe Reader launched shell` `Dropper Infection Detected by AMP for Endpoints` `Excel Compromise Detected by AMP for Endpoints` `Excel launched shell \|` `Impact 1 Intrusion Event — attempted-admin` `Impact 1 Intrusion Event — attempted-user` `Impact 1 Intrusion Event — successful-admin` `Impact 1 Intrusion Event — successful-user` `Impact 1 Intrusion Event — web-application-attack` `Impact 2 Intrusion Event — attempted-admin` `Impact 2 Intrusion Event — attempted-user` `Impact 2 Intrusion Event — successful-admin` `Impact 2 Intrusion Event — successful-user` `Impact 2 Intrusion Event — web-application-attack` `Intrusion Event — exploit-kit` `Intrusion Event — malware-backdoor` `Intrusion Event — malware-CnC` `Java Compromise Detected by AMP for Endpoints` `Java launched shell` `PDF Compromise Detected by AMP for Endpoints` `PowerPoint Compromise Detected by AMP for Endpoints` `PowerPoint launched shell` `QuickTime Compromise Detected by AMP for Endpoints` `QuickTime launched shell` `Security Intelligence Event — CnC` `Suspected Botnet Detected by AMP for Endpoints` `Threat Detected by AMP for Endpoints — Subtype is 'executed'` `Threat Detected by AMP for Endpoints — Subtype is not 'executed'` `Threat Detected in File Transfer — Action is not 'block'` `Word Compromise Detected by AMP for Endpoints` `Word launched shell`
`ioc_id`	侵害の一意の ID 番号。
`is_disabled`	この侵害が無効にされていたかどうか。
`last_seen`	この侵害が最後に検出された時点を示す UNIX タイムスタンプ。
`last_seen_sensor_address`	侵害を最後に検出した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。
`last_seen_sensor_name`	侵害を最後に検出した管理対象デバイス。

rna_host_ioc_state の結合

次の表に、 rna_host_ioc_state テーブルで実行できる結合について説明します。

表 6-20 rna_host_ioc_state の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_ioc_state のサンプルクエリ

次のクエリは、指定された期間内の最大 25 件のホストとその ioc を返します。

SELECT host_id, ioc_id

FROM rna_host_ioc_state

WHERE first_seen

BETWEEN UNIX_TIMESTAMP("2011-10-01 00:00:00")

AND UNIX_TIMESTAMP("2011-10-07 23:59:59")

ORDER BY ioc_id DESC

LIMIT 0, 25;

rna_host_ip_map

rna_host_ip_map テーブルは、モニタ対象ネットワーク内のホストの IP アドレスにホスト ID を相関付けます。

詳細については、次の項を参照してください。

rna_host_ip_map のフィールド

次の表に、 rna_host_ip_map テーブルでアクセスできるフィールドについて説明します。

表 6-21 rna_host_ip_map のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`ipaddr`	ホストの IP アドレスのバイナリ表現。

rna_host_ip_map の結合

次の表に、 rna_host_ip_map テーブルで実行できる結合について説明します。

表 6-22 rna_host_ip_map の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id
`ipaddr`	`compliance_event.dst_ipaddr compliance_event.src_ipaddr connection_log.initiator_ipaddr connection_log.responder_ipaddr connection_summary.initiator_ipaddr connection_summary.responder_ipaddr fireamp_event.dst_ipaddr fireamp_event.src_ipaddr intrusion_event.dst_ipaddr intrusion_event.src_ipaddr network_discovery_event.ipaddr si_connection_log.initiator_ipaddr si_connection_log.responder_ipaddr user_discovery_event.ipaddr user_ipaddr_history.ipaddr white_list_event.ipaddr`

rna_host_ip_map のサンプルクエリ

次のクエリは、選択されたホストの MAC 情報を返します。

SELECT host_id

FROM rna_host_ip_map

WHERE HEX(ipaddr) = "00000000000000000000FFFF0A0A0A04";

rna_host_mac_map

rna_host_mac_map テーブルは、モニタ対象ネットワーク内のホストの MAC アドレスにホスト ID を相関付けます。

詳細については、次の項を参照してください。

rna_host_mac_map のフィールド

次の表に、 rna_host_mac_map テーブルでアクセスできるフィールドについて説明します。

表 6-23 rna_host_mac_map のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`mac_address`	ホストの MAC アドレス。
`mac_vendor`	検出されたホストのネットワークインターフェイスのベンダー。

rna_host_mac_map の結合

次の表に、 rna_host_mac_map テーブルで実行できる結合について説明します。

表 6-24 rna_host_mac_map の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_mac_map のサンプルクエリ

次のクエリは、 host_id が 8 のホストの MAC 情報を返します。

SELECT HEX(mac_address)

FROM rna_host_mac_map

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_os

rna_host_os テーブルには、モニタ対象ネットワークのホストで検出されたオペレーティングシステムに関する情報が格納されます。

詳細については、次の項を参照してください。

rna_host_os のフィールド

次の表に、 rna_host_os テーブルでアクセスできるフィールドについて説明します。

表 6-25 rna_host_os のフィールド
フィールド	説明
`confidence`	Firepower システムによりオペレーティングシステムを識別するために割り当てられた信頼度（ `0` ～ `100` ）。
`created_sec`	システムがホストアクティビティを最初に検出した日時を示す UNIX タイムスタンプ。
`host_id`	ホストの ID 番号。
`last_seen_sec`	システムがホストアクティビティを最後に検出した日時を示す UNIX タイムスタンプ。
`os_uuid`	ホストで検出されたオペレーティングシステムの固有識別子。UUID は、Firepower システムデータベース内のオペレーティングシステムの名前、ベンダー、およびバージョンにマップされます。
`product`	ホストで検出されたオペレーティングシステム。
`source_type`	ホストのオペレーティングシステムのアイデンティティソース。 `User` ：Web ユーザインターフェイスからデータを入力したユーザの名前 `Application` ：ホスト入力機能を使用して別のアプリケーションからインポートされた `Scanner` ：Nmap、またはシステムポリシーによって追加された別のスキャナ `rna` ：Firepower システムにより検出（検出イベント、ポート一致、またはパターン一致のいずれかにより検出）。 `NetFlow` ：NetFlow 対応デバイスによってデータがエクスポートされた
`vendor`	ホストで検出されたオペレーティングシステムのベンダー。
`version`	ホストで検出されたオペレーティングシステムのバージョン。

rna_host_os の結合

次の表に、 rna_host_os テーブルで実行できる結合について説明します。

表 6-26 rna_host_os の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_os のサンプルクエリ

次のクエリは、 host_id が 8 のホストのオペレーティングシステムに関する情報を返します。

SELECT vendor, product, version, source_type, confidence

FROM rna_host_os

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_os_vulns

rna_host_os_vulns テーブルには、モニタ対象ネットワーク内のホストに関連付けられている脆弱性に関する情報が格納されます。

詳細については、次の項を参照してください。

rna_host_os_vulns のフィールド

次の表に、 rna_host_os_vulns テーブルでアクセスできるフィールドについて説明します。

表 6-27 rna_host_os_vulns のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`invalid`	脆弱性がホストで有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`rna_vuln_id`	脆弱性の内部識別番号。

rna_host_os_vulns の結合

次の表に、 rna_host_os_vulns テーブルで実行できる結合について説明します。

表 6-28 rna_host_os_vulns の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`rna_vuln_id`	`rna_vuln.bugtraq_id rna_vuln.rna_vuln_id rna_host_third_party_vuln_rna_id.rna_vuln_id rna_host_third_party_vuln_cve_id.cve_id rna_host_third_party_vuln_bugtraq_id.bugtraq_id`
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_os_vulns のサンプルクエリ

次のクエリは、 host_id が 8 のホストのオペレーティングシステムの脆弱性を返します。

SELECT rna_vuln_id, invalid

FROM rna_host_os_vulns

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_protocol

rna_host_protocol テーブルには、モニタ対象ネットワークのホストで検出されたプロトコルに関する情報が格納されます。

詳細については、次の項を参照してください。

rna_host_protocol のフィールド

次の表に、 rna_host_protocol テーブルでアクセスできるフィールドについて説明します。

表 6-29 rna_host_protocol のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`layer`	プロトコルを実行しているネットワーク層（ `Network` または `Transport` ）。
`mac_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`mac_vendor`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`protocol_name`	ホストが使用するトラフィックプロトコル。
`protocol_num`	プロトコルの IANA 指定のプロトコル番号。

rna_host_protocol の結合

次の表に、 rna_host_protocol テーブルで実行できる結合について説明します。

表 6-30 rna_host_protocol の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_protocol のサンプルクエリ

次のクエリは、 host_id が 8 のホストのプロトコルレコードをすべて返します。

SELECT protocol_num, protocol_name

FROM rna_host_protocol

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_sensor

rna_host_sensor テーブルには、モニタ対象ネットワーク内のホスト IP アドレスが格納され、各アドレスを検出した管理対象デバイスが示されています。

rna_host_sensor テーブルは、Firepower システムバージョン 5.2 以降で廃止されたテーブル rna_ip_host_sensor を置き換えます。

詳細については、次の項を参照してください。

rna_host_sensor のフィールド

次の表に、 rna_host_sensor テーブルでアクセスできるフィールドについて説明します。

表 6-31 rna_host_sensor のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`sensor_address`	検出イベントを生成した管理対象デバイスの IP アドレス。形式は ipv4_address,ipv6_address です。
`sensor_name`	管理対象デバイスの名前。
`sensor_uuid`	管理対象デバイスの固有識別子（ `sensor_name` が `null` の場合は `0` ）。

rna_host_sensor の結合

次の表に、 rna_host_sensor テーブルで実行できる結合について説明します。

表 6-32 rna_host_sensor の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_sensor のサンプルクエリ

次のクエリは、最大 25 件のホストと、それらのホストを検出したセンサーを rna_host_sensor テーブルから返します。

SELECT host_id, sensor_address, sensor_name

FROM rna_host_sensor

LIMIT 0, 25;

rna_host_service

rna_host_service テーブルには、ネットワークポートとトラフィックプロトコルの組み合わせによりモニタ対象ネットワークのホストで検出されたサービスに関する一般情報が含まれています。

詳細については、次の項を参照してください。

rna_host_service のフィールド

次の表に、 rna_host_service テーブルでアクセスできるフィールドについて説明します。

表 6-33 rna_host_service のフィールド
フィールド	説明
`confidence`	Firepower システムによりサーバを識別するために割り当てられた信頼度（ `0` ～ `100` ）。
`hits`	サーバが検出された回数。
`host_id`	ホストの ID 番号。
`last_used_sec`	システムが最後にサーバアクティビティを検出した日時を示す UNIX タイムスタンプ。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。

rna_host_service の結合

次の表に、 rna_host_service テーブルで実行できる結合について説明します。

表 6-34 rna_host_service の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id
次のセット： `host_id port protocol`	次のセット： `rna_host_service_banner.host_id rna_host_service_banner.port rna_host_service_banner.protocol` 次のセット： `rna_host_service_info.host_id rna_host_service_info.port rna_host_service_info.protocol` 次のセット： `rna_host_service_payload.host_id rna_host_service_payload.port rna_host_service_payload.protocol`

rna_host_service のサンプルクエリ

次のクエリは、 host_id が 8 のホストについて検出された、最初の 25 件のサーバレコードを返します。

SELECT hits, protocol, port, confidence

FROM rna_host_service

WHERE HEX(host_id) = "00000000000000000000000000000008"

LIMIT 0, 25;

rna_host_service_banner

rna_ip_host_service_banner テーブルには、ネットワークトラフィックからのヘッダー情報が格納されます。このヘッダー情報は、モニタ対象ネットワークのホストのサーバのベンダーとバージョン（「バナー」）をアドバタイズします。ネットワーク検出ポリシーの [Capture Banners] オプションを有効にしていない場合は、Firepower システムはサーババナーを保存しない点に注意してください。

詳細については、次の項を参照してください。

rna_host_service_banner のフィールド

次の表に、 rna_host_service_banner テーブルでアクセスできるフィールドについて説明します。

表 6-35 rna_host_service_banner のフィールド
フィールド	説明
`バナー`	サーバのバナー（そのサーバについて検出された最初のパケットの最初の 256 バイト）。
`host_id`	ホストの ID 番号。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。

rna_host_service_banner の結合

次の表に、 rna_host_service_banner テーブルで実行できる結合について説明します。

表 6-36 rna_host_service_banner の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
次のセット： `host_id port protocol`	次のセット： `rna_host_service.host_id rna_host_service.port rna_host_service.protocol` 次のセット： `rna_host_service_info.host_id rna_host_service_info.port rna_host_service_info.protocol` 次のセット： `rna_host_service_payload.host_id rna_host_service_payload.port rna_host_service_payload.protocol`
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_service_banner のサンプルクエリ

次のクエリは、 host_id が 8 のホストのサーババナーを返します。

SELECT port, protocol, banner

FROM rna_host_service_banner

WHERE HEX(host_id) = “00000000000000000000000000000008”;

rna_host_service_info

rna_host_service_info テーブルには、モニタ対象ネットワークのホストで検出されたサーバに関する詳細情報が格納されます。

詳細については、次の項を参照してください。

rna_host_service_info のフィールド

次の表に、 rna_host_service_info テーブルでアクセスできるフィールドについて説明します。

表 6-37 rna_host_service_info のフィールド
フィールド	説明
`application_id`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して空白を返します。
`application_protocol_id`	検出されたアプリケーションプロトコルの内部 ID（使用可能な場合）。
`application_protocol_name`	次のいずれか：アプリケーションプロトコルの名前（確実な識別が可能な場合） `pending` （システムがさらにデータを必要としている場合）空白（接続にアプリケーション情報がない場合）
`business_relevance`	ビジネスの生産性に対するアプリケーションの関連度のインデックス（ `1` ～ `5` ）。 `1` は非常に低く、 `5` は非常に高いことを示します。
`business_relevance_ description`	ビジネスとの関連度の説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `very high` ）。
`created_sec`	システムが最初にアプリケーションプロトコルを検出した日時を示す UNIX タイムスタンプ。
`host_id`	ホストの ID 番号。
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`last_used_sec`	システムが最後にサーバアクティビティを検出した日時を示す UNIX タイムスタンプ。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。
`risk`	アプリケーションリスクのインデックス（ `1` ～ `5` ）。 `1` は非常に低いリスク、 `5` は非常に高いリスクを示します。
`risk_description`	リスクの説明（ `very low` 、 `low` 、 `medium` 、 `high` 、 `very high` ）。
`service_info_id`	サーバの内部識別番号。
`service_name`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`source_type`	サーバのアイデンティティソース： `User` ：Web ユーザインターフェイスからデータを入力したユーザの名前 `Application` ：ホスト入力機能を使用して別のアプリケーションからインポートされた `Scanner` ：NMAP により追加されたか、または送信元タイプが Scanner でホスト入力機能からインポートされた `rna` ：Firepower システムにより検出（検出イベント、ポート一致、またはパターン一致のいずれかにより検出）。 `NetFlow` ：NetFlow 対応デバイスによってデータがエクスポートされた
`vendor`	ホストのサーバのベンダー。
`version`	ホストで検出されたサーバのバージョン。

rna_host_service_info の結合

次の表に、 rna_host_service_info テーブルで実行できる結合について説明します。

表 6-38 rna_host_service_info の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`application_protocol_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_host_map.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id rna_host_service_payload.web_application_id
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_payload.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id
次のセット： `host_id` および `port` および `protocol`	次のセット： `rna_host_service.host_id rna_host_service.port rna_host_service.protocol` 次のセット： `rna_host_service_banner.host_id rna_host_service_banner.port rna_host_service_banner.protocol` 次のセット： `rna_host_service_payload.host_id rna_host_service_payload.port rna_host_service_payload.protocol`

rna_host_service_info のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出されたアプリケーションプロトコルに関する情報を返します。

SELECT host_id, application_protocol_name, version, vendor, created_sec, last_used_sec, business_relevance, risk

FROM rna_host_service_info

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_service_payload

rna_host_service_payload テーブルには、モニタ対象ネットワーク内のホストにより関連付けられている Web アプリケーションに関する情報が含まれています。

詳細については、次の項を参照してください。

rna_host_service_payload のフィールド

次の表に、 rna_host_service_payload テーブルでアクセスできるフィールドについて説明します。

表 6-39 rna_host_service_payload のフィールド
フィールド	説明
`application_id`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`application_name`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`host_id`	ホストの ID 番号。
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`payload_name`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`payload_type`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。
`web_application_id`	Web アプリケーションの内部識別番号。
`web_application_name`	次のいずれかになります。 Web アプリケーションの名前（確実な識別が可能な場合） `web browsing` （システムがアプリケーションプロトコル HTTP を検出したが、特定の Web アプリケーションを検出できない場合）。空白（接続に HTTP トラフィックがない場合）。

rna_host_service_payload の結合

次の表に、 rna_host_service_payload テーブルで実行できる結合について説明します。

表 6-40 rna_host_service_payload の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`web_application_id`	app_ids_stats_current_timeframe.application_id application_info.application_id application_host_map.application_id application_tag_map.application_id app_stats_current_timeframe.application_id connection_log.application_protocol_id connection_log.client_application_id connection_log.web_application_id connection_summary.application_protocol_id si_connection_log.application_protocol_name si_connection_log.client_application_id si_connection_log.web_application_id file_event.application_id intrusion_event.application_protocol_id intrusion_event.client_application_id intrusion_event.web_application_id rna_host_service_info.application_protocol_id rna_host_client_app_payload.web_application_id rna_host_client_app_payload.client_application_id rna_host_client_app.client_application_id rna_host_client_app.application_protocol_id
次のセット： `host_id port protocol`	次のセット： `rna_host_service.host_id rna_host_service.port rna_host_service.protocol` 次のセット： `rna_host_service_banner.host_id rna_host_service_banner.port rna_host_service_banner.protocol` 次のセット： `rna_host_service_info.host_id rna_host_service_info.port rna_host_service_info.protocol`
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_vulns.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_service_payload のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出された Web アプリケーションに関する情報を返します。

SELECT host_id, web_application_id, web_application_name, port, protocol

FROM rna_host_service_payload

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_service_subtype

rna_host_service_subtype テーブルには、モニタ対象ネットワークのホストで検出されたサーバのサブサーバに関する情報が格納されています。

詳細については、次の項を参照してください。

rna_host_service_subtype のフィールド

次の表に、 rna_host_service_subtype テーブルでアクセスできるフィールドについて説明します。

表 6-41 rna_host_service_subtype のフィールド
フィールド	説明
`host_id`	ホストの ID 番号。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。
`service_name`	次のいずれかになります。トリガーイベントに関連付けられているホストのサーバ。 `none` または空白（識別のためのデータが使用できない場合） `pending` （追加データが必要な場合） `unknown` （システムが既知のサーバフィンガープリントに基づいてサーバを識別できない場合）
`source_type`	サーバのアイデンティティソース： `User` ：Web ユーザインターフェイスからデータを入力したユーザの名前 `Application` ：ホスト入力機能を使用して別のアプリケーションからインポート `Scanner` ：NMAP により追加されたか、または送信元タイプが Scanner でホスト入力機能からインポート `rna` ：Firepower システムにより検出（検出イベント、ポート一致、またはパターン一致のいずれかにより検出） `NetFlow` ：NetFlow 対応デバイスによってエクスポートされたデータ
`sub_service_name`	ホストで検出されたサブサーバ。
`sub_service_vendor`	ホストで検出されたサブサーバのベンダー。
`sub_service_version`	ホストで検出されたサブサーバのバージョン。
`vendor`	ホストで検出されたサーバのベンダー。
`version`	ホストで検出されたサーバのバージョン。

rna_host_service_subtype の結合

rna_host_service_subtype テーブルに対して結合を実行することはできません。

rna_host_service_subtype のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出されたすべてのサブサーバレコードを返します。

SELECT host_id, service_name, version, sub_service_name, sub_service_version, sub_service_vendor

FROM rna_host_service_subtype

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_service_vulns

rna_host_service_vulns テーブルには、モニタ対象ネットワーク内のホストで検出されたサーバにマップされている脆弱性に関する情報が格納されています。

詳細については、次の項を参照してください。

rna_host_service_vulns のフィールド

次の表に、 rna_host_service_vulns テーブルでアクセスできるフィールドについて説明します。

表 6-42 rna_host_service_vulns のフィールド
フィールド	説明
`application_id`	ホストで実行されているアプリケーションプロトコルの内部識別番号。
`application_name`	ユーザインターフェイスに表示されるアプリケーションプロトコル名。
`host_id`	ホストの ID 番号。
`invalid`	アプリケーションプロトコルを実行しているホストで脆弱性が有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`port`	サーバで使用されるポート。
`protocol`	トラフィックプロトコル： `TCP` または `UDP` 。
`rna_vuln_id`	脆弱性の内部識別番号。
`service_name`	バージョン 5.0 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`vendor`	ホストで検出されたサーバのベンダー。
`version`	ホストで検出されたサーバのバージョン。

rna_host_service_vulns の結合

次の表に、 rna_host_service_vulns テーブルで実行できる結合について説明します。

表 6-43 rna_host_service_vulns の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`rna_vuln_id`	`rna_vuln.bugtraq_id rna_vuln.rna_vuln_id rna_host_third_party_vuln_rna_id.rna_vuln_id rna_host_third_party_vuln_cve_id.cve_id rna_host_third_party_vuln_bugtraq_id.bugtraq_id`
`host_id`	rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_payload.host_id rna_host_third_party_vuln_bugtraq_id.host_id rna_host_third_party_vuln_cve_id.host_id rna_host_third_party_vuln_rna_id.host_id rna_host_third_party_vuln.host_id

rna_host_service_vulns のサンプルクエリ

次のクエリは、 host_id が 8 のホストで検出されたすべてのサーバ脆弱性に関する情報を返します。

SELECT host_id, rna_vuln_id, vendor, service_name, version, invalid FROM rna_host_service_vulns

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_third_party_vuln

rna_host_third_party_vuln テーブルには、モニタ対象ネットワーク内のホストに関連付けられているサードパーティの脆弱性に関する情報が含まれています。このテーブルの情報は、ホスト入力機能によってインポートされるサードパーティの脆弱性データによって決定されることに注意してください。

詳細については、次の項を参照してください。

rna_host_third_party_vuln のフィールド

次の表に、 rna_host_third_party_vuln テーブルでアクセスできるフィールドについて説明します。

表 6-44 rna_host_third_party_vuln のフィールド
フィールド	説明
`description`	脆弱性に関する説明。
`host_id`	ホストの ID 番号。
`invalid`	脆弱性がホストで有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`name`	脆弱性のタイトル。
`port`	ポート番号（脆弱性が、特定のポートで検出された関連アプリケーションまたはサーバに関連付けられている場合）。
`protocol`	トラフィックプロトコル（ `TCP` または `UDP` ）（そのプロトコルを使用するアプリケーションに脆弱性が関連付けられている場合）。
`source`	脆弱性のソース。
`third_party_vuln_id`	脆弱性に関連付けられた識別番号。

rna_host_third_party_vuln の結合

次の表に、 rna_host_third_party_vuln テーブルで実行できる結合について説明します。

表 6-45 rna_host_third_party_vuln の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`host_id`	`rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id`

rna_host_third_party_vuln のサンプルクエリ

次のクエリは、 host_id が 8 のホストのサードパーティの脆弱性に関する情報を返します。

SELECT host_id, third_party_vuln_id, name, description, source, invalid

FROM rna_host_third_party_vuln

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_third_party_vuln_bugtraq_id

rna_host_third_party_vuln_bugtraq_id テーブルには、Bugtraq データベースの脆弱性にマップされ、モニタ対象ネットワーク内のホストに関連付けられているサードパーティの脆弱性に関する情報が格納されます。このテーブルのサードパーティ脆弱性データは、ホスト入力機能によってインポートされることに注意してください。

詳細については、次の項を参照してください。

rna_host_third_party_vuln_bugtraq_id のフィールド

次の表に、 rna_host_third_party_vuln_bugtraq_id テーブルでアクセスできるフィールドについて説明します。

表 6-46 rna_host_third_party_vuln_bugtraq_id のフィールド
フィールド	説明
`bugtraq_id`	脆弱性に関連付けられている Bugtraq データベースの識別番号。
`description`	脆弱性に関する説明。
`host_id`	ホストの ID 番号。
`invalid`	脆弱性がホストで有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`name`	脆弱性の名前またはタイトル。
`port`	ポート番号（脆弱性が、特定のポートで検出された関連アプリケーションまたはサーバに関連付けられている場合）。
`protocol`	トラフィックプロトコル（ `TCP` または `UDP` ）（そのプロトコルを使用するアプリケーションに脆弱性が関連付けられている場合）。
`source`	脆弱性のソース。
`third_party_vuln_id`	脆弱性に関連付けられているサードパーティの識別番号。

rna_host_third_party_vuln_bugtraq_id の結合

次の表に、 rna_host_third_party_vuln_bugtraq_id テーブルで実行できる結合について説明します。

表 6-47 rna_host_third_party_vuln_bugtraq_id の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`bugtraq_id`	`rna_vuln.bugtraq_id rna_vuln.rna_vuln_id rna_host_os_vulns.rna_vuln_id rna_host_service_vulns.rna_vuln_id`
`host_id`	`rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id`

rna_host_third_party_vuln_bugtraq_id のサンプルクエリ

次のクエリは、 host_id が 8 のホストの BugTraq 脆弱性を返します。

SELECT host_id, third_party_vuln_id, bugtraq_id, name, description, source, invalid

FROM rna_host_third_party_vuln_bugtraq_id

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_third_party_vuln_cve_id

rna_host_third_party_vuln_cve_id テーブルには、MITRE の CVE データベースの脆弱性にマップされ、モニタ対象ネットワーク内のホストに関連付けられているサードパーティの脆弱性に関する情報が格納されます。このテーブルには、ホスト入力機能によってインポートされるサードパーティの脆弱性データが格納されていることに注意してください。

詳細については、次の項を参照してください。

rna_host_third_party_vuln_cve_id のフィールド

次の表に、 rna_host_third_party_vuln_cve_id テーブルでアクセスできるフィールドについて説明します。

表 6-48 rna_host_third_party_vuln_cve_id のフィールド
フィールド	説明
`cve_id`	MITRE の CVE データベースにおいて脆弱性に関連付けられている識別番号。
`description`	脆弱性に関する説明。
`host_id`	ホストの ID 番号。
`invalid`	脆弱性がホストで有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`name`	脆弱性の名前またはタイトル。
`port`	ポート番号（脆弱性が、特定のポートで検出された関連アプリケーションまたはサーバに関連付けられている場合）。
`protocol`	トラフィックプロトコル（ `TCP` または `UDP` ）（そのプロトコルを使用するアプリケーションに脆弱性が関連付けられている場合）。
`source`	脆弱性のソース。
`third_party_vuln_id`	脆弱性に関連付けられた識別番号。

rna_host_third_party_vuln_cve_id の結合

次の表に、 rna_host_third_party_vuln_cve_id テーブルで実行できる結合について説明します。

表 6-49 rna_host_third_party_vuln_cve_id の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`cve_id`	`rna_vuln.bugtraq_id rna_vuln.rna_vuln_id rna_host_os_vulns.rna_vuln_id rna_host_service_vulns.rna_vuln_id`
`host_id`	`rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id`

rna_host_third_party_vuln_cve_id のサンプルクエリ

次のクエリは、 host_id が 8 のホストの CVE 脆弱性を返します。

SELECT host_id, third_party_vuln_id, cve_id, name, description, source, invalid

FROM rna_host_third_party_vuln_cve_id

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_host_third_party_vuln_rna_id

rna_host_third_party_vuln_bugtraq_id テーブルには、Firepower システム脆弱性データベース（VDB）の脆弱性にマップされ、モニタ対象ネットワーク内のホストに関連付けられているサードパーティの脆弱性に関する情報が格納されています。このテーブルのサードパーティ脆弱性データは、ホスト入力機能によってインポートされることに注意してください。

詳細については、次の項を参照してください。

rna_host_third_party_vuln_rna_id のフィールド

次の表に、 rna_host_third_party_vuln_rna_id テーブルでアクセスできるフィールドについて説明します。

表 6-50 rna_host_third_party_vuln_rna_id のフィールド
フィールド	説明
`description`	脆弱性に関する説明。
`host_id`	ホストの ID 番号。
`invalid`	脆弱性がホストで有効であるかどうかを示す値。 `0` ：脆弱性が有効 `1` ：脆弱性が無効
`ip_address`	バージョン 5.2 で廃止されたフィールド。すべてのクエリに対して `null` を返します。
`name`	脆弱性の名前またはタイトル。
`port`	ポート番号（脆弱性が、特定のポートで検出された関連アプリケーションまたはサーバに関連付けられている場合）。
`protocol`	トラフィックプロトコル（ `TCP` または `UDP` ）（そのプロトコルを使用するアプリケーションに脆弱性が関連付けられている場合）。
`rna_vuln_id`	脆弱性を追跡するためにシスコが使用する脆弱性の識別番号。
`source`	脆弱性のソース。
`third_party_vuln_id`	脆弱性に関連付けられた識別番号。

rna_host_third_party_vuln_rna_id の結合

次の表に、 rna_host_third_party_vuln_rna_id テーブルで実行できる結合について説明します。

表 6-51 rna_host_third_party_vuln_rna_id の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`rna_vuln_id`	`rna_vuln.bugtraq_id rna_vuln.rna_vuln_id rna_host_os.rna_vuln_id rna_host_service_vulns.rna_vuln_id`
`host_id`	`rna_host.host_id rna_host_attribute.host_id rna_host_protocol.host_id rna_host_os_vulns.host_id application_host_map.host_id rna_host_client_app.host_id rna_host_client_app_payload.host_id rna_host_ioc_state.host_id rna_host_ip_map.host_id rna_host_mac_map.host_id rna_host_os.host_id rna_host_sensor.host_id rna_host_service.host_id rna_host_service_banner.host_id rna_host_service_info.host_id rna_host_service_payload.host_id rna_host_service_vulns.host_id`

rna_host_third_party_vuln_rna_id のサンプルクエリ

次のクエリは、 host_id が 8 のホストのすべてのサードパーティ脆弱性と VDB ID を返します。

SELECT host_id, third_party_vuln_id, rna_vuln_id, name, description, source, invalid

FROM rna_host_third_party_vuln_rna_id

WHERE HEX(host_id) = "00000000000000000000000000000008";

rna_vuln

rna_vuln テーブルには、シスコ VDB の脆弱性に関する情報が格納されます。

詳細については、次の項を参照してください。

rna_vuln のフィールド

次の表に、 rna_vuln テーブルでアクセスできるフィールドについて説明します。

表 6-52 rna_vuln のフィールド
フィールド	説明
`authentication`	この脆弱性のエクスプロイトに認証が必要であるかどうか `必須` `Not Required` `不明`
`availability`	脆弱性のエクスプロイトが可能な状況： `Always` `User Initiated` `Time Dependent` `不明`
`available_exploits`	脆弱性に対して既知のエクスプロイトがあるかどうか `TRUE` `FALSE`
`bugtraq_id`	Bugtraq データベースにおいて脆弱性に関連付けられている識別番号。
`class`	脆弱性のクラス： `Configuration Error` `Boundary Condition Error` `Design Error`
`credibility`	脆弱性の信頼度： `Conflicting Reports` `Conflicting Details` `Single Source` `Reliable Source` `Multiple Sources` `Vendor Confirmed`
`credit`	脆弱性を報告したユーザまたは組織
`ease`	脆弱性のエクスプロイトの容易さ。 `No Exploit Required` `Exploit Available` `No Exploit Available`
`effect`	脆弱性がエクスプロイトされた場合に発生する可能性のある影響の詳細。
`entry_date`	脆弱性がデータベースに登録された日付。
`exploit`	脆弱性のエクスプロイトを確認できる情報。
`impact`	脆弱性の影響。これは侵入データ、検出イベント、および脆弱性アセスメントの間の相関に基づいて決定した影響レベルに対応しています。指定できる値は `1` ～ `10` です。 `10` が最も高い重大度です。脆弱性の影響度の値は、Bugtraq エントリの作成者が決定します。
`ローカル`	脆弱性がローカルでエクスプロイトされる必要があるかどうかを示します。 `TRUE` `FALSE`
`long_description`	脆弱性についての一般的な説明。
`mitigation`	脆弱性を緩和する方法を説明します。
`modified_date`	脆弱性の最終変更日（該当する場合）。
`publish_date`	脆弱性が公開された日付。
`remote`	脆弱性がネットワーク上でエクスプロイト可能であるかどうかを示します。 `TRUE` `FALSE`
`rna_vuln_id`	脆弱性を追跡するためにシステムで使用するシスコの脆弱性 ID 番号。
`scenario`	攻撃者が脆弱性をエクスプロイトするシナリオの説明。
`short_description`	脆弱性の概要。
`snort_id`	Snort ID（SID）データベースにおいて脆弱性に関連付けられている識別番号。つまり、侵入ルールで特定の脆弱性を悪用するネットワークトラフィックを検出できると、その脆弱性は、侵入ルールの SID に関連付けられます。
`solution`	脆弱性に対する解決策。
`technical_description`	脆弱性に関する技術的な説明。
`title`	脆弱性のタイトル。

rna_vuln の結合

次の表に、 rna_vuln テーブルで実行できる結合について説明します。

表 6-53 rna_vuln の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`rna_vuln_id` または `bugtraq_id`	`rna_host_os_vulns.rna_vuln_id rna_host_service_vulns.rna_vuln_id rna_host_third_party_vuln_rna_id.rna_vuln_id rna_host_third_party_vuln_cve_id.cve_id rna_host_third_party_vuln_bugtraq_id.bugtraq_id`

rna_vuln のサンプルクエリ

次のクエリは、最大 25 件の脆弱性に関する情報を返します。これらのレコードは、当該脆弱性に基づいて生成されたイベントの数の順にソートされます。

SELECT rna_vuln_id, bugtraq_id, snort_id, title, publish_date, impact, remote, exploit, long_description, technical_description, solution, count(*) as count

FROM rna_vuln

GROUP BY rna_vuln_id

ORDER BY rna_vuln_id DESC LIMIT 0, 25;

tag_info

tag_info テーブルには、ネットワークで検出されたアプリケーションに関連付けられているタグに関する情報が含まれています。アプリケーションには複数のタグが関連付けられていることがある点に注意してください。

詳細については、次の項を参照してください。

tag_info のフィールド

次の表に、 tag_info テーブルでアクセスできるフィールドについて説明します。

表 6-54 tag_info のフィールド
フィールド	説明
`domain_name`	アプリケーションが検出されたドメインの名前。
`domain_uuid`	アプリケーションが検出されたドメインの UUID。これはバイナリで示されます。
`tag_description`	タグの説明。
`tag_id`	タグの内部 ID。
`tag_name`	ユーザインターフェイスに表示されるタグのテキスト。
`tag_type`	次のいずれかが必要です。 `category` `tag`

tag_info の結合

次の表に、 tag_info テーブルで実行できる結合について説明します。

表 6-55 tag_info の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`tag_id`	`application_tag_map.tag_id`

tag_info のサンプルクエリ

次のクエリは、 Global \ Company B \ Edge ドメイン内で選択されているタグ ID のアプリケーションタグレコードを返します。

SELECT tag_id, tag_name, tag_type, tag_description

FROM tag_info

WHERE tag_id="100" AND domain_name= "Global \ Company B \ Edge";

url_categories

url_categories テーブルには、モニタ対象ネットワークのホストから要求される URL を特徴付けるカテゴリがリストされます。

詳細については、次の項を参照してください。

url_categories のフィールド

次の表では、 url_categories テーブルのフィールドについて説明します。

表 6-56 url_categories のフィールド
フィールド	説明
`category_description`	URL カテゴリの説明。
`category_id`	URL カテゴリの内部識別番号。

url_categories の結合

url_categories テーブルに対して結合を実行することはできません。

url_categories のサンプルクエリ

次のクエリは、選択したカテゴリ ID のカテゴリレコードを返します。

SELECT category_id, category_description

FROM url_categories

WHERE category_id="1";

url_reputations

url_reputations テーブルには、モニタ対象要求でホストから要求される URL を特徴付けるレピュテーションがリストされます。

詳細については、次の項を参照してください。

url_reputations のフィールド

次の表では、 url_reputations テーブルのフィールドについて説明します。

表 6-57 url_reputations のフィールド
フィールド	説明
`reputation_description`	レピュテーションの説明。
`reputation_id`	URL のレピュテーションの内部識別番号。

url_reputations の結合

url_reputations テーブルに対して結合を実行することはできません。

url_reputations のサンプルクエリ

次のクエリは、特定のレピュテーション ID の URL レピュテーション情報を返します。

SELECT reputation_id, reputation_description

FROM url_reputations

WHERE reputation_id="1";

user_ipaddr_history

user_ipaddr_history テーブルには、モニタ対象ネットワーク内の特定のホストに対するユーザアクティビティに関する情報が含まれます。

詳細については、次の項を参照してください。

user_ipaddr_history のフィールド

次の表に、 user_ipaddr_history テーブルでアクセスできるフィールドについて説明します。

表 6-58 user_ipaddr_history のフィールド
フィールド	説明
`authentication_type`	ユーザが使用する認証のタイプ。値は次のとおりです。 `0` ：認証は不要 `1` ：パッシブ認証、AD エージェント、または ISE セッション `2` ：キャプティブポータルの正常な認証 `3` ：キャプティブポータルのゲスト認証 `4` ：キャプティブポータルの失敗認証
`domain_name`	ユーザが検出されたドメインの名前。
`domain_uuid`	ユーザが検出されたドメインの UUID。これはバイナリで示されます。
`endpoint_profile`	接続エンドポイントで使用されるデバイスのタイプの名前。
`end_time_sec`	ホストに異なるユーザがログインしていることを Firepower システムが検出した日時を示す UNIX タイムスタンプ。これにより、以前のユーザのセッションの推定される終了がマークされます。Firepower システムではログオフが検出されないことに注意してください。
`id`	ユーザ履歴レコードの内部識別番号。
`ipaddr`	ホストの IP アドレスのバイナリ表現。
`location_ip`	ISE と通信するインターフェイスの IP アドレス。IPv4 または IPv6 のアドレスを使用できます。
`start_time_sec`	ユーザがホストにログインしたことを Firepower システムが検出した日時を示す UNIX タイムスタンプ。
`security_group`	ネットワークトラフィックグループの ID 番号。
`user_dept`	ユーザの所属部門。
`user_email`	ユーザの電子メールアドレス。
`user_first_name`	ユーザの名。
`user_id`	ユーザの内部識別番号。
`user_last_name`	ユーザの姓。
`user_last_seen_sec`	ユーザのユーザアクティビティを Firepower システムが最後に検出した日時を示す UNIX タイムスタンプ。
`user_last_updated_sec`	ユーザのユーザレコードを Firepower システムが最後に更新した日時を示す UNIX タイムスタンプ。
`user_name`	ユーザのユーザ名。
`user_phone`	ユーザの電話番号です。
`user_rna_service`	ユーザの検出時に使用されていたアプリケーションプロトコルの名前（使用可能な場合）。

user_ipaddr_history の結合

次の表に、 user_ipaddr_history テーブルで実行できる結合について説明します。

表 6-59 user_ipaddr_history の結合
このテーブルで結合に使用するフィールド	結合できるフィールド
`ipaddr`	`compliance_event.dst_ipaddr compliance_event.src_ipaddr connection_log.initiator_ipaddr connection_log.responder_ipaddr connection_summary.initiator_ipaddr connection_summary.responder_ipaddr fireamp_event.dst_ipaddr fireamp_event.src_ipaddr intrusion_event.dst_ipaddr intrusion_event.src_ipaddr network_discovery_event.ipaddr rna_host_ip_map.ipaddr si_connection_log.initiator_ipaddr si_connection_log.responder_ipaddr user_discovery_event.ipaddr white_list_event.ipaddr`
`user_id`	`discovered_users.user_id user_discovery_event.user_id rna_host_ioc_state.host_id`

user_ipaddr_history のサンプルクエリ

次のクエリは、指定された開始タイムスタンプ以降の、選択された IP アドレスのユーザアクティビティレコードをすべて返します。

SELECT ipaddr, start_time_sec, end_time_sec, user_name, user_rna_service, user_last_seen_sec, user_last_updated_sec

FROM user_ipaddr_history

WHERE HEX(ipaddr) = "00000000000000000000FFFF0A0A0A04" AND start_time_sec >= UNIX_TIMESTAMP("2011-10-01 00:00:00");

Firepower System バージョン 6.3 データベース アクセス ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： スキーマ：検出イベントおよびネットワーク マップのテーブル