この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録には、旧バージョンの Firepower システム 製品の eStreamer によってサポートされるデータ構造に関する情報を記載しています。
クライアントが、旧バージョン形式でデータを要求するようにビットが設定されているイベント ストリーム要求を使用する場合、この付録の情報を使用して、受け取るデータ メッセージのデータ構造を識別できます。
バージョン 5.0 より前は、検出エンジンに個別に ID が割り当てられていたことに注意してください。バージョン 5.0 では、デバイスに ID が割り当てられます。この点は、バージョンに基づいてデータ構造に反映されます。
コメント この付録では、Firepower システム のバージョン 4.9 以降からのデータ構造のみを説明します。以前のデータ構造バージョンによる構造向けの資料が必要な場合は、シスコ カスタマー サポートにお問い合わせください。
侵入イベント(IPv4)レコードのフィールドは、次の図では網掛けされています。レコードの種類は 207 です。
侵入イベント レコードは、要求メッセージに侵入イベント フラグまたは拡張要求フラグを設定して要求します。要求フラグおよび拡張要求の送信を参照してください。
バージョン 5.0.x ~ 5.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベント(IPv6)レコードのフィールドは、次の図では網掛けされています。レコードの種類は 208 です。
侵入イベント レコードは、要求メッセージに侵入イベント フラグまたは拡張要求フラグを設定して要求します。要求フラグおよび拡張要求の送信を参照してください。
バージョン 5.0.x ~ 5.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
検出デバイスの ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号。プロトコル タイプが ICMP である場合、これは ICMP タイプを示します。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号。プロトコル タイプが ICMP である場合、これは ICMP コードを示します。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 34 です。
eStreamer からの 5.2.x 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 5 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.2.x の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはデータ ブロックのシリーズ 2 セットの 41 です。
eStreamer からの 5.3 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 6 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.3 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 で、ブロック タイプは 25 です。
eStreamer からの 5.1.1 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 4 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.1.1.x の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 42 です。
eStreamer からの 5.3.1 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 7 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.3.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 45 です。これはブロック タイプ 42 に取って代わり、ブロック タイプ 60 により取って代わられます。SSL サポート用およびネットワーク分析ポリシー用のフィールドが追加されました。
eStreamer からの 5.4.x 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 8 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
侵入影響アラート イベントには、影響イベントに関する情報が含まれます。これは、侵入イベントがシステム ネットワーク マップ データと比較され、影響が判別されているときに送信されます。これはレコード タイプ 9 の標準レコード ヘッダーを使用し、シリーズ 1 グループのブロックの、データ ブロック タイプが 20 である侵入影響アラート データ ブロックが続きます。(影響アラート データ ブロック タイプは、シリーズ 1 データ ブロックです。シリーズ 1 データ ブロックの詳細については、ディスカバリ(シリーズ 1)ブロックを参照してください。)
要求メッセージのフラグ フィールドにビット 5 を設定することで、eStreamer が侵入の影響イベントを送信するように要求できます。要求メッセージの詳細については、イベント ストリーム要求メッセージの形式を参照してください。これらのアラートのバージョン 1 は、IPv4 のみを処理します。5.3 で導入されたバージョン 2 は、IPv4 に加えて IPv6 イベントを処理します。
次の表は、影響イベントの各データ フィールドについての説明です。
|
|
|
---|---|---|
侵入影響アラート データ ブロックが続くことを示します。このフィールドの値は、常に |
||
侵入の影響アラートのブロック タイプの長さを示します。後続のすべてのデータ、および侵入の影響アラートのブロック タイプと長さの 8 バイトを含みます。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
IP アドレス オクテットの、影響イベントに関連付けられている宛先 IP アドレスの IP アドレス(該当する場合)。宛先 IP アドレスがない場合、この値は |
||
影響名を含む文字列データのブロックを開始します。この値は常に |
||
イベント説明文字列ブロックのバイト数。これには文字列ブロック タイプ用の 4 バイト、文字列ブロック長用の 4 バイト、および説明のバイト数が含まれます。 |
||
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 16 です。マルウェア イベント レコードの一部としてイベントを要求するには、イベント バージョン 1 およびイベント コード 101 の要求メッセージ内に、マルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 24 です。マルウェア イベント レコードの一部として、イベント バージョン 2 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 33 です。マルウェア イベント レコードの一部として、イベント バージョン 3 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 35 です。マルウェア イベント レコードの一部として、イベント バージョン 4 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザ フィールドのバイト数を含む)。 |
||
シスコ Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザ。これらのユーザはユーザ ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 44 です。これはブロック 35 に取って代わります。マルウェア イベント レコードの一部として、イベント バージョン 5 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
マルウェア イベントの発生元 Cisco Advanced Malware Protection クラウド の、内部の固有 ID。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザ フィールドのバイト数を含む)。 |
||
シスコ Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザ。これらのユーザはユーザ ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 47 です。これはブロック 44 に取って代わり、ブロックによって取って代わられます。SSL とファイル アーカイブ サポート用のフィールドが追加されました。
マルウェア イベント レコードの一部としてイベントを要求するには、イベント バージョン 6 およびイベント コード 101 の要求メッセージ内に、マルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
マルウェア イベントの発生元 Cisco Advanced Malware Protection クラウド の、内部の固有 ID。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザ フィールドのバイト数を含む)。 |
||
シスコ Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザ。これらのユーザはユーザ ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
アーカイブ SHA 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および侵入ポリシー名のバイト数を含む)。 |
||
アーカイブ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびアーカイブ名のバイト数を含む)。 |
||
ファイルがネストされている層の数。たとえば、テキスト ファイルが zip アーカイブ内にある場合、この値は |
ディスカバリ イベントおよび接続イベントのメッセージには、ディスカバリ イベント ヘッダーが含まれます。これは、イベントのタイプおよびサブタイプ、イベントが発生した時刻、イベントが発生したデバイス、およびメッセージ内のイベント データの構造を伝えます。このヘッダーには、実際のホスト ディスカバリ、ユーザ、または接続イベントのデータが続きます。さまざまなイベントのタイプ/サブタイプ値に関連付けられる構造の詳細については、イベント タイプ別ホスト ディスカバリ構造で説明します。
ディスカバリ イベント ヘッダーのイベント タイプ フィールドおよびイベント サブタイプ フィールドは、送信されたイベント メッセージの構造を示します。イベント データ ブロックの構造が一度判別されたら、プログラムはメッセージを適切に解析できます。
次の図の網掛けされた行は、ディスカバリ イベント ヘッダーの形式を例示しています。
次の表は、ディスカバリ イベント ヘッダーについての説明です。
|
|
|
---|---|---|
ディスカバリ イベントを生成したデバイスの ID 番号。バージョン 3 および 4 のメタデータを要求すると、デバイスのメタデータを入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
イベントのタイプ(新規イベントの場合は |
||
イベント サブタイプ。使用可能なイベント サブタイプの一覧の詳細については、イベント タイプ別ホスト ディスカバリ構造を参照してください。 |
||
属性アドレス ブロック データは、属性リスト項目が含まれ、属性定義データ ブロック内で使用されます。これはブロック タイプ 38 です。
次の表は、属性アドレス データ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
属性アドレス データ ブロックのバイト数(属性アドレス ブロック タイプと長さ用の 8 バイト、およびそれに続く属性アドレス データのバイト数を含む)。 |
||
ユーザ クライアント アプリケーション データ ブロックには、クライアント アプリケーション データの送信元に関する情報、データを追加したユーザの ID 番号、および IP アドレス範囲データ ブロックのリストが含まれます。ユーザ クライアント アプリケーション データ ブロックのブロック タイプは 59 です。
次の図は、ユーザ クライアント アプリケーション データ ブロックの基本構造を示しています。
次の表は、ユーザ クライアント アプリケーション データ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
ユーザ クライアント アプリケーション データ ブロックのバイトの合計数(ユーザ クライアント アプリケーション ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ クライアント アプリケーション データのバイト数を含む)。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、ユーザ サーバ データ ブロックのフィールドを参照してください。 |
||
クライアント アプリケーション バージョン文字列データ ブロックのバイト数(文字列ブロック タイプと長さのフィールド、およびバージョンのバイト数を含む)。 |
||
スキャン結果データ ブロックは、脆弱性を説明し、スキャン結果追加イベント内で使用されます(イベント タイプ 1002、サブタイプ 11)。スキャン結果データ ブロックのブロック タイプは 102 です。
次の図は、スキャン結果データ ブロックの形式を示しています。
次の表は、スキャン結果データ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
スキャン結果をインポートしたユーザ、またはスキャン結果を生成したスキャンを実行したユーザのユーザ ID 番号が含まれます。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン中に検出されたサーバおよびオペレーティング システムを記述する汎用スキャン結果データ ブロックを開始します。この値は常に 108 です。 |
||
汎用スキャン結果データ ブロックのバイト数(汎用スキャン結果ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン結果データのバイト数を含む)。 |
||
サード パーティ アプリケーションからのホスト入力データを伝えるユーザ製品データ ブロックを構成する、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのユーザ製品データ ブロックを含む)。 |
||
ホスト入力データを含むユーザ製品データ ブロック。このデータ ブロックの説明の詳細については、ユーザ製品データ ブロック 5.1+を参照してください。 |
ユーザ製品データ ブロックは、サード パーティ アプリケーション文字列マッピングを含む、サード パーティ アプリケーションからインポートされたホスト入力データを伝えます。このデータ ブロックは 接続統計データ ブロック 6.0.xとユーザ サーバ メッセージとオペレーティング システム メッセージで使用します。ユーザ製品データ ブロックは、4.10.x の場合はブロック タイプ 65、5.0 ~ 5.0.x の場合はブロック タイプ 118 です。それぞれのブロック タイプは同じ構造を持ちます。
コメント 次の図で、データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、ユーザ製品データ ブロックのコンポーネントについて説明します。
|
|
|
---|---|---|
ユーザ製品データ ブロックを開始します。この値はバージョン 4.10.x の場合は |
||
ユーザ製品データ ブロックのバイトの合計数(ユーザ製品ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ製品データのバイト数を含む)。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
カスタム ベンダー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびベンダー名のバイト数を含む)。 |
||
カスタム製品文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および製品名のバイト数を含む)。 |
||
カスタム バージョン文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
サード パーティ オペレーティング システムが シスコ 3D オペレーティング システム定義にマップされるときに指定される、サード パーティ オペレーティング システムのベンダーの ID。 |
||
サード パーティ オペレーティング システム文字列が シスコ 3D オペレーティング システム定義にマップされるときに指定される、サード パーティ オペレーティング システム文字列の製品 ID 文字列。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のメジャー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のメジャー バージョン。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のマイナー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
マイナー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のマイナー バージョン。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ オペレーティング システム定義のリビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー用文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のリビジョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義の最終メジャー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えた移行先メジャー文字列データ ブロックのバイト数。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のメジャー バージョン番号の範囲内にある、最終バージョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義の最終マイナー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えたマイナー用文字列データ ブロックのバイト数。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のマイナー バージョン番号の範囲内にある、最終バージョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義の最終リビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにリビジョン番号のバイト数を加えたリビジョン用文字列データ ブロックのバイト数。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システム定義のリビジョン番号の範囲内にある、最終リビジョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムのビルド番号を含む文字列データ ブロックを開始します。この値は常に |
||
ビルド文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびビルド番号のバイト数を含む)。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムのビルド番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムのパッチ番号を含む文字列データ ブロックを開始します。この値は常に |
||
パッチ文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびパッチ番号のバイト数を含む)。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムのパッチ番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムの拡張番号を含む文字列データ ブロックを開始します。この値は常に |
||
拡張文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および拡張番号のバイト数を含む)。 |
||
ユーザ入力内のサード パーティ オペレーティング システム文字列がマップされる シスコ 3D オペレーティング システムの拡張番号。 |
||
どの修正が特定の IP アドレス範囲内のホストに適用されているかに関するユーザ入力データを伝える修正リスト データ ブロックで構成される、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべての修正リスト データ ブロックを含む)。 |
||
ホストに適用された修正に関する情報を含む修正リスト データ ブロック。このデータ ブロックの説明の詳細については、フィックス リスト データ ブロックを参照してください。 |
ユーザ ログイン情報データ ブロックは、ユーザ情報更新メッセージで使用され、検出されたユーザのログイン情報の変更を伝えます。詳細については、ユーザ情報更新メッセージ ブロックを参照してください。
ユーザ ログイン情報データ ブロックは、バージョン 5.0 ~ 5.0.2 の場合は、ブロック タイプ 121 です。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザ ログイン情報データ ブロックのコンポーネントについての説明です。
ユーザ ログイン情報データ ブロックは、ユーザ情報更新メッセージで使用され、検出されたユーザのログイン情報の変更を伝えます。詳細については、ユーザ アカウント更新メッセージ データ ブロックを参照してください。
ユーザ ログイン情報データ ブロックは、バージョン 4.7 ~ 4.10.x の場合はブロック タイプ 73、バージョン 5.0 ~ 5.0.2 の場合はシリーズ 1 グループのブロックのブロック タイプ 121、バージョン 5.1 ~ 5.4.x の場合はシリーズ 1 グループのブロックのブロック タイプ 127 です。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザ ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
---|---|---|
ユーザ ログイン情報データ ブロックのバイトの合計数(ユーザ ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザ名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザ名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザ ログイン情報データ ブロックは、ユーザ情報更新メッセージで使用され、検出されたユーザのログイン情報の変更を伝えます。詳細については、ユーザ アカウント更新メッセージ データ ブロックを参照してください。
ユーザ ログイン情報データ ブロックは、バージョン 6.0.x の場合は、ブロック タイプ 159 です。これには新しい ISE 統合エンドポイント プロファイル、セキュリティ インテリジェンスのフィールドがあります。
ユーザ ログイン情報データ ブロックは、バージョン 4.7 ~ 4.10.x の場合はブロック タイプ 73、バージョン 5.0 ~ 5.0.2 の場合はシリーズ 1 グループのブロックのブロック タイプ 121、バージョン 5.1+ の場合はシリーズ 1 グループのブロックのデータ タイプ 127 です。詳細については、ユーザ ログイン情報データ ブロック 5.1 ~ 5.4.xを参照してください。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザ ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
---|---|---|
ユーザ ログイン情報データ ブロックのバイトの合計数(ユーザ ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザ名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザ名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
バージョン 6.1+ では、ユーザ ログイン情報データ ブロックには、シリーズ 1 グループのブロック内にブロック タイプ 165 が含まれています。ここには新しいポート フィールドとトンネリング フィールドがあります。これはブロック タイプ 159 に置き換わります。詳細については、ユーザ ログイン情報データ ブロック 6.0.xを参照してください。これはブロック タイプ 167 に更新しました。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
|
|
|
---|---|---|
ユーザ ログイン情報データ ブロックのバイトの合計数(ユーザ ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザ名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザ名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザ ログイン情報データ ブロックは、ユーザ情報更新メッセージで使用され、検出されたユーザのログイン情報の変更を伝えます。詳細については、ユーザ情報更新メッセージ ブロックを参照してください。
バージョン 6.1x では、ユーザ ログイン情報データ ブロックには、シリーズ 1 グループのブロック内にブロック タイプ 165 が含まれています。ここには新しいポート フィールドとトンネリング フィールドがあります。これはブロック タイプ 159 に置き換わります。これはブロック タイプ 167 に更新しました。詳細については、ユーザ ログイン情報データ ブロック 6.0.xを参照してください。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザ ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
---|---|---|
ユーザ ログイン情報データ ブロックのバイトの合計数(ユーザ ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザ名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザ名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザ情報データ ブロックはユーザ変更メッセージで使用され、検出、削除、またはドロップされたユーザの情報を伝えます。詳細については、ユーザ変更メッセージを参照してください。
ユーザ情報データ ブロックのブロック タイプは、4.7 ~ 4.10.x のシリーズ 1 ブロック グループのブロック タイプ 75 と、5.x のシリーズ 1 ブロック グループのブロック タイプ 120 です。構成は、ブロック タイプ 75 と 120 で同じです。
次の表は、ユーザ情報データ ブロックのコンポーネントについての説明です。
次の図は、ホスト プロファイル データ ブロックのバージョン 5.0 ~ 5.0.2 の形式を示しています。さらに、ホスト プロファイル データ ブロックには、ホスト重要度値が含まれていませんが、VLAN のプレゼンス インジケータは含まれています。さらに、ホスト プロファイル データ ブロックは、ホストの NetBIOS 名を伝えることができます。ホスト プロファイル データ ブロックのブロック タイプは 91 です。
コメント 次の図のブロック タイプ フィールドの横のアスタリスク(*)は、メッセージにシリーズ 1 データ ブロックのゼロ以上のインスタンスが含まれる可能性があることを示しています。
次の表は、バージョン 4.9 ~ 5.0.2 により返されるホスト プロファイル データ ブロックのフィールドについての説明です。
|
|
|
---|---|---|
ホスト プロファイル データ ブロック 4.9 ~ 5.0.2 を開始します。このデータ ブロックのブロック タイプは |
||
ホスト プロファイル データ ブロックのバイト数(ホスト プロファイル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト プロファイル データに含まれるバイト数を含む)。 |
||
サーバ フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
リスト ヘッダーやすべてのカプセル化オペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
サーバ フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2を参照してください。 |
||
クライアント フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に 31 です。 |
||
リスト ヘッダーやすべてのカプセル化オペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2を参照してください。 |
||
SMB フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
SMB フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2を参照してください。 |
||
DHCP フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
DHCP フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2を参照してください。 |
||
TCP サーバ データを伝えるサーバ データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバ データ ブロックを加えた値です。 |
||
サーバ データ ブロックのバイト数(サーバ ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く TCP サーバ データのバイト数を含む)。 |
||
UDP サーバ データを伝えるサーバ データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバ データ ブロックを加えた値です。 |
||
サーバ データ ブロックのバイト数(サーバ ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く UDP サーバ データのバイト数を含む)。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
プロトコル データ ブロックのバイト数(プロトコル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くプロトコル データのバイト数を含む)。 |
||
ネットワーク プロトコル数が含まれるデータ フィールド(プロトコル データ ブロックで説明)。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
プロトコル データ ブロックのバイト数(プロトコル ブロック タイプと長さ用の 8 バイト、およびそれに続くプロトコル データのバイト数を含む)。 |
||
トランスポート プロトコル数が含まれるデータ フィールド(プロトコル データ ブロックで説明)。 |
||
ホスト MAC アドレス データ ブロックのバイト数(ホスト MAC アドレス ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト MAC アドレス データのバイト数を含む)。 |
||
ホスト MAC アドレス データ フィールド(ホスト MAC アドレス 4.9+で説明)。 |
||
クライアント アプリケーション データを伝えるクライアント アプリケーション データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのクライアント アプリケーション データ ブロックを含む)。 |
||
クライアント アプリケーション ブロックのバイト数(クライアント アプリケーション ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くクライアント アプリケーション データのバイト数を含む)。 |
||
クライアント アプリケーションを記述するクライアント アプリケーション データ フィールド(5.0+ のホスト クライアント アプリケーション データ ブロックで説明)。 |
||
NetBIOS 名データ ブロックのバイト数を示します(文字列ブロック タイプと長さのフィールド用の 8 バイト、および NetBIOS 名のバイト数を含む)。 |
||
オペレーティング システム フィンガープリント データ ブロックのブロック タイプは 87 です。このブロックには、フィンガープリント Universally Unique Identifier(UUID)の他、フィンガープリント タイプ、フィンガープリント送信元タイプ、フィンガープリント送信元 ID を格納します。次の図は、オペレーティング システム フィンガープリント データ ブロックのバージョン 5.0 ~ 5.0.2 の形式を示しています。
次の表では、オペレーティング システムフィンガープリント データ ブロックのフィールドについて説明します。
接続統計データ ブロックは、接続データ メッセージで使用されます。接続統計データ ブロック バージョン 5.0 ~ 5.0.2 のブロック タイプは 115 です。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.0 ~ 5.0.2 の形式を示しています。
次の表は、接続統計データ ブロック 5.0 ~ 5.0.2 のフィールドについての説明です。
|
|
|
---|---|---|
接続統計データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く接続データのバイト数を含む)。 |
||