- ディスカバリ イベントと接続イベントのデータ メッセージ
- ディスカバリ イベントのメタデータ
- フィンガープリント レコード
- クライアント アプリケーション レコード
- 脆弱性レコード
- 重要度レコード
- ネットワーク プロトコル レコード
- 属性レコード
- スキャン タイプ レコード
- サービス レコード
- ソース タイプ レコード
- ソース アプリケーション レコード
- ソースディテクタ レコード
- サードパーティ スキャナの脆弱性レコード
- ユーザ レコード
- Web アプリケーション レコード
- 侵入ポリシー名レコード
- アクセス コントロール ルール アクション レコード メタデータ
- URL カテゴリ レコード メタデータ
- URL レピュテーション レコード メタデータ
- アクセス コントロール ルール理由メタデータ
- アクセス コントロール ポリシー メタデータ
- プレフィルタ ポリシー メタデータ
- トンネルまたはプレフィルタのルールのメタデータ
- セキュリティ インテリジェンス カテゴリ メタデータ
- セキュリティ インテリジェンス送信元/宛先レコード
- 5.3+ の IOC ステート データ ブロック
- 5.3+ の IOC 名データ ブロック
- ディスカバリ イベント ヘッダー 5.2+
- ディスカバリ イベントと接続イベントのタイプとサブタイプ
- イベント タイプ別ホスト ディスカバリ構造
- 新規ホスト メッセージと最後の確認日時ホスト メッセージ
- サーバ メッセージ
- 新規ネットワーク プロトコル メッセージ
- 新規トランスポート プロトコル メッセージ
- クライアント アプリケーション メッセージ
- IP アドレス変更メッセージ
- オペレーティング システム更新メッセージ
- IP アドレスを再利用とホスト タイムアウト/削除メッセージ
- ホップ変更メッセージ
- TCP と UDP のポート クローズ メッセージ/タイムアウト メッセージ
- MAC アドレス メッセージ
- ブリッジ/ルータとして識別したホスト メッセージ
- VLAN タグ情報更新メッセージ
- NetBIOS 名変更メッセージ
- 更新バナー メッセージ
- ポリシー制御の概要
- 接続統計データ メッセージ
- 接続チャンク メッセージ
- バージョン4.6.1+ のユーザ設定脆弱性メッセージ
- ユーザ追加/削除ホスト メッセージ
- ユーザ削除サーバ メッセージ
- ユーザ設定ホスト重要度メッセージ
- 属性メッセージ
- 属性値メッセージ
- ユーザ サーバ メッセージとオペレーティング システム メッセージ
- ユーザ プロトコル メッセージ
- ユーザ クライアント アプリケーション メッセージ
- スキャン結果を追加メッセージ
- 新規オペレーティング システム メッセージ
- アイデンティティ競合とアイデンティティ タイムアウト システム メッセージ
- ホスト IOC セット メッセージ
- イベント タイプ別のユーザ データ構造
- 文字列データ ブロック
- BLOB データ ブロック
- リスト データ ブロック
- 汎用リスト ブロック
- サブサーバ データ ブロック
- プロトコル データ ブロック
- 整数型(INT32)データ ブロック
- VLAN データ ブロック
- サーバ バナー データ ブロック
- 文字列情報データ ブロック
- 属性アドレス データ ブロック 5.2+
- ユーザ IOC の変更データ ブロック 5.3+
- 属性リスト項目データ ブロック
- 属性値データ ブロック
- フル サブサーバ データ ブロック
- オペレーティング システム データ ブロック 3.5+
- ポリシー エンジン制御メッセージ データ ブロック
- 4.7+ の定義属性データ ブロック
- ユーザ プロトコル データ ブロック
- 5.1.1+ のユーザ クライアント アプリケーション データ ブロック
- ユーザ クライアント アプリケーション リスト データ ブロック
- 5.2+ の IP アドレス範囲データ ブロック
- 属性指定データ ブロック
- ホスト IP アドレス データ ブロック
- MAC アドレス指定データ ブロック
- アドレス指定データ ブロック
- 6.1+ の接続チャンク データ ブロック
- フィックス リスト データ ブロック
- ユーザ サーバ データ ブロック
- ユーザ サーバ リスト データ ブロック
- ユーザ ホスト データ ブロック 4.7+
- ユーザ脆弱性変更データ ブロック 4.7+
- ユーザ重要度変更データ ブロック 4.7+
- ユーザ属性値データ ブロック 4.7+
- ユーザ プロトコル リスト データ ブロック 4.7+
- ホスト脆弱性データ ブロック 4.9.0+
- アイデンティティ データ ブロック
- ホスト MAC アドレス 4.9+
- セカンダリ ホストの更新
- 5.0+ の Web アプリケーション データ ブロック
- 接続統計データ ブロック 6.2+
- スキャン結果データ ブロック 5.2+
- ホスト サーバ データ ブロック 4.10.0+
- フル ホスト サーバ データ ブロック 4.10.0+
- 4.10.x、5.0 ~ 5.0.2 のサーバ情報データ ブロック
- フル サーバ情報データ ブロック
- 4.10.0+ の汎用スキャン結果データ ブロック
- 4.10.0+のスキャン脆弱性データ ブロック
- フル クライアント アプリケーション データ ブロック 5.0+
- 5.0+ のホスト クライアント アプリケーション データ ブロック
- ユーザ脆弱性データ ブロック 5.0+
- オペレーティング システム フィンガープリント データ ブロック 5.1+
- 5.1+ のモバイル Device 情報データ ブロック
- ホスト プロファイル データブロック 5.2+
- ユーザ製品データ ブロック 5.1+
検出と接続データ構造の概要
この章では、ディスカバリ イベントと接続イベントの eStreamer メッセージに使用するデータ構造と、これらイベントのメタデータについて詳しく述べます。ディスカバリ イベント メッセージと接続イベント メッセージの違いはデータ ブロック自体の内容であり、使用する一般的なメッセージ形式とデータ ブロック シリーズは同じです。
ディスカバリ イベントには、次の 2 つのイベント サブカテゴリがあります。
- ホスト ディスカバリ イベント。これは、パケットのコンテンツから検出した、ホストで実行しているアプリケーションなど、管理対象ネットワーク上の新規ホストと変更ホストと、ホスト脆弱性を識別します。
- ログインなど、新規ユーザとユーザ アクティビティの検出を報告するユーザ イベント。
接続イベントは、監視対象のホストと他のすべてのホスト間のセッション トラフィックに関する情報を報告します。接続情報には、トランザクションの最初と最後のパケット、送信元と宛先の IP アドレス、送信元と宛先のポート、送受信したパケットとバイトの数があります。可能であれば、接続イベントでは、そのセッションに関係するクライアント アプリケーションと URL を報告します。
eStreamer サーバからのディスカバリ イベントまたは接続イベントの要求については、要求フラグを参照してください。
eStreamer イベント データ構造メッセージの一般的構造については、イベント データ メッセージの構成についてを参照してください。
ディスカバリ イベントと接続イベント データ構造の詳細については、この章の以下のセクションを参照してください。
- ディスカバリ イベントと接続イベントのデータ メッセージでは、eStreamer がホスト ディスカバリ メッセージ、ユーザ メッセージ、接続メッセージに使用する構造の概要を紹介します。
- ディスカバリ イベントと接続イベントのレコード タイプでは、ディスカバリ イベントと接続イベント レコード タイプについて説明します。
- ディスカバリ イベントのメタデータでは、たとえば、イベント内のユーザ ID をユーザ名に変換するなど、数字データとコード化データをテキストに変換するためのコンテキスト情報を要求できるメタデータ レコードについて説明します。
- ディスカバリ イベント ヘッダー 5.2+では、すべてのディスカバリ メッセージと接続メッセージで使用する標準イベント ヘッダーの構造と、イベント タイプ フィールドとイベント サブタイプ フィールドで発生する値について説明します。さらに、イベント タイプ フィールドとサブタイプ フィールドは、メッセージで伝えるデータ レコードの構造を定義します。
- イベント タイプ別ホスト ディスカバリ構造では、eStreamer が各種ホスト ディスカバリ イベント タイプに使用するデータ レコードの構造について説明します。
- イベント タイプ別のユーザ データ構造では、eStreamer が各種ユーザ イベント タイプに使用するデータ レコードの構造について説明します。
- ディスカバリ(シリーズ 1)ブロックでは、ディスカバリ イベント メッセージと接続イベント メッセージで複雑なレコードを伝えるために使用する一連のデータ ブロック構造について説明します。シリーズ 1 のデータ ブロックは、相関イベントでも使用します。
- ユーザ脆弱性データ ブロック 5.0+では、複雑なユーザ イベント レコードを伝えるために使用するその他の シリーズ 1 ブロック構造について説明します。
ヒント
サンプル ディスカバリ イベントを扱った例については、“データ構造の例” sectionを参照してください。
ディスカバリ イベントと接続イベントのデータ メッセージ
eStreamer は、ディスカバリ イベントと接続イベント データを同じメッセージ構造でパッケージングします。このパッケージには、以下の要素を格納します。
- オプションの netmap ID
- レコード タイプを定義するレコード ヘッダー
- イベントを識別し、その特性を表すディスカバリ イベント ヘッダー。具体的にはイベント タイプとサブタイプを識別します。詳細については、ディスカバリ イベント ヘッダー 5.2+を参照してください。
- ブロック ヘッダーとデータ ブロックからなるデータ レコード。ディスカバリ イベントと接続イベントのデータ メッセージは、シリーズ 1 のデータ ブロックを使用します。詳細については、ホスト ディスカバリ データ ブロックと接続データ ブロックまたはユーザ脆弱性データ ブロック 5.0+を参照してください。
ディスカバリ イベントと接続イベントのレコード タイプ
次の表は、ホスト ディスカバリ イベントと接続イベントのイベント レコード タイプと、レコード タイプ別のイベント メッセージ構造までのリンクです。このリストにはメタデータ レコード タイプもあります。レコードによっては、データの特定部分を保存するデータ ブロック 1 つだけのものがあります。これらのデータ ブロックは、ほとんどのデータ タイプを含むシリーズ 1 ブロックと、ディスカバリ データだけを含むシリーズ 2 ブロックに分かれます。次の表は、各バージョンのステータスです(現在またはレガシー)。現在のレコードは最新バージョンです。レガシー レコードは、以降のバージョンによって取って代わられていますが、eStreamer から要求することができます。
|
|
|
|
|
|
|
|---|---|---|---|---|---|
ディスカバリ イベントのメタデータ
メタデータ バージョン番号でメタデータを要求します。Firepower システム のバージョンに対応するメタデータ バージョンについては、メタデータについてを参照してください。eStreamer によるメタデータ レコードのストリーミング方法の重要な情報については、メタデータの伝送を参照してください。
ホスト ディスカバリ レコードとユーザ イベント レコードの各種メタデータ レコード タイプの構造については、以下のページを参照してください:
- フィンガープリント レコード
- クライアント アプリケーション レコード
- 脆弱性レコード
- 重要度レコード
- ネットワーク プロトコル レコード
- 属性レコード
- スキャン タイプ レコード
- サービス レコード
- ソース タイプ レコード
- ソース アプリケーション レコード
- ソースディテクタ レコード
- サードパーティ スキャナの脆弱性レコード
- ユーザ レコード
- Web アプリケーション レコード
- 侵入ポリシー名レコード
- アクセス コントロール ルール アクション レコード メタデータ
- URL カテゴリ レコード メタデータ
- URL レピュテーション レコード メタデータ
- アクセス コントロール ルール理由メタデータ
- セキュリティ インテリジェンス カテゴリ メタデータ
- セキュリティ インテリジェンス送信元/宛先レコード
侵入イベントと相関イベントのメタデータ レコードについては、侵入イベントとメタデータのレコード タイプを参照してください。
フィンガープリント レコード
eStreamer サービスは、次の形式のフィンガープリント レコードで、イベントのフィンガープリント メタデータを送信します。(フィンガープリント メタデータは、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、フィンガープリント レコードを示す 54 です。
次の表では、フィンガープリント レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
オペレーティング システムの一意の ID として機能するフィンガープリント ID 番号。このフィールドは、このレコードの固有キーです。 |
||
クライアント アプリケーション レコード
eStreamer サービスは、次の形式のクライアント アプリケーション レコードで、イベントのクライアント アプリケーション メタデータを送信します。(クライアント アプリケーション メタデータは、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、クライアント アプリケーション レコードを示す 55 です。
次の表では、クライアント アプリケーション レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
脆弱性レコード
eStreamer サービスは、次の形式の脆弱性レコードで、イベントの脆弱性情報を格納したメタデータを送信します。(脆弱性情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、脆弱性レコードを示す 57 です。
|
|
|
|
|---|---|---|
侵入データ、ホスト ディスカバリ イベント、脆弱性アセスメント間の相関に基づいて決定した影響レベルに対応した、脆弱性の影響。ここに設定可能な値の範囲は |
||
重要度レコード
eStreamer サービスは、次の形式の重要度レコードで、イベントのホスト重要度情報を格納したメタデータを送信します。(重要度情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、重要度レコードを示す 58 です。
|
|
|
|
|---|---|---|
ネットワーク プロトコル レコード
eStreamer サービスは、次の形式のネットワーク プロトコル レコードで、イベントのネットワーク プロトコル情報を格納したメタデータを送信します。(ネットワーク プロトコル情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、ネットワーク プロトコル レコードを示す値 59 です。
次の表では、ネットワーク プロトコル レコードのフィールドについて解説します。
|
|
|
|
|---|---|---|
属性レコード
eStreamer サービスは、次の形式の属性レコードで、イベントの属性情報を格納したメタデータを送信します。(属性情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、属性レコードを示す 60 です。
|
|
|
|
|---|---|---|
スキャン タイプ レコード
eStreamer サービスは、次の形式のスキャン タイプ レコードで、イベントのスキャン タイプ情報を格納したメタデータを送信します。(スキャン タイプ情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、スキャン タイプ レコードを示す 61 です。
次の表では、スキャン タイプ レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
サービス レコード
eStreamer サービスは、次の形式のサービス レコードで、イベントのサービス情報を格納したメタデータを送信します。サービスのアプリケーション プロトコルのアプリケーション ID は、メタデータまでのクロスリファレンスを提供します。(サービス情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、サービス レコードを示す 63 です。
次の表では、サービス レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
ソース タイプ レコード
eStreamer サービスは、次の形式の送信元タイプ レコードで、イベントの送信元アプリケーションに関する情報を格納したメタデータを送信します。(送信元タイプ情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、送信元タイプ レコードを示す 90 です。
次の表では、ソース タイプ レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
ソース アプリケーション レコード
eStreamer サービスは、次の形式の送信元アプリケーション レコードで、ホスト ディスカバリ イベントの送信元アプリケーションに関する情報を格納したメタデータを送信します。(送信元アプリケーション情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、送信元アプリケーション レコードを示す 91 です。
次の表では、ソース アプリケーション レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
ソースディテクタ レコード
eStreamer サービスは、次の形式の送信元タイプ レコードで、ホスト ディスカバリ イベントの送信元アプリケーションに関する情報を格納したメタデータを送信します。(送信元タイプ情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、送信元ディテクタ レコードを示す 96 です。
次の表では、送信元ディテクタ レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
サードパーティ スキャナの脆弱性レコード
eStreamer サービスは、サードパーティ スキャナ脆弱性レコード内のイベントのサードパーティ脆弱性情報を格納したメタデータを以下の形式で送信します。(脆弱性情報は、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、サードパーティ スキャナ脆弱性レコードを示す 106 です。
|
|
|
|
|---|---|---|
ユーザ レコード
eStreamer サービスは、次の形式のユーザ レコードで、システムが検出したユーザに関する情報を格納したメタデータを送信します。(バージョン 4 メタデータとポリシー イベント要求フラグ(それぞれ要求メッセージの要求フラグ フィールドのビット 20 と 22)を設定すると、ユーザ情報が送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、ユーザ レコードを示す 98 です。
|
|
|
|
|---|---|---|
データ ブロックの長さ。データのバイト数に 2 つのデータ ブロック ヘッダー フィールドの 8 バイトを加えたバイト数です。 |
||
ブロック タイプ フィールドとヘッダー フィールドの 8 バイトにユーザ名フィールドのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
Web アプリケーション レコード
システムは、Web サイトから送信される HTTP トラフィックの内容を検出します(該当する場合)。ホスト ディスカバリ イベント用の Web アプリケーション メタデータには、特定のタイプのコンテンツを格納できます。(WMV や QuickTime など)。
eStreamer サービスは、次の形式の Web アプリケーション レコードで、イベントの Web アプリケーション メタデータを送信します。(Web アプリケーション メタデータは、以下のメタデータ フラグの 1 つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、Web アプリケーション レコードを示す 109 です。
次の表では、Web アプリケーション レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
侵入ポリシー名レコード
eStreamer サービスは、次の形式の侵入ポリシー名レコードで、接続イベントの侵入ポリシー名情報を格納したメタデータを送信します。(侵入ポリシー名情報は、メタデータ フラグ(要求メッセージの要求フラグ フィールドのバージョン 4 メタデータ ビット 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長さフィールドの後のレコード タイプ フィールドの値は、侵入ポリシー名レコードを示す 118 です。シリーズ 2 セットのデータ ブロックのブロック タイプ 14 の UUID 文字列データ ブロックが含まれています。
次の表では、侵入ポリシー名データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
データ ブロックの長さ。データのバイト数に 2 つのデータ ブロック ヘッダー フィールドの 8 バイトを加えたバイト数です。 |
||
ブロック タイプ フィールドとヘッダー フィールドの 8 バイトに侵入ポリシー名のバイト数を加えた侵入名文字列データ ブロックのバイト数。 |
||
アクセス コントロール ルール アクション レコード メタデータ
eStreamer サービスは、次の形式のアクセス コントロール ルール アクション レコードで、トリガーのかかったアクセス コントロール ルールに関連付けられたアクションを格納したメタデータを送信します。(アクセス コントロール ルール アクション情報は、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、アクセス コントロール ルール アクション レコードを示す 120 です。
次の表では、アクセス コントロール ルール アクション レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
URL カテゴリ レコード メタデータ
eStreamer サービスは、次の形式の URL カテゴリ レコードで、接続ログの URL に関連付けられたカテゴリ名を格納したメタデータを送信します。(URL カテゴリ情報は、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、URL カテゴリ レコードを示す 121 です。
次の表では、URL カテゴリ レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
URL レピュテーション レコード メタデータ
eStreamer サービスは、次の形式の URL レピュテーション レコードで、URL に関連付けられたレピュテーション(リスク レベル) を格納したメタデータを送信します。(URL レピュテーション情報は、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長さフィールドの後の URL レピュテーション メタデータ レコード フィールドの値は、URL レピュテーション メタデータ レコードを示す 122 です。
次の表では、URL レピュテーション レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
アクセス コントロール ルール理由メタデータ
eStreamer サービスは、次の形式のアクセス コントロール ルール理由レコードで、アクセス コントロール ルールで侵入イベントまたは接続イベントにトリガーがかかった理由に関する情報を格納したメタデータを送信します。アクセス コントロール ルール理由メタデータは、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、アクセス コントロール ルール理由レコードを示す 124 です。このメタデータには、アクセス コントロール ルール理由ブロックを格納します(アクセス コントロール ルール理由データ ブロック 5.1+を参照)。アクセス コントロール ルール理由データ ブロックのブロック タイプは、シリーズ 2 のブロック タイプ 21 です。
次の表では、アクセス コントロール ルール ID データ ブロックのフィールドについて説明します。
アクセス コントロール ポリシー メタデータ
eStreamer サービスは、次の形式のアクセス コントロール ポリシー メタデータ レコードで、侵入イベントまたは接続イベントにトリガーをかけたアクセス コントロール ポリシーに関する情報を格納したメタデータを送信します。アクセス コントロール ルール ポリシー メタデータは、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、アクセス コントロール ポリシー メタデータ レコードを示す 145 です。このメタデータには、アクセス コントロール ポリシー メタデータ ブロックを格納します(アクセス コントロール ポリシー メタデータ ブロック 6.0+を参照)。アクセス コントロール ポリシー メタデータ ブロックのブロック タイプは、シリーズ 2 のブロック タイプ 64 です。
次の表では、アクセス コントロール ポリシー データ ブロックのフィールドについて説明します。
プレフィルタ ポリシー メタデータ
eStreamer サービスは、次の形式のプレフィルタ ポリシーレコードで、侵入イベントまたは接続イベントにトリガーをかけたプレフィルタ ポリシーに関する情報を格納したメタデータを送信します。プレフィルタ ポリシー メタデータは、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、プレフィルタポリシー メタデータ レコードであることを示す 146 です。このメタデータには、アクセス コントロール ポリシー メタデータ ブロックを格納します(アクセス コントロール ポリシー メタデータ ブロック 6.0+を参照)。アクセス コントロール ポリシー メタデータ ブロックのブロック タイプは、シリーズ 2 のブロック タイプ 64 です。
次の表では、プレフィルタ ポリシー メタデータ ブロックのフィールドについて説明します。
トンネルまたはプレフィルタのルールのメタデータ
eStreamer サービスは、次の形式のアクセス コントロール ルール理由レコードで、トンネル ルールまたはプレフィルタ ルールで侵入イベントまたは接続イベントにトリガーがかかった理由に関する情報を格納したメタデータを送信します。トンネル ルールまたはプレフィルタ ルールの理由メタデータは、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、プレフィルタ ルール理由レコードであることを示す 147 です。
内容が同じなので、アクセス コントロール ルール理由ブロックを格納します(アクセス コントロール ルール データ ブロックを参照)。アクセス コントロール ルール理由データ ブロックのブロック タイプは、シリーズ 2 のブロック タイプ 15 です。
次の表では、トンネルまたはプレフィルタ ルール理由メタデータ ブロックのフィールドについて説明します。
セキュリティ インテリジェンス カテゴリ メタデータ
eStreamer サービスは、次の形式のセキュリティ インテリジェンス カテゴリ レコードで、セキュリティ インテリジェンス カテゴリに関する情報を格納したメタデータを送信します。セキュリティ インテリジェンス カテゴリ メタデータは、バージョン 4 メタデータ フラグ(要求メッセージの要求フラグ フィールドのビット 20)が設定されると送信されます。要求フラグを参照してください。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、セキュリティ インテリジェンス カテゴリ レコードを示す 280 です。これには、セキュリティ インテリジェンス カテゴリ データ ブロックを格納します(セキュリティ インテリジェンス カテゴリ データ ブロック 5.1+を参照)。セキュリティ インテリジェンス データ ブロックのブロック タイプは、シリーズ 2 のブロック タイプ 22 です。
次の表では、セキュリティ インテリジェンス カテゴリ レコードのフィールドについて説明します。
セキュリティ インテリジェンス送信元/宛先レコード
eStreamer サービスは、次の形式のセキュリティ インテリジェンス送信元/宛先レコードで、セキュリティ インテリジェンスで検出した IP アドレスが、送信元 IP アドレスと宛先 IP アドレスのいずれであるかを示すメタデータを送信します。(送信元/宛先 IP 情報は、以下のメタデータ フラグの 1つ(要求メッセージの要求フラグ フィールドのビット 1、14、15、または 20)が設定されると送信されます。要求フラグを参照してください)。ちなみに、メッセージ長フィールドの後のレコード タイプ フィールドの値は、セキュリティ インテリジェンス送信元/宛先レコードを示す 281 です。
次の表では、セキュリティ インテリジェンス送信元/宛先レコードのフィールドについて説明します。
|
|
|
|
|---|---|---|
5.3+ の IOC ステート データ ブロック
IOC ステート データ ブロックは、Indication of Compromise(IOC) に関する情報を提供します。これは シリーズ 1 のブロック タイプ 150 です。このブロックに、ホスト トラッカはホスト上の侵害に関する情報を保存します。次の図は IOC ステート データ ブロックの構造です。
次の表では、IOC ステート データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
IOC ステート データ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータ バイト数を加えた IOC ステート データ ブロックの合計バイト数。 |
||
5.3+ の IOC 名データ ブロック
これは Indication of Compromise(IOC)のカテゴリとイベント タイプを提供するデータ ブロックです。レコード タイプは 161 で、シリーズ 2 のブロック タイプ 39 です。これは IOC 情報があるすべてのイベントでメタデータとして適用されます。該当するイベントには、マルウェア イベント、ファイル イベント、侵入イベントがあります。
次の表では、IOC データ名データ ブロックのフィールドについて説明します。
ディスカバリ イベント ヘッダー 5.2+
ディスカバリ イベントおよび接続イベントのメッセージには、ディスカバリ イベント ヘッダーが含まれます。これは、イベントのタイプおよびサブタイプ、イベントが発生した時刻、イベントが発生したデバイス、およびメッセージ内のイベント データの構造を伝えます。このヘッダーには、実際のホスト ディスカバリ、ユーザ、または接続イベントのデータが続きます。さまざまなイベントのタイプ/サブタイプ値に関連付けられる構造の詳細については、イベント タイプ別ホスト ディスカバリ構造で説明します。このヘッダーは IPv6 をサポートしており、ディスカバリ イベント ヘッダー 5.0 ~ 5.1.1.xはサポートを停止しました。
ディスカバリ イベント ヘッダーのイベント タイプ フィールドおよびイベント サブタイプ フィールドは、送信されたイベント メッセージの構造を示します。イベント データ ブロックの構造が一度判別されたら、プログラムはメッセージを適切に解析できます。
次の図の網掛けされた行は、ディスカバリ イベント ヘッダーの形式を例示しています。
次の表は、ディスカバリ イベント ヘッダーについての説明です。
|
|
|
|
|---|---|---|
ディスカバリ イベントを生成したデバイスの ID 番号。バージョン 3 および 4 のメタデータを要求すると、デバイスのメタデータを入手できます。詳細については、管理対象 Device レコードのメタデータを参照してください。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
イベント タイプ(新規イベントは |
||
イベント サブタイプ。使用可能なイベント サブタイプの一覧の詳細については、イベント タイプ別ホスト ディスカバリ構造を参照してください。 |
||
ディスカバリ イベントと接続イベントのタイプとサブタイプ
イベント タイプとイベント サブタイプ フィールド値でホストのディスカバリ メッセージまたはユーザ データ内のイベントを特定し、分類します。メッセージのデータ構造も識別します。
次の表は、ディスカバリ イベントと接続イベントのイベント タイプとイベント サブタイプです。
|
|
|
|
|---|---|---|
ヒント 各イベント タイプ/サブタイプに使用するデータ構造については、イベント タイプ別ホスト ディスカバリ構造を参照してください。
イベント タイプ別ホスト ディスカバリ構造
eStreamer は、ディスカバリ イベント ヘッダーで指定されたイベント タイプに基づいてホスト ディスカバリ イベント メッセージを構築します。次の項では、各イベント タイプの概略構造を紹介します。
- 新規ホスト メッセージと最後の確認日時ホスト メッセージ
- サーバ メッセージ
- 新規ネットワーク プロトコル メッセージ
- 新規トランスポート プロトコル メッセージ
- クライアント アプリケーション メッセージ
- IP アドレス変更メッセージ
- オペレーティング システム更新メッセージ
- IP アドレスを再利用とホスト タイムアウト/削除メッセージ
- ホップ変更メッセージ
- ホップ変更メッセージ
- TCP と UDP のポート クローズ メッセージ/タイムアウト メッセージ
- MAC アドレス メッセージ
- ブリッジ/ルータとして識別したホスト メッセージ
- VLAN タグ情報更新メッセージ
- NetBIOS 名変更メッセージ
- 更新バナー メッセージ
- ポリシー制御の概要
- 接続統計データ メッセージ
- 接続チャンク メッセージ
- バージョン4.6.1+ のユーザ設定脆弱性メッセージ
- ユーザ追加/削除ホスト メッセージ
- ユーザ削除サーバ メッセージ
- ユーザ設定ホスト重要度メッセージ
- 属性メッセージ
- 属性値メッセージ
- ユーザ サーバ メッセージとオペレーティング システム メッセージ
- ユーザ プロトコル メッセージ
- ユーザ クライアント アプリケーション メッセージ
- スキャン結果を追加メッセージ
- 新規オペレーティング システム メッセージ
- アイデンティティ競合とアイデンティティ タイムアウト システム メッセージ
- ホスト IOC セット メッセージ
新規ホスト メッセージと最後の確認日時ホスト メッセージ
新規ホスト イベント メッセージと最後の確認日時ホスト イベント メッセージには、標準ディスカバリ イベント ヘッダーとホスト プロファイル データ ブロックがあります(ホスト プロファイル データブロック 5.2+を参照)。ホスト プロファイル データ ブロックのブロック タイプは、シリーズ 1 のブロック タイプ 139 です。
なお、最後の確認日時ホスト メッセージにある情報は、ホスト上のディスカバリ検出ポリシーで設定した更新間隔内で変更されたサーバのサーバ情報のみです。つまり、最後の確認日時ホスト メッセージに含まれるのは、システムが前回情報を報告した後に変更されたサーバ ホストのみです。
コメント ホスト プロファイル データ ブロックは、どのシステム バージョンでメッセージを作成したかによって異なります。ホスト プロファイル データ ブロックのレガシー バージョンについては、レガシー ホスト データ構造を参照してください。
サーバ メッセージ
次の TCP サーバ イベント メッセージと UDP サーバ イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+参照)があり、サーバ データ ブロック(ホスト サーバ データ ブロック 4.10.0+参照、シリーズ 1 のブロック タイプ 103)がそれに続きます。
コメント サーバ データ ブロックは、どのシステム バージョンでメッセージを作成したかによって異なります。サーバ データ ブロックのレガシー バージョンについては、レガシー データ構造の概要を参照してください。
新規ネットワーク プロトコル メッセージ
新しいネットワーキング プロトコル イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ネットワーク プロトコルの 2 バイトフィールド(次の表のプロトコル値を使用)が続きます。
新規トランスポート プロトコル メッセージ
新規トランスポート プロトコルのイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照。シリーズ 1 のブロック タイプ 4)と、トランスポート プロトコル番号の 1 バイト フィールド(次の表の値を使用)があります。
クライアント アプリケーション メッセージ
新規クライアント アプリケーション、クライアント アプリケーション アップデート、クライアント アプリケーション タイムアウト イベントは同じ形式であり、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)と、続けてクライアント アプリケーション データ ブロック(5.0+ のホスト クライアント アプリケーション データ ブロックを参照。シリーズ 1 のブロック タイプ 122)があります。ディスカバリ イベント ヘッダーにあるレコード タイプ、イベント タイプ、イベント サブタイプは、送信されるイベントによって異なります。
コメント クライアント アプリケーション データ ブロックは、メッセージを作成したシステム バージョンによって異なります。クライアント アプリケーション データ ブロックのレガシー バージョンについては、レガシー データ構造の概要を参照してください。
IP アドレス変更メッセージ
次のホスト ディスカバリ メッセージには、標準イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)と、2 種類の形式/構造(IP アドレスの 4 バイトと IP アドレスの 16バイト)があります。
次の場合は、IP アドレスに(IP アドレス オクテット)4 バイトを使用します。
次の場合は、IP アドレスに(IP アドレス オクテット)16 バイトを使用します。
オペレーティング システム更新メッセージ
OS 情報更新イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、オペレーティング システム データ ブロック(オペレーティング システム データ ブロック 3.5+を参照。シリーズ 1 のブロック タイプ 53)がそれに続きます。
IP アドレスを再利用とホスト タイムアウト/削除メッセージ
次のホスト イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があります。他にデータはありません。
ホップ変更メッセージ
ホップ変更イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があります。ホップ カウントの 1 バイト フィールドがそれに続きます。
TCP と UDP のポート クローズ メッセージ/タイムアウト メッセージ
TCP ポートと UDP のポート クローズ メッセージ/タイムアウト メッセージは、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ポート番号の 2 バイトがそれに続きます。
MAC アドレス メッセージ
ホストの MAC 情報変更と追加 MAC 検出メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)、TTL 値の 1 バイト、MAC アドレスの 6 バイト、ARP/DHCP トラフィックで実際の MAC アドレスとして MAC アドレスを検出したかどうかを示す 1バイトがあります。
コメント バージョン 4.9.x を実行するシステムから MAC アドレス メッセージを受信したら、MAC アドレスのデータ ブロックの長さを確認し、それに応じて復号してください。データ ブロックの長さが 8 バイト(16 バイトとヘッダー)の場合、MAC アドレス メッセージを参照してください。データ ブロックの長さが 12 バイト(20 バイトとヘッダー)の場合、ホスト MAC アドレス 4.9+を参照してください。
なお、MAC アドレス データ ブロック ヘッダーは、MAC 情報変更メッセージとホストに追加 MAC 検出メッセージ内では使用 しません 。
ブリッジ/ルータとして識別したホスト メッセージ
ブリッジ/ルータのイベントとして識別したホスト メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ホスト タイプと一致する値の 4 バイトフィールドが続きます。
VLAN タグ情報更新メッセージ
VLAN タグ情報更新イベントには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、VLAN データ ブロックが続きます(VLAN データ ブロックを参照)。VLAN データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 14 です。
NetBIOS 名変更メッセージ
NetBIOS 名を変更イベント メッセージには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、文字列データ ブロックがそれに続きます(文字列情報データ ブロックを参照)。文字列情報データ ブロックのブロック タイプは、シリーズ 1 のブロック タイプ 35 です。
コメント NetBIOS ドメインを変更イベントを、Firepower システム は現在生成しません。
更新バナー メッセージ
更新バナー イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、サーバ バナーのデータ ブロックがそれに続きます(サーバ バナー データ ブロックを参照)。サーバ バナーのデータ ブロックのブロック タイプは、シリーズ 1 のブロック タイプ 37 です。
ポリシー制御の概要
ポリシー制御ポリシー イベントには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、ポリシー制御メッセージ データ ブロックがそれに続きます。ポリシー制御メッセージ データ ブロックの形式はシステム バージョンによって異なります。現行バージョンのポリシー制御メッセージ データ ブロック形式については、ポリシー エンジン制御メッセージ データ ブロックを参照してください。
接続統計データ メッセージ
接続統計イベントには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、接続統計データ ブロックがそれに続きます。接続統計データ ブロックの各バージョンのドキュメントには、それを使用するシステム バージョンを格納します。バージョンの 6.1+ の接続統計データ ブロックの形式については、接続統計データ ブロック 6.2+を参照してください。
コメント 接続統計データ ブロックは、どのシステム バージョンでメッセージを作成したかによって異なります。レガシー バージョンについては、接続統計データ ブロックを参照してくださいレガシー データ構造の概要。
接続チャンク メッセージ
接続チャンク イベントには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、接続チャンク データ ブロックがそれに続きます。形式は、システム バージョンによって異なります。現行バージョンの接続チャンク データ ブロックの形式については、6.1+ の接続チャンク データ ブロックを参照してください。接続チャンク データ ブロックのブロック タイプは、シリーズ 1 のブロック タイプ 136 です。
バージョン4.6.1+ のユーザ設定脆弱性メッセージ
ユーザ設定の有効な脆弱性、ユーザ設定の無効な脆弱性、ユーザ脆弱性資格メッセージは、同じデータ形式を使用します。すなわち、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)にユーザ脆弱性変更データ ブロックが続きます(ユーザ脆弱性変更データ ブロック 4.7+を参照。シリーズ 1 のブロック タイプ 80)。これらはレコード タイプ、イベント タイプ、イベント サブタイプで区別します。
ユーザ追加/削除ホスト メッセージ
次のホスト入力イベント メッセージには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、ユーザ ホスト データ ブロックがそれに続きます(ユーザ ホスト データ ブロック 4.7+を参照。シリーズ 1 のブロック タイプ 78)。
ユーザ削除サーバ メッセージ
ユーザ削除サーバ メッセージには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、ユーザ サーバ リスト データ ブロックがそれに続きます(ユーザ サーバ リスト データ ブロックを参照)。ユーザ サーバ リスト データ ブロックはシリーズ 1 のブロック タイプ 77 です。
ユーザ設定ホスト重要度メッセージ
ユーザ設定ホスト重要度メッセージには、標準ディスカバリ イベント ヘッダーがあり(ディスカバリ イベント ヘッダー 5.2+を参照)、ユーザ重要度変更データ ブロックがそれに続きます(ユーザ重要度変更データ ブロック 4.7+を参照)。ユーザ重要度変更データ ブロックのブロック タイプは、シリーズ 1 ブロック タイプ 81 です。
属性メッセージ
次のイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、属性定義データ ブロック(4.7+ の定義属性データ ブロックを参照。シリーズ 1 ブロック タイプ 55)がそれに続きます。
属性値メッセージ
次のイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ユーザ属性値データ ブロック(ユーザ属性値データ ブロック 4.7+を参照。シリーズ 1 ブロック タイプ 82)がそれに続きます。
ユーザ サーバ メッセージとオペレーティング システム メッセージ
次のイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ユーザ製品データ ブロック(ユーザ製品データ ブロック 5.1+を参照。シリーズ 1 ブロック タイプ 60)がそれに続きます。
ユーザ プロトコル メッセージ
次のイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ユーザ プロトコル リスト データ ブロック(ユーザ プロトコル リスト データ ブロック 4.7+を参照。シリーズ 1 ブロック タイプ 83)がそれに続きます。
ユーザ クライアント アプリケーション メッセージ
次のイベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ユーザ クライアント アプリケーション リスト データ ブロック(ユーザ クライアント アプリケーション リスト データ ブロックを参照。シリーズ 1 ブロック タイプ 60)がそれに続きます。
スキャン結果を追加メッセージ
スキャン結果を追加イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、スキャン結果データ ブロックがそれに続きます(スキャン結果データ ブロック 5.2+を参照)。スキャン結果データ ブロックのブロック タイプは、シリーズ 1 ブロック タイプ 142 です。
新規オペレーティング システム メッセージ
新規 OS イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、オペレーティング システム フィンガープリント データ ブロックがそれに続きます(オペレーティング システム フィンガープリント データ ブロック 5.1+を参照)。
アイデンティティ競合とアイデンティティ タイムアウト システム メッセージ
アイデンティティ競合イベント メッセージとアイデンティティ タイムアウト イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、アイデンティティ データ ブロックがそれに続きます(アイデンティティ データ ブロックを参照)。アイデンティティ データ ブロックのブロック タイプは、シリーズ 1 ブロック タイプ 94 です。これらのメッセージは、フィンガープリント送信元アイデンティティで競合またはタイムアウトが発生すると生成されます。
ホスト IOC セット メッセージ
ホスト IOC セット メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、整数型データ ブロックがそれに続きます(整数型(INT32)データ ブロックを参照)。この整数型データ ブロックには、ホストの IOC セットの ID 番号を格納します。
イベント タイプ別のユーザ データ構造
eStreamer は、ディスカバリ イベント ヘッダーで指定されたイベント タイプに基づいてユーザ イベント メッセージを構築します。次の項では、各イベント タイプの概略構造を紹介します。
ユーザ変更メッセージ
次のイベントのどれかがシステム検出で発生すると、ユーザ変更メッセージが送信されます:
- 新規ユーザを検出しました(新規ユーザ アイデンティティ イベント — イベント タイプ 1004、サブタイプ 1)
- ユーザが削除されます(ユーザ アイデンティティを削除イベント — イベント タイプ 1004、サブタイプ3)
- ユーザがドロップされます(ユーザ アイデンティティをドロップ。ユーザ上限に到達イベント — イベント タイプ 1004、サブタイプ 4)
ユーザ変更イベント メッセージには、標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)があり、ユーザ情報データ ブロックがそれに続きます(6.0+ の情報データ ユーザ ブロックを参照)。ユーザ情報データ ブロックはシリーズ 1 ブロック タイプ 120 です。
ユーザ情報更新メッセージ ブロック
システムがユーザのログインの変更(ユーザ ログイン イベント — イベント タイプ 1004、サブタイプ2)を検出すると、ユーザ情報更新メッセージが送信されます。このブロックは、ユーザがログインに失敗したとき(失敗したユーザのログイン イベント:イベント タイプ 1004、サブタイプ 5)、VPN ユーザがログインするとき(VPN ユーザのログイン イベント:イベント タイプ 1004、サブタイプ 8)、または VPN ユーザがログオフするとき(VPN ユーザのログオフ イベント:イベント タイプ 1004、サブタイプ 9)にも使用されます。
ユーザ情報更新イベント メッセージには標準ディスカバリ イベント ヘッダー(ディスカバリ イベント ヘッダー 5.2+を参照)とユーザ ログイン情報データ ブロックがあります(ユーザ ログイン情報データ ブロック 6.2+を参照)。ユーザ ログイン情報データ ブロックのブロック タイプは、シリーズ 1 ブロック タイプ 121 です。
ディスカバリ(シリーズ 1)ブロック
ほとんどのディスカバリ イベントと接続イベントには、シリーズ 1 グループ データ構造の 1 つ以上のデータ ブロックがあります。シリーズ 1 データ ブロック タイプは、それぞれ特定の情報タイプを伝えます。ブロック タイプ番号は、ブロックのデータにするデータに先行するデータ ブロック ヘッダーにあります。ブロック ヘッダー形式については、データ ブロック ヘッダーを参照してください。
シリーズ 1 データ ブロック ヘッダー シリーズ
シリーズ 1 のデータ ブロック ヘッダーには、シリーズ 2 ブロック ヘッダーと同じく、ブロックのタイプ番号とブロック長を含む 2 つの 32 ビット整数フィールドがあります。
コメント データ ブロック長フィールドには、2 つのデータ ブロック ヘッダー フィールドの 8 バイトを含むすべてのデータ ブロックでバイト数を格納します。
一部 ブロック シリーズ 1 タイプでは、ブロック ヘッダーの直後に生データが続きます。より複雑なブロック タイプでは、ヘッダーの後には標準固定長フィールドか、別のシリーズ 1 データ ブロックやブロック リストをカプセル化したシリーズ 1 プリミティブ ブロックが続きます。
シリーズ 1 プリミティブ データ ブロック
シリーズ 1 とシリーズ 2 のいずれのブロックにも、1 セットのプリミティブがあり、これで可変長ブロック リストと、さらに可変長の文字列と BLOB をメッセージ内にカプセル化します。これらのプリミティブ ブロックには、前述の標準シリーズ 1 のブロック ヘッダーがあります。これらのプリミティブを使用するのは、他のシリーズ 1 データ ブロックのみです。所定のブロック タイプに任意の数値を含めることができます。プリミティブ ブロックの構造の詳細については、次の項を参照してください:
ホスト ディスカバリ データ ブロックと接続データ ブロック
ホスト ディスカバリ イベントと接続イベント ブロック タイプのリストについては、表 4-30を参照してください。ユーザ イベント ブロック タイプについては、表 4-86を参照してください。これらはすべてシリーズ 1 データ ブロックです。
次の表のエントリには、それぞれデータ ブロックを定義したサブセクションまでのリンクがあります。ブロック タイプごとに、ステータス(現在またはレガシー)が表示されます。現在のデータ ブロックが最新バージョンです。レガシー データ ブロックは、製品の旧バージョンに使用するデータ ブロックであり、eStreamer でメッセージ形式は引き続き要求できます。
|
|
|
|
|
|---|---|---|---|
文字列データを格納します。詳細については、文字列データ ブロックを参照してください。 |
|||
サーバで検出したサブサーバに関する情報を格納します。詳細については、サブサーバ データ ブロックを参照してください。 |
|||
プロトコル データを格納します。詳細については、プロトコル データ ブロックを参照してください。 |
|||
整数型(数値)データを格納します。詳細については、整数型(INT32)データ ブロックを参照してください。 |
|||
バイナリ データの生ブロックを格納し、主にバナーに使用します。詳細については、BLOB データ ブロックを参照してください。 |
|||
その他のデータ ブロック リストを含みます。詳細については、リスト データ ブロックを参照してください。 |
|||
VLAN 情報を格納します。詳細については、VLAN データ ブロックを参照してください。 |
|||
侵入影響アラート情報を格納します。侵入影響イベントアラートのヘッダーは、他のデータ ブロックは若干異なります。詳細については、侵入の影響アラート データ 5.3 以上を参照してください。 |
|||
たとえば、クライアント アプリケーション ブロックなど、カプセル化する汎用リスト情報をブロック リストをホスト プロファイル ブロックに格納します。詳細については、汎用リスト ブロックを参照してください。 |
|||
文字列情報を格納します。たとえば、スキャン脆弱性データ ブロックで使用すると、文字列情報データ ブロックには CVE ID 番号データが格納されます。文字列情報データ ブロックを参照してください。 |
|||
サーバ バナー データを格納します。詳細については、サーバ バナー データ ブロックを参照してください。 |
|||
ホスト属性リスト項目値を格納します。詳細については、属性リスト項目データ ブロックを参照してください。 |
|||
新規クライアント アプリケーション イベントのクライアント アプリケーション情報を格納します(本製品の旧バージョンを参照のこと)。 |
|||
ホスト属性の ID 番号と値を格納します。詳細については、属性値データ ブロックを参照してください。 |
|||
サーバで検出したサブサーバに関する情報を格納します。フル サーバ情報ブロックとフル ホスト プロファイルで参照します。各サブサーバの脆弱性情報を格納します。詳細については、フル サブサーバ データ ブロックを参照してください。 |
|||
バージョン 3.5+ のオペレーティング システム情報を格納します。詳細については、オペレーティング システム データ ブロック 3.5+を参照してください。 |
|||
ユーザ ポリシー制御の変更に関する情報を格納します。詳細については、ポリシー エンジン制御メッセージ データ ブロックを参照してください。 |
|||
属性定義の情報を格納します。詳細については、4.7+ の定義属性データ ブロックを参照してください。 |
|||
ユーザ入力のプロトコル情報を格納します。詳細については、ユーザ プロトコル データ ブロックを参照してください。 |
|||
ユーザ入力のクライアント アプリケーション データを格納します。詳細については、ユーザ クライアント アプリケーション データ ブロック 5.0 ~ 5.1を参照してください。ブロック 138 に置き換わります。 |
|||
ユーザ クライアント アプリケーション データ ブロックのリストを格納します。詳細については、ユーザ クライアント アプリケーション リスト データ ブロックを参照してください。 |
|||
IP アドレス範囲指定を格納します。詳細については、IP 範囲仕様データ ブロック 5.0 ~ 5.1.1.xを参照してください。ブロック 141 に置き換わります。 |
|||
属性名と値を格納します。詳細については、属性指定データ ブロックを参照してください。 |
|||
MAC アドレス範囲指定を格納します。詳細については、MAC アドレス指定データ ブロックを参照してください。 |
|||
IP と MAC アドレス指定ブロック リストを格納します。詳細については、アドレス指定データ ブロックを参照してください。 |
|||
サードパーティ アプリケーション文字列マッピングなど、サードパーティ アプリケーションからインポートしたホスト入力データを格納します。詳細については、ユーザ製品データ ブロック 5.0.xを参照してください。5.0 で導入したサクセサ ブロック タイプ 118 には、ブロック タイプ 65 と同じ構成があります。 |
|||
接続チャンク情報を格納します。詳細については、接続チャンク データ ブロック 5.0 ~ 5.1を参照してください。5.0 で導入したサクセサ ブロック タイプ 119 には、ブロック タイプ 66 と同じ構成があります。 |
|||
ホストに適用するフィックスを格納します。詳細については、フィックス リスト データ ブロックを参照してください。 |
|||
ユーザ入力イベントのサーバ情報を格納します。詳細については、ユーザ サーバ データ ブロックを参照してください。 |
|||
ユーザ サーバ ブロックのリストを格納します。詳細については、ユーザ サーバ リスト データ ブロックを参照してください。 |
|||
ユーザ ホスト入力イベントからのホスト範囲に関する情報を格納します。詳細については、ユーザ ホスト データ ブロック 4.7+を参照してください。 |
|||
ホスト脆弱性に関する情報を格納します(本製品の旧バージョンを参照のこと)。バージョン 5.0 で導入したサクセサ ブロックのブロック タイプは 124 です。 |
|||
非アクティブ化した脆弱性のリスト、またはアクティブ化した脆弱性のリストを格納します。詳細については、ユーザ脆弱性変更データ ブロック 4.7+を参照してください。 |
|||
ホストまたはホストの重要度の変更に関する情報を格納します。詳細については、ユーザ重要度変更データ ブロック 4.7+を参照してください。 |
|||
ホストの属性値の変更を格納します。詳細については、ユーザ属性値データ ブロック 4.7+を参照してください。 |
|||
ホストのプロトコル リストを示します。詳細については、ユーザ プロトコル リスト データ ブロック 4.7+を参照してください。 |
|||
ホストに適用する脆弱性を格納します。詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
|||
オペレーティング システム フィンガープリントのリストを格納します。詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2を参照してください。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 130 です。 |
|||
ホストのプロファイル情報を格納します。詳細については、ホスト プロファイル データブロック 5.2+を参照してください。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 132 です。 |
|||
ホスト プロファイル情報一式を格納します(本製品の旧バージョンを参照のこと)。データ ブロック 47 に置き換わります。 |
|||
ホストのアイデンティティ データを格納します。詳細については、アイデンティティ データ ブロックを参照してください。 |
|||
ホストの MAC アドレス情報を格納します。詳細については、ホスト MAC アドレス 4.9+を参照してください。 |
|||
セカンダリ セカンダリ ホストの更新で報告された MAC アドレス情報のリストを格納します。 |
|||
Web アプリケーション データのリストを格納します(本製品の旧バージョンを参照のこと)。バージョン 5.0 で導入したサクセサ ブロックのブロック タイプは 123 です。 |
|||
新規クライアント アプリケーション イベントのクライアント アプリケーション情報を格納します(本製品の旧バージョンを参照のこと)。バージョン 5.0 で導入したサクセサ ブロック タイプ 122 には、ブロック タイプ 100 と同じ構造があります。 |
|||
脆弱性に関する情報を格納しており、スキャン結果を追加イベントで使用します。スキャン結果データ ブロック 5.0 ~ 5.1.1.xを参照してください。 |
|||
ホスト サーバ情報を格納します。詳細については、ホスト サーバ データ ブロック 4.10.0+を参照してください。 |
|||
ホスト サーバ情報を格納します。詳細については、フル ホスト サーバ データ ブロック 4.10.0+を参照してください。 |
|||
サーバ フィンガープリントで使用するサーバ情報を格納します。詳細については、4.10.x、5.0 ~ 5.0.2 のサーバ情報データ ブロックを参照してください。5.0 で導入したサクセサ ブロック タイプ 117 には、ブロック タイプ 105 と同じ構成があります。 |
|||
ホストで検出したサーバに関する情報を格納します。詳細については、フル サーバ情報データ ブロックを参照してください。 |
|||
Nmap スキャンで得た結果を格納します。詳細については、4.10.0+ の汎用スキャン結果データ ブロックを参照してください。 |
|||
サードパーティ スキャンで検出した脆弱性に関する情報を格納します。4.10.0+のスキャン脆弱性データ ブロックを参照してください。 |
|||
ホスト プロファイル情報一式を格納します。詳細については、フル ホスト プロファイル データ ブロック 5.0 ~ 5.0.2を参照してください。データ ブロック 92 に置き換わります。 |
|||
脆弱性リストとともに新規クライアント アプリケーション イベントのクライアント アプリケーション情報を格納します。詳細については、フル クライアント アプリケーション データ ブロック 5.0+を参照してください。 |
|||
5.0 ~ 5.0.2 の接続統計イベントの情報を格納します。詳細については、接続統計データ ブロック 5.0 ~ 5.0.2を参照してください。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 126 です。 |
|||
サーバ フィンガープリントで使用するサーバ情報を格納します。詳細については、4.10.x、5.0 ~ 5.0.2 のサーバ情報データ ブロックを参照してください。 |
|||
サードパーティ アプリケーション文字列マッピングなど、サードパーティ アプリケーションからインポートしたホスト入力データを格納します。詳細については、ユーザ製品データ ブロック 5.0.xを参照してください。先行ブロック タイプ 65 は 5.0 で更新され、このブロック タイプと同じ構造があります。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 132 です。 |
|||
バージョン 4.10.1 ~ 5.1 の接続チャンク情報を格納します。詳細については、接続チャンク データ ブロック 5.0 ~ 5.1を参照してください。サクセサ ブロックは 136 です。 |
|||
バージョン 5.0 + の新規クライアント アプリケーション イベントのクライアント アプリケーション情報を格納します。詳細については、5.0+ のホスト クライアント アプリケーション データ ブロックを参照してください。これはブロック タイプ 100 に置き換わります。 |
|||
バージョン 5.0 +の Web アプリケーション データを格納します。詳細については、5.0+ の Web アプリケーション データ ブロックを参照してください。これはブロック タイプ 97 に置き換わります。 |
|||
ホスト脆弱性に関する情報を格納します。ユーザ脆弱性データ ブロック 5.0+を参照してください。これはブロック タイプ 79 に置き換わります。 |
|||
4.10.2 の接続統計イベントの情報を格納します(本製品の旧バージョンを参照のこと)。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 115 です。 |
|||
5.1 の接続統計イベントの情報を格納します。詳細については、接続統計データ ブロック 5.1を参照してください。これはブロック タイプ 115 に置き換わります。このブロック タイプはブロック タイプ 137 に置き換わります。 |
|||
オペレーティング システム フィンガープリントのリストを格納します。詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。これはブロック タイプ 87 に置き換わります。 |
|||
検出したモバイル デバイスのハードウェアに関する情報を格納します。詳細については、5.1+ のモバイル Device 情報データ ブロックを参照してください。 |
|||
ホストのプロファイル情報を格納します。詳細については、フル ホスト プロファイル データ ブロック 5.2.xを参照してください。これはブロック タイプ 91 に置き換わります。ブロック 139 に置き換わります。 |
|||
サードパーティ アプリケーション文字列マッピングなど、サードパーティ アプリケーションからインポートしたホスト入力データを格納します。詳細については、ユーザ製品データ ブロック 5.1+を参照してください。これは先行ブロック タイプ 118 に置き換わります。 |
|||
ホスト プロファイル情報一式を格納します。詳細については、フル ホスト プロファイル データ ブロック 5.1.1を参照してください。データ ブロック 111 に置き換わります。 |
|||
接続チャンク情報を格納します。詳細については、6.1+ の接続チャンク データ ブロックを参照してください。ブロック 119 に置き換わります。 |
|||
5.1.1 の接続イベントの情報を格納します。詳細については、接続チャンク データ ブロック 5.0 ~ 5.1を参照してください。これはブロック タイプ 126 に置き換わります。これはブロック タイプ 144 に置き換わります。 |
|||
ユーザ入力のクライアント アプリケーション データを格納します。詳細については、5.1.1+ のユーザ クライアント アプリケーション データ ブロックを参照してください。これはブロック タイプに置き換わります。 |
|||
ホストのプロファイル情報を格納します。詳細については、ホスト プロファイル データブロック 5.2+を参照してください。これはブロック タイプ 132 に置き換わります。 |
|||
ホスト プロファイル情報一式を格納します。詳細については、全ホスト プロファイル データ ブロック 5.3+を参照してください。データ ブロック 135 に置き換わります。 |
|||
IP アドレス範囲指定を格納します。詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。これはブロック 61 に置き換わります。 |
|||
脆弱性に関する情報を格納しており、スキャン結果を追加イベントで使用します。スキャン結果データ ブロック 5.2+を参照してください。これはブロック 102 に置き換わります。 |
|||
ホストの IP アドレスと最後の確認日時情報を格納します。詳細については、ホスト IP アドレス データ ブロックを参照してください。 |
|||
5.2.x. の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 5.2.xを参照してください。これはブロック タイプ 137 に置き換わります。 |
|||
5.2+ のホスト属性アドレスを格納します。詳細については、属性アドレス データ ブロック 5.2+を参照してください。これはブロック タイプ 38 に取って代わります。 |
|||
ユーザの IOC への変更に関する情報が含まれています。詳細については、ユーザ IOC の変更データ ブロック 5.3+を参照してください。 |
|||
ホスト プロファイル情報一式を格納します。詳細については、全ホスト プロファイル データ ブロック 5.3+を参照してください。データ ブロック 135 に置き換わります。 |
|||
5.3+ の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 5.3を参照してください。これはブロック タイプ 144 に置き換わります。 |
|||
5.3 の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 5.3.1を参照してください。これはブロック タイプ 152 に置き換わります。 |
|||
5.4 の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 5.4を参照してください。これはブロック タイプ 154 に置き換わります。 |
|||
5.4.1 の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 5.4.1を参照してください。これはブロック タイプ 155 に置き換わります。 |
|||
5.4.1 の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 6.0.xを参照してください。これはブロック タイプ 157 に置き換わります。 |
|||
6.0+ の接続イベントの情報を格納します。詳細については、接続統計データ ブロック 6.2+を参照してください。これはブロック タイプ 160 に置き換わります。 |
文字列データ ブロック
文字列データ ブロックは、シリーズ 1 ブロックの文字列データ送信に使用します。他のシリーズ 1 データ ブロックで、主に、たとえば、オペレーティング システムやサーバ名の記述に使用します。
空の文字列データ ブロック(文字列データを格納していない文字列データ ブロック) のブロック長値は 8 であり、ゼロバイトの文字列データが続きます。文字列値にコンテンツがなければ、空の文字列データ ブロックが返ります。たとえば、オペレーティング システムのベンダーが不明な場合の、オペレーティング システム データ ブロックの OS ベンダー文字列フィールドなどが該当します。
文字列データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 0 です。
コメント このデータ ブロックで返る文字列の終端は、必ずしも NULL ではありません(最後が 0 とは限りません)。
次の表に、文字列データ ブロックのフィールドの説明を示します。
|
|
|
|
|---|---|---|
BLOB データ ブロック
バイナリ データは BLOB データ ブロックで伝えることもできます。たとえば、システムがキャプチャしたサーバ バナーを BLOB データ ブロックで保存できます。BLOB データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 10 です。
次の表に、BLOB データ ブロックのフィールドの説明を示します。
|
|
|
|
|---|---|---|
BLOB データ ブロックのバイト数です。BLOB ブロック タイプとブロック長フィールドの 8 バイトと後続のバイナリ データの長さが含まれます。 |
||
リスト データ ブロック
リスト データ ブロックでは、シリーズ 1 データ ブロックのリストをカプセル化します。たとえば、TCP サーバのリストを送信する場合、データを含むサーバ データ ブロックはリスト データ ブロックにカプセル化されます。リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 11 です。
次の図に、リスト データ ブロックの基本的な形式を示します。
次の表では、リスト データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
リスト ブロックとカプセル化されたデータのバイト数。たとえば、リストに 3 つのサブサーバ データ ブロックがある場合、その値は、サブサーバ ブロックのバイト数にリスト ブロック ヘッダーの 8 バイトを加えた値になります。 |
||
汎用リスト ブロック
汎用リスト データ ブロックでは、シリーズ 1 データ ブロックのリストをカプセル化します。たとえば、ホスト プロファイル データ ブロックでクライアント アプリケーション情報を送信すると、クライアント アプリケーション データ ブロックのリストは、汎用リスト データ ブロックでカプセル化されます。汎用リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 31 です。
次の図に、汎用リストのデータ ブロックの基本的な構造を示します。
次の表では、汎用リスト データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
サブサーバ データ ブロック
サブサーバ データ ブロックは、個々のサブサーバに関する情報を伝えます。これは同じホスト上で別のサーバに呼び出されたサーバであり、脆弱性に関連付けられています。サブサーバ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 1 です。
次の表では、サブサーバ データ ブロックのフィールドについて説明します。
プロトコル データ ブロック
このプロトコル データ ブロックがプロトコルを定義します。ブロック タイプ、ブロック長、プロトコルを識別する IANA プロトコルだけのごく簡単データ ブロックです。リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 4 です。
次の表では、プロトコル データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
IANA プロトコル番号、または Ethertype。扱いは、トランスポート層プロトコルとネットワーク層プロトコルでは異なります。 |
整数型(INT32)データ ブロック
整数型(INT32)データ ブロックは、リスト データ ブロックで使用して 32 ビット整数型データを伝えます。
整数型データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 7 です。
次の表では、整数型データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
VLAN データ ブロック
VLAN データ ブロックには、ホストの VLAN タグ情報を格納します。VLAN データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 14 です。次の図は、VLAN データ ブロックの形式です。
次の表では、VLAN データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
サーバ バナー データ ブロック
サーバ バナー データ ブロックには、ホストで実行するサーバのバナーに関する情報があります。これにはサーバ ポート、プロトコル、バナー データを格納します。サーバ バナー データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 37 です。
コメント 次の図のブロック タイプ フィールドの横のアスタリスク(*)は、メッセージにシリーズ 1 データ ブロックのゼロ以上のインスタンスが含まれる可能性があることを示しています。
次の表では、サーバ バナー データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
サーバ バナー ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータ バイト数を加えたサーバ バナー データ ブロックの合計バイト数。 |
||
文字列情報データ ブロック
文字列情報データ ブロックには文字列データを格納します。たとえば、文字列情報データ ブロックは、スキャン脆弱性データ ブロックの Common Vulnerabilities and Exposures(CVE)識別文字列の伝達に使用します。文字列情報データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 35 です。
次の表では、文字列情報データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
文字列情報データ ブロックを使用した脆弱性のデータ ブロックの Common Vulnerabilities and Exposures(CVE)ID 番号の値。 |
属性アドレス データ ブロック 5.2+
属性アドレス ブロック データは、属性リスト項目が含まれ、属性定義データ ブロック内で使用されます。このブロック タイプは シリーズ 1 ブロック グループのブロック タイプ 146 です。
次の表は、属性アドレス データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
属性アドレス データ ブロックのバイト数(属性アドレス ブロック タイプと長さ用の 8 バイト、およびそれに続く属性アドレス データのバイト数を含む)。 |
||
アドレスが自動的に割り当てられる場合は、ホストの IP アドレス。アドレスは IPv4 または IPv6 を使用できます。 |
||
ユーザ IOC の変更データ ブロック 5.3+
ユーザ IOC の変更データ ブロックには、ユーザが行った IOC の変更に関する情報が含まれています。これは、ユーザ ホスト IOC の削除、ユーザ ホスト IOC の有効化、およびユーザ ホスト IOC の無効化レコード内で使用されます。このブロック タイプは シリーズ 1 ブロック グループのブロック タイプ 148 です。
次の図で、ユーザ IOC 変更データ ブロックの基本構造を示します。
次の表で、ユーザ IOC 変更データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
属性リスト項目データ ブロック
属性リスト項目データ ブロックは、属性リスト項目を格納します。属性定義データ ブロック内で使用します。このブロック タイプは シリーズ 1 ブロック グループのブロック タイプ 39 です。
次の表では、属性リスト項目データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
属性リスト項目ブロック タイプと長さの 8 バイトに、後続の属性リスト項目データ バイト数を加えた属性リスト項目データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、属性リスト項目名のバイト数を加えた、属性リスト項目名の文字列データ ブロックの合計バイト数。 |
||
属性値データ ブロック
属性値データ ブロックは、ホスト属性の属性ID 番号と値を伝えます。イベントのホストに適用される各属性の属性値データ ブロックは、フル ホスト プロファイル データ ブロックのリストに格納します。属性値データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 48 です。
次の表では、属性値データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
属性値ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続の属性ブロック データのバイト数を加えた属性値データ ブロックの合計バイト数。 |
||
フル サブサーバ データ ブロック
フル サーバ データ ブロックは、ホストで検出したサーバに関連付けられたサブサーバに関する情報を伝えます。サブサーバに関する情報には、ホスト上のサブサーバのベンダー、バージョン、関連 VDB、サードパーティ の脆弱性などがあります。サブサーバは、固有の関連脆弱性があるサーバの読み込み可能なモジュールです。フル ホスト サーバ データ ブロックには、ホストで検出した各サーバのフル サブサーバ データ ブロックが含まれます。フル ホスト サーバ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 51 です。
コメント 次の図で、シリーズ 1 データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、フル サブサーバ データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
フルサブサーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のフル サブサーバ ブロックのバイト数を加えたフル サブサーバ データ ブロックの合計バイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにサブサーバ名のバイト数を加えたサブサーバ名文字列データ ブロックのバイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにサブサーバ名のバイト数を加えたベンダー名文字列データ ブロックのバイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにサブサーバ バージョンのバイト数を加えたサブサーバ バージョン文字列データ ブロックのバイト数。 |
||
VDB 脆弱性データを伝えるホスト脆弱性データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
シスコ で確認されたホスト脆弱性に関する情報を格納したホスト脆弱性データブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
||
サード パーティ スキャン脆弱性データを伝えるホスト脆弱性データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
サードパーティの脆弱性のスキャナで確認されたホスト脆弱性に関する情報を格納したホスト脆弱性データブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
オペレーティング システム データ ブロック 3.5+
バージョン 3.5+ のオペレーティング システム データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 53 です。このブロックには、フィンガープリント Universally Unique Identifier(UUID)を格納します。次の図は、3.5+ のオペレーティング システム データ ブロックの形式です。
次の表では、v3.5 オペレーティング システム データ ブロックのフィールドについて説明します。
ポリシー エンジン制御メッセージ データ ブロック
ポリシー エンジン制御メッセージ データ ブロックは、ポリシー タイプの制御メッセージを伝えます。ポリシー エンジン制御メッセージ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 54 です。
次の図は、ポリシー エンジン制御メッセージ データ ブロックの形式です。
次の表では、ポリシー エンジン制御メッセージ データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ポリシー エンジン制御ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のポリシー エンジン制御データのバイト数を加えたポリシー エンジン制御メッセージ データ ブロックの合計バイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに制御メッセージのバイト数を加えた制御メッセージ文字列データ ブロックのバイト数。 |
||
4.7+ の定義属性データ ブロック
属性定義データ ブロックには、属性作成、変更、または削除イベントの更新属性定義が格納されます。属性定義データ ブロックは、ホスト属性追加イベント(イベント タイプ 1002、サブタイプ 6)、ホスト属性更新イベント(イベント タイプ 1002、サブタイプ 7)、ホスト属性削除イベント(イベント タイプ 1002、サブタイプ 8)で使用します。このブロック タイプは シリーズ 1 ブロック グループのブロック タイプ 55 です。
これらのイベントの詳細については、属性メッセージを参照してください。
次の表では、属性定義データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
属性定義データ ブロック タイプと長さの 8 バイトに、後続の属性定義データのバイト数を加えた属性定義データ ブロックのバイト数。 |
||
属性データの送信元にマッピングする ID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
文字列ブロック タイプと長さの 8 バイトに、属性定義名のバイト数を加えた、属性定義名の文字列データ ブロックの合計バイト数。 |
||
属性リスト項目を伝える属性リスト項目データ ブロック リストで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべての属性リスト項目データ ブロックを加えた値です。 |
||
最初の属性リスト項目データ ブロックを開始します。このデータ ブロックには、他の属性リスト項目データ ブロックを、リスト ブロック長フィールドで定義した上限まで続けることができます。 |
||
ブロック タイプ フィールドとヘッダー フィールドの 8 バイトに属性リスト項目のバイト数を加えた属性リスト項目文字列データ ブロックのバイト数。 |
||
属性リスト項目データ ブロックに記載の属性リスト項目データ。 |
||
ホストの IP アドレスを属性とともに伝える属性アドレス データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべての属性アドレス データ ブロックを加えた値です。 |
||
最初の属性アドレス データ ブロックを開始します。このデータ ブロックには、他の属性アドレス データ ブロックを、リスト ブロック長フィールドで定義した上限まで続けることができます。 |
||
ブロック タイプ フィールドとヘッダー フィールドの 8 バイトに属性アドレスのバイト数を加えた属性アドレス データ ブロックのバイト数。 |
||
属性アドレス データ ブロック 5.2+に記載されている属性アドレス データ。 |
ユーザ プロトコル データ ブロック
ユーザ プロトコル データ ブロックには、追加したプロトコル、プロトコルのタイプ、ホストの IP アドレスの範囲と MAC アドレスの範囲に関する情報がプロトコルとともに格納されます。ユーザ プロトコル データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 57 です。
次の図は、ユーザ プロトコル データ ブロックの基本構造です。
次の表では、ユーザ プロトコル データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ユーザ プロトコル ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のユーザ プロトコル データのバイト数を加えたユーザ プロトコル データ ブロックの合計バイト数。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
MAC アドレス範囲データを伝える MAC 範囲指定データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての MAC 範囲指定データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の MAC アドレス範囲に関する情報を含む MAC 範囲指定データ ブロック。このデータ ブロックの説明の詳細については、MAC アドレス指定データ ブロックを参照してください。 |
||
プロトコルのタイプを示します。プロトコルには、IP などネットワーク層プロトコルの |
||
5.1.1+ のユーザ クライアント アプリケーション データ ブロック
ユーザ クライアント アプリケーション データ ブロックには、クライアント アプリケーション データの送信元に関する情報、データを追加したユーザの ID 番号、および IP アドレス範囲データ ブロックのリストが含まれます。バージョン 6.3 に追加されたペイロード ID は、レコードに関連付けられたアプリケーション インスタンスを指定します。ユーザ クライアント アプリケーション データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 138 です。ブロック タイプ 59 を置換します。
次の図は、ユーザ クライアント アプリケーション データ ブロックの基本構造を示しています。
次の表は、ユーザ クライアント アプリケーション データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ユーザ クライアント アプリケーション データ ブロックのバイトの合計数(ユーザ クライアント アプリケーション ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ クライアント アプリケーション データのバイト数を含む)。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
クライアント アプリケーション バージョン文字列データ ブロックのバイト数(文字列ブロック タイプと長さのフィールド、およびバージョンのバイト数を含む)。 |
||
ユーザ クライアント アプリケーション リスト データ ブロック
ユーザ クライアント アプリケーション データ ブロックには、クライアント アプリケーション データの送信元に関する情報、データを追加したユーザの ID 番号、クライアント アプリケーション ブロックのリストを格納します。ユーザ クライアント アプリケーション リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 60 です。
次の図は、ユーザ クライアント アプリケーション リスト データ ブロックの基本構造です。
次の表では、ユーザ クライアント アプリケーション リスト データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ユーザ クライアント アプリケーション リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のユーザ クライアント リスト アプリケーション データのバイト数を加えたユーザ クライアント アプリケーション リスト データ ブロックの合計バイト数。 |
||
影響を受けるクライアント アプリケーションを追加した送信元にマッピングするID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化したユーザ クライアント アプリケーション データ ブロック。ユーザ クライアント アプリケーション データ ブロックの詳細については、5.1.1+ のユーザ クライアント アプリケーション データ ブロックを参照してください。 |
5.2+ の IP アドレス範囲データ ブロック
5.2+ の IP アドレス範囲データ ブロックは IP アドレス範囲を伝えます。IP アドレス範囲データ ブロックは、ユーザ プロトコル、ユーザ クライアント アプリケーション、アドレス指定、ユーザ製品、ユーザ サーバ、ユーザ ホスト、ユーザ脆弱性、ユーザ重要度、ユーザ属性値データ ブロックで使用します。IP アドレス範囲データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 141 です。
次の表では、IP アドレス範囲指定データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
IP アドレス範囲ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続の IP アドレス範囲データのバイト数を加えた IP アドレス範囲データ ブロックの合計バイト数。 |
||
属性指定データ ブロック
属性指定データ ブロックは属性名と値を伝えます。属性指定データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 62 です。
次の表では、属性指定データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ブロック タイプ フィールドと長さフィールドの 8 バイトに属性名のバイト数を加えた属性名文字列データ ブロックのバイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに属性名のバイト数を加えた属性名文字列データ ブロックのバイト数。 |
||
ホスト IP アドレス データ ブロック
ホスト IP アドレス データ ブロックは個々の IP アドレスを伝えます。IP アドレスには、IPv4 アドレスと IPv6 アドレスのいずれも使用できます。ホスト IP アドレス データ ブロックは、ユーザ プロトコル、アドレス指定、ユーザ ホスト データ ブロックで使用します。ホスト IP データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 143 です。
次の図は、ホスト IP アドレス データ ブロックの形式です。
次の表では、ホスト IP アドレス データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ホスト IP ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のホスト IP アドレス データのバイト数を加えたホスト IP アドレス データ ブロックの合計バイト数。 |
||
MAC アドレス指定データ ブロック
MAC アドレス指定データ ブロックは個々の MAC アドレスを伝えます。MAC アドレス指定データ ブロックは、ユーザ プロトコル、アドレス指定、ユーザ ホスト データ ブロックで使用します。MAC アドレス 指定データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 63 です。
次の表では、MAC アドレス指定データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
MAC アドレス指定ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続の MAC アドレス指定データのバイト数を加えた MAC アドレス指定データ ブロックの合計バイト数。 |
||
アドレス指定データ ブロック
アドレス指定のデータ ブロックには、IP アドレス範囲指定と MAC アドレス指定のリストを格納します。アドレス指定データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 64 です。
次の表では、アドレス指定データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
アドレス指定ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のアドレス指定データのバイト数を加えたアドレス指定データ ブロックの合計バイト数。 |
||
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化した IP アドレス範囲指定データ ブロック。詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化した MAC アドレス指定データ ブロック。詳細については、MAC アドレス指定データ ブロックを参照してください。 |
6.1+ の接続チャンク データ ブロック
接続チャンク データ ブロックは、接続データを伝えます。5 分間分を集約した接続ログ データを保存します。6.1+ バージョンでは、新しいフィールドとしてオリジナル クライアント IP アドレスを導入しました。接続チャンク データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 164 です。これはブロック タイプ 136 に置き換わります。
次の図は、接続チャンク データ ブロックの形式を示しています。
次の表は、接続チャンク データ ブロックのコンポーネントについての説明です。
フィックス リスト データ ブロック
フィックス リスト データ ブロックはホストに適用するフィックスを伝えます。影響を受けるホストに適用される各フィックスのフィックス リストデータ ブロックは、ユーザ製品データ ブロックに格納します。フィックス リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 67 です。
次の表では、フィックス リスト データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
フィックス リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のフィックス識別データのバイト数を加えたフィックス リスト データ ブロックの合計バイト数。 |
||
ユーザ サーバ データ ブロック
ユーザ サーバ データ ブロックには、ユーザ入力のサーバの詳細を格納します。ユーザ サーバ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 76 です。
次の表では、ユーザ サーバ データ ブロックのフィールドについて説明します。
ユーザ サーバ リスト データ ブロック
ユーザ サーバ リスト データ ブロックには、ユーザ入力のサーバ リスト データ ブロックを格納します。ユーザ サーバ リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 77 です。次の図は、ユーザ サーバ リスト データ ブロックの基本構造です。
次の表では、ユーザ サーバ リスト データ ブロックのフィールドについて説明します。
ユーザ ホスト データ ブロック 4.7+
ユーザ ホスト データ ブロックは、ユーザ追加/削除ホスト メッセージで使用し、ホスト範囲、ユーザ ホスト入力イベントから得られるユーザ アイデンティティとソース アイデンティティに関する情報を格納します。ユーザ ホスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 78 です。
次の表では、ユーザ ホスト データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ユーザ ホスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のユーザ ホスト データのバイト数を加えたユーザ ホスト データ ブロックの合計バイト数。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
MAC アドレス範囲データを伝える MAC 範囲指定データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての MAC 範囲指定データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の MAC アドレス範囲に関する情報を含む MAC 範囲指定データ ブロック。このデータ ブロックの説明の詳細については、MAC アドレス指定データ ブロックを参照してください。 |
||
ホストデータを追加または更新した送信元にマッピングするID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
ユーザ脆弱性変更データ ブロック 4.7+
ユーザ脆弱性変更データ ブロックには、非アクティブ化したホスト脆弱性、脆弱性を非アクティブ化したユーザ、脆弱性変更を提供した送信元に関する情報、重要度値を格納します。ユーザ脆弱性変更データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 80 です。前のユーザ脆弱性変更データ ブロックからの変更では、新規ソース タイプ フィールドが加えられ、リスト データ ブロックの代わりに、汎用リスト データ ブロックで脆弱性非アクティブ化を保存するようになりました。このデータ ブロックは、ユーザ脆弱性変更メッセージで使用します(バージョン4.6.1+ のユーザ設定脆弱性メッセージを参照)。
次の表では、汎用リスト データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ホスト脆弱性ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のホスト脆弱性データのバイト数を加えたユーザ脆弱性変更データ ブロックの合計バイト数。 |
||
ホスト脆弱性変更値を更新または追加した送信元にマッピングされるID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化したユーザ脆弱性データ ブロック。詳細については、ユーザ脆弱性データ ブロック 5.0+を参照してください。 |
ユーザ重要度変更データ ブロック 4.7+
ユーザ重要度データ ブロックには、ホスト重要度を変更したホストの IP アドレス範囲指定リスト、重要度値を更新したユーザの ID 番号、重要度値を提供する送信元に関する情報、重要度値を格納します。ユーザ重要度データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 81 です。前のユーザ重要度データ ブロックからの変更では、新規ソース タイプ フィールドが加えられ、リスト データ ブロックの代わりに、汎用リスト データ ブロックで IP アドレスを保存するようになりました。
ユーザ設定ホスト重要度メッセージにあるように、ユーザ設定ホスト重要度メッセージでは、ユーザ重要度データ ブロックを使用します。
次の表では、ユーザ重要度データ ブロックのフィールドについて説明します。
ユーザ属性値データ ブロック 4.7+
ユーザ属性値データ ブロックには、属性値が変更されたホストを示す IP アドレス範囲のリストが、ユーザの ID 番号、属性値、その属性値を提供した送信元に関する情報、その属性値を格納した BLOB データ ブロックとともに格納されます。ユーザ属性値データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 82 です。前のユーザ属性値データ ブロックからの変更では、新規送信元タイプ フィールドが加えられ、リスト データ ブロックの代わりに、汎用リスト データ ブロックで IP アドレスを保存するようになりました。
次の表では、ユーザ属性値データ ブロックのフィールドについて説明します。
ユーザ プロトコル リスト データ ブロック 4.7+
ユーザ プロトコル リスト データ ブロックには、プロトコル データの送信元に関する情報、データを追加したユーザの ID 番号、プロトコル データ ブロックのリストを格納します。ユーザ プロトコル リスト データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 83 です。ユーザ プロトコル データ ブロックの詳細については、ユーザ プロトコル データ ブロックを参照してください。
ユーザ プロトコル メッセージにあるように、ユーザ プロトコル メッセージでは、ユーザ プロトコル リスト データ ブロックを使用します。
次の図は、ユーザ プロトコル リスト データ ブロックの基本構造です。
次の表では、汎用リスト データ ブロックのフィールドについて説明します。
ホスト脆弱性データ ブロック 4.9.0+
ホスト脆弱性データ ブロックは、ホストに適用する脆弱性を伝えます。ホスト脆弱性データ ブロックごとに、1 回のイベントにおける 1 つのホストに関する 1 つの脆弱性について記述します。ホスト脆弱性データ ブロックは、フル ホスト プロファイル、フル ホスト サーバ、フル サブサーバ データ ブロックで表示されます。ホスト脆弱性データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 85 です。
次の表では、ホスト脆弱性データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ホスト脆弱性ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のホスト脆弱性データのバイト数を加えたホスト脆弱性データ ブロックの合計バイト数。 |
||
アイデンティティ データ ブロック
アイデンティティ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 94 です。アイデンティティ データ ブロックは、オペレーティング システムやサーバ フィンガープリント送信元のアイデンティティがいつ競合するか、あるいはいつタイムアウトになるかを示すアイデンティティの競合メッセージとアイデンティティ タイムアウト メッセージで使用します。このデータ ブロックは、アクティブ送信元アイデンティティ(ユーザ、スキャナ、またはアプリケーション)と競合中であると報告されたアイデンティティを記述します。詳細については、アイデンティティ競合とアイデンティティ タイムアウト システム メッセージを参照してください。
次の図は、4.9+ のアイデンティティ データ ブロックの形式です。
次の表では、シスコ アイデンティティ データ ブロックのフィールドについて説明します。
ホスト MAC アドレス 4.9+
ホスト MAC アドレス データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 95 です。このブロックには、ホスト データのパケット存続時間の他、MAC アドレス、ホストのプライマリ サブネット、ホストの最後の確認日時値を格納します。
次の図は、4.9+ の MAC アドレス データ ブロックの形式です。
次の表では、ホスト MAC アドレス データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ホスト MAC アドレス データ ブロックのバイト数。この値は常に |
||
セカンダリ ホストの更新
セカンダリ ホスト更新データ ブロックには、ホストが存在する場所以外のサブネットをモニタリングするデバイスからセカンダリ ホスト更新として送信されるホストの情報を格納します。これは変更セカンダリ更新イベントで使用します(イベント タイプ 100 1、サブタイプ 31)。セカンダリ ホスト更新データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 96 です。
次の図は、セカンダリ ホスト更新データ ブロックの形式です。
次の表では、ホスト更新データ ブロックのフィールドについて説明します。
5.0+ の Web アプリケーション データ ブロック
5.0+ の Web アプリケーション データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 123 です。このデータ ブロックは、検出した HTTP クライアント要求から得られた Web アプリケーションを記述します。
次の図は、5.0+ の Web アプリケーション データ ブロックの形式です。
次の表では、Web アプリケーション データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
Web アプリケーション データ ブロック タイプと長さの 8 バイトに、後続の ID フィールドのバイト数を加えた Web アプリケーション データ ブロックのバイト数。 |
||
接続統計データ ブロック 6.2+
接続統計データ ブロックは、接続データ メッセージで使用されます。3 番目の [セキュリティ インテリジェンス(Security Intelligence)] フィールドが 6.2+ の接続統計データ ブロックに追加されました。バージョン 6.2+ の接続統計データ ブロックには、シリーズ 1 グループのブロックのブロック タイプ 168 が含まれています。これはブロック タイプ163 接続統計データ ブロック 6.1.xに置き換わります。
接続イベント レコードは、要求メッセージにイベント バージョン 13 とイベント コード 71 とともに拡張イベント フラグを設定して要求します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の表では、6.2+ の接続統計データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
接続統計データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く接続データのバイト数を含む)。 |
||
クライアント アプリケーション URL の文字列データ ブロックのバイト数(文字列ブロック タイプと長さのフィールド用の 8 バイト、およびクライアント アプリケーション URL 文字列のバイト数を含む)。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む文字列データ ブロック内のバイト数と NetBIOS 名文字列のバイト数。 |
||
クライアント アプリケーション バージョンの文字列データ ブロックのバイト数(文字列ブロック タイプと長さフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
参照ホスト文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および参照ホスト フィールドのバイト数を含む)。 |
||
ユーザ エージェント文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザ エージェント フィールドのバイト数を含む)。 |
||
HTTP リファラ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および HTTP リファラ フィールドのバイト数を含む)。 |
||
SSL 接続で使用される暗号スイート。値は 10 進形式で保存されます。値により指定されている暗号スイートの詳細については、 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
SSL ハンドシェイク時にクライアントとサーバとの間で交換されたメッセージ。詳細については、http://tools.ietf.org/html/rfc5246 を参照してください。
|
||
SSL サーバ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および SSL サーバ名フィールドのバイト数を含む)。 |
||
SSL セッション ID の長さ。セッション ID は 32 バイトより長くすることはできませんが、32 バイト未満にすることはできます。 |
||
SSL チケット ID の長さ。チケット ID は 20 バイトより長くすることはできませんが、20 バイト未満であってもかまいません。 |
||
ISE により識別される、接続エンドポイントで使用されるデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
文字列データ ブロックのバイト数(文字列ブロック タイプと長さのフィールド用の 8 バイト、および DNS クエリ文字列のバイト数を含む)。 |
||
イベントに関連付けられているセキュリティ インテリジェンス リスト。これは、関連メタデータのセキュリティ インテリジェンス リストにマップされます。接続に関連付けられた 3 つのセキュリティ インテリジェンス リストが存在する場合があります。 |
||
イベントに関連付けられているセキュリティ インテリジェンス リスト。これは、関連メタデータのセキュリティ インテリジェンス リストにマップされます。接続に関連付けられた 3 つのセキュリティ インテリジェンス リストが存在する場合があります。 |
||
イベントに関連付けられているセキュリティ インテリジェンス リスト。これは、関連メタデータのセキュリティ インテリジェンス リストにマップされます。接続に関連付けられた 3 つのセキュリティ インテリジェンス リストが存在する場合があります。 |
スキャン結果データ ブロック 5.2+
スキャン結果データ ブロックは、脆弱性を説明し、スキャン結果追加イベント内で使用されます(イベント タイプ 1002、サブタイプ 11)。スキャン結果データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 142 です。これはブロック タイプ 102 に置き換わります。IP アドレス フィールドはバージョン 5.2 で 16 バイトに増えました。
次の図は、スキャン結果データ ブロックの形式を示しています。
次の表は、スキャン結果データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
スキャン結果をインポートしたユーザ、またはスキャン結果を生成したスキャンを実行したユーザのユーザ ID 番号が含まれます。 |
||
IANA プロトコル番号、または Ethertype。扱いは、トランスポート層プロトコルとネットワーク層プロトコルでは異なります。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン中に検出されたサーバおよびオペレーティング システムを記述する汎用スキャン結果データ ブロックを開始します。この値は常に |
||
汎用スキャン結果データ ブロックのバイト数(汎用スキャン結果ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン結果データのバイト数を含む)。 |
||
サードパーティ アプリケーションからのホスト入力データを伝送するユーザ製品データ ブロックを構成する、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのユーザ製品データ ブロックを含む)。 |
||
ホスト入力データを含むユーザ製品データ ブロック。このデータ ブロックの説明の詳細については、ユーザ製品データ ブロック 5.1+を参照してください。 |
ホスト サーバ データ ブロック 4.10.0+
ホスト サーバ データ ブロックは、ホストで検出したサーバに関する情報を伝えます。ここには、検出したサーバごとにブロックとともに、サーバが実行している Web アプリケーションの Web アプリケーション データ ブロックのリストも格納します。ホスト サーバ データ ブロックは、新規と変更された TCP サーバと UDP サーバのメッセージに含まれます。詳細については、サーバ メッセージを参照してください。ホスト サーバ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 103 です。
コメント 次の図で、データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、ホスト サーバ データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ホスト サーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータ バイト数を加えたホスト サーバ データ ブロックの合計バイト数。 |
||
汎用リスト ブロックとカプセル化されたサブサーバ情報データ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としたサーバ情報データ ブロック。詳細は、4.10.x、5.0 ~ 5.0.2 のサーバ情報データ ブロックを参照してください。 |
||
包括的ブロックとカプセル化された Web アプリケーション データ ブロックのバイト数。この数値は、カプセル化された Web アプリケーション データ ブロックすべてにバイト数と汎用リスト ブロックの 8 バイトのヘッダー フィールドを示します。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化した Web アプリケーション データ ブロック。詳細は、5.0+ の Web アプリケーション データ ブロックを参照してください。 |
フル ホスト サーバ データ ブロック 4.10.0+
フル ホスト サーバ データ ブロックは、サーバ ポート、使用頻度と最新の更新、データ正確性の信頼度、シスコそのホストのサーバに関するサードパーティ脆弱性などサーバに関する情報を伝えます。フル ホスト サーバ データ ブロックには、そのサーバの各サブサーバのフル サブサーバ情報データ ブロックを格納します。各フル ホスト プロファイル データ ブロックには、ホスト上の各 TCP サーバと UDP サーバのフル ホスト サーバ データ ブロックを格納します。フル ホスト サーバ データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 104 です。
コメント 次の図で、シリーズ 1 データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、フル サーバ データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
フル サーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のフル サーバ データのバイト数を加えたフル サーバ データ ブロックの合計バイト数。 |
||
検出したサブサーバ データでデータ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
シスコ が検出したホスト サーバのサブサーバに関する情報を含むフル サーバ情報データ ブロック。このデータ ブロックの説明の詳細については、フル サーバ情報データ ブロックを参照してください。 |
||
ユーザが追加したサブサーバ データを伝えるサブサーバ情報データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
ユーザが検出したホスト サーバのサブサーバに関する情報を含むフル サーバ情報データ ブロック。このデータ ブロックの説明の詳細については、フル サーバ情報データ ブロックを参照してください。 |
||
スキャナが追加したサブサーバ データを伝えるサブサーバ情報データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
スキャナが検出したホスト サーバのサブサーバに関する情報を含むフル サーバ情報データ ブロック。このデータ ブロックの説明の詳細については、フル サーバ情報データ ブロックを参照してください。 |
||
アプリケーションが追加したサブサーバ データを伝えるサブサーバ情報データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
アプリケーションが検出したホスト サーバのサブサーバに関する情報を含むフル サーバ情報データ ブロック。このデータ ブロックの説明の詳細については、フル サーバ情報データ ブロックを参照してください。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに、バナーのバイト数を加えた BLOB データ ブロックのバイト数。 |
||
シスコ 脆弱性データを搬送するホスト脆弱性データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
脆弱性データベース(VDB)でホスト脆弱性に関する情報を格納したホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
||
サードパーティ スキャナで得られ、すでに VDB に登録されている脆弱性に関する情報を格納したサードパーティ ホスト脆弱性データを伝送するホスト脆弱性データ ブロックで構成された、汎用リスト データ ブロックを開始します。この値は常に |
||
サードパーティ スキャナで得られ、脆弱性データベース(VDB)に登録されているホスト脆弱性に関する情報を格納したホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
||
サードパーティ スキャナで生成したサードパーティ ホスト脆弱性データを伝送する、ホスト脆弱性データ ブロックで構成された汎用リスト データ ブロックを開始します。この値は常に |
||
サードパーティ スキャナで識別されたが VDB には登録されていない脆弱性に関する、サードパーティ脆弱性データを含むホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+を参照してください。 |
||
汎用リスト ブロックとカプセル化された Web アプリケーション データ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
4.10.x、5.0 ~ 5.0.2 のサーバ情報データ ブロック
サーバ情報データ ブロックは、サーバ ID、サーバ ベンダーとバージョン、送信元情報など、サーバに関する情報を伝えます。サーバ情報データ ブロックのブロック タイプは、4.10.x のシリーズ 1 ブロック グループのブロック タイプ 105 と、5.0 ~ 5.0.2 のシリーズ 1 ブロック グループのブロック タイプ 117 です。サーバ情報データ ブロックは、ホスト サーバ ブロックとフル ホスト サーバ データ ブロックのリストで搬送されます。詳細については、ホスト サーバ データ ブロック 4.10.0+とフル ホスト サーバ データ ブロック 4.10.0+を参照してください。
次の表では、サーバ情報データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
サーバ情報データ ブロックを開始します。ブロック タイプは 4.10.x の場合、 |
||
サーバ情報データ ブロックの合計バイト数。サーバ情報ブロック タイプ フィールドと長さフィールドの 8 バイト、サーバ ID の 4 バイト、ベンダー名ブロック タイプと長さの 8 バイト、ベンダー名にさらに 4 バイト、バージョン文字列ブロック タイプと長さに 8 バイト、バージョン文字列にさらに 4 バイト、最後に使用する送信元タイプと送信元 ID フィールドごとに 4 バイトで構成します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにサーバ ベンダー名のバイト数を加えたベンダー名文字列データ ブロックのバイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにサーバ バージョンのバイト数を加えたサーバ バージョン文字列データ ブロックのバイト数。 |
||
サーバ データの送信元にマッピングするID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のカプセル化されたサブサーバ データブロックのバイト数を加えたリスト データ ブロックの合計バイト数。 |
||
最初のサブサーバ データ ブロックを開始します。このデータ ブロックには、他のサブサーバ データ ブロックを、リスト ブロック長フィールドで定義した上限まで続けることができます。 |
||
サブサーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータ バイト数を加えた各サブサーバ データ ブロックの合計バイト数。 |
||
サブサーバ データ ブロックに記載のサブサーバ データ。 |
フル サーバ情報データ ブロック
フル サーバ情報データ ブロックは、サブサーバのアプリケーション プロトコル、ベンダー、バージョン、関連サブサーバなど、ホストで検出したサーバに関する情報を伝えます。サブサーバごとに、情報は、フル サブサーバデータ ブロックに格納します(フル サブサーバ データ ブロックを参照)。フル サーバ情報データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 106 です。
コメント 次の図で、シリーズ 1 データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、フル サーバ情報データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
フル サーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のフル サーバ データのバイト数を加えたフル サーバ情報データ ブロックの合計バイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにベンダー名のバイト数を加えたベンダー名文字列データ ブロックのバイト数。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えた文字列データ ブロックのバイト数。 |
||
サーバ データの送信元にマッピングするID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
サブサーバ データを伝えるフル サーバ情報データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのフル サブサーバ データ ブロックを加えた値です。 |
||
最初のフル サブサーバ データ ブロックを開始します。このデータ ブロックには、他のフル サブサーバ データ ブロックを、リスト ブロック長フィールドで定義した上限まで続けることができます。 |
||
フル サブサーバ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータ バイト数を加えた各フル サブサーバ データ ブロックの合計バイト数。 |
||
このサーバのサブサーバを含むフル サブサーバ データ ブロック。このデータ ブロックの説明の詳細については、フル サブサーバ データ ブロックを参照してください。 |
4.10.0+ の汎用スキャン結果データ ブロック
汎用スキャン結果データ ブロックにはスキャン結果が格納され、スキャン結果データ ブロック 5.2+で使用します。汎用スキャン結果データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 108 です。
次の表では、汎用スキャン結果データ ブロックのフィールドについて説明します。
4.10.0+のスキャン脆弱性データ ブロック
スキャン脆弱性データ ブロックは、脆弱性を記述し、スキャン結果データ ブロックで使用します。そのスキャン結果データ ブロックは、追加スキャン結果イベント(イベント タイプ 100 2、サブタイプ 11)で使用します。詳細については、スキャン結果データ ブロック 5.2+およびスキャン結果を追加メッセージを参照してください。スキャン脆弱性データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 109 です。
次の表では、スキャン脆弱性データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
IANA プロトコル番号、または Ethertype。扱いは、トランスポート層プロトコルとネットワーク層プロトコルでは異なります。 |
||
脆弱性を検出したスキャン ユーティリティの指定に従って報告されたその脆弱性の ID。Qualys スキャンで検出した脆弱性の場合、たとえばこのフィールドには Qualys ID が設定されます。 |
||
文字列ブロック タイプと長さの 8 バイトに、脆弱性名のバイト数を加えた、脆弱性名の文字列データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、脆弱性の記述のバイト数を加えた、脆弱性の記述の文字列データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、脆弱性名のバイト数を加えた、脆弱性名の文字列データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、脆弱性の記述のバイト数を加えた、脆弱性の記述の文字列データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、Bugtraq ID を格納した整数型データのバイト数を加えた、Bugtraq ID 番号のリスト データ ブロックの合計バイト数。 |
||
Bugtraq ID 番号のリストを形成するゼロ以上の Bugtraq(INT32)データ ブロック。これらのデータ ブロックの詳細については、整数型(INT32)データ ブロックを参照してください。 |
||
文字列ブロック タイプと長さの 8 バイトに、CVE ID 番号のバイト数を加えた CVE ID 番号のリスト データ ブロックのバイト数。 |
||
CVE ID 番号のリストを形成するゼロ以上の文字列情報データ ブロック。これらのデータ ブロックの詳細については、文字列情報データ ブロックを参照してください。 |
フル クライアント アプリケーション データ ブロック 5.0+
バージョン 5.0 + のフル ホスト クライアント アプリケーション データ ブロックは、クライアント アプリケーションと、合わせて、関連 Web アプリケーションと脆弱性の添付リストを記述します。フル ホスト クライアント アプリケーション データ ブロックは、フル ホスト プロファイル データ ブロック(111)内で使用します。このブロック タイプは シリーズ 1 ブロック グループのブロック タイプ 112 です。
次の図は、5.0+ のフル ホスト クライアント アプリケーション データ ブロックの基本構造です。
次の表では、フル ホスト クライアント アプリケーション データ ブロックのフィールドについて説明します。
5.0+ のホスト クライアント アプリケーション データ ブロック
5.0+ のホスト クライアント アプリケーション データ ブロックは、クライアント アプリケーションを記述し、新規クライアント アプリケーション イベント(イベント タイプ 1000、サブタイプ 7)、クライアント アプリケーション タイムアウト イベント(イベント タイプ 1001、サブタイプ 20)、クライアント アプリケーション更新イベント(イベント タイプ 1001、サブタイプ 32)で使用します。4.10.2+ のホスト クライアント アプリケーション データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 122 です。
次の図は、5.0+ のホスト クライアント アプリケーション データ ブロックの基本構造です。
次の表では、ホスト クライアント アプリケーション データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
クライアント アプリケーション ブロック タイプと長さの 8 バイトに、後続のクライアント アプリケーション データのバイト数を加えたクライアント アプリケーション データ ブロックの合計バイト数。 |
||
文字列ブロック タイプと長さの 8 バイトに、クライアント アプリケーション バージョンのバイト数を加えたクライアント アプリケーション バージョンの文字列データ ブロックのバイト数。 |
||
汎用リスト ブロックとカプセル化された Web アプリケーション データ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化した Web アプリケーション データ ブロック。カプセル化されたデータ ブロック(ブロック タイプ 123)については、5.0+ の Web アプリケーション データ ブロックを参照してください。 |
ユーザ脆弱性データ ブロック 5.0+
ユーザ脆弱性データ ブロックは、脆弱性について記述し、ユーザ脆弱性変更ブロック内で使用します。さらに、ユーザ脆弱性変更ブロックはユーザ設定有効脆弱性イベントとユーザ設定無効脆弱性イベントで使用します。5.0+ のユーザ脆弱性データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 124 です。これはブロック タイプ 79 に置き換わります。ユーザ脆弱性変更データ ブロックの詳細については、ユーザ脆弱性変更データ ブロック 4.7+を参照してください。
次の表では、ユーザ脆弱性データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ユーザ脆弱性ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のユーザ脆弱性データのバイト数を加えたユーザ脆弱性データ ブロックの合計バイト数。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力からの IP アドレス範囲。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
このブロックには、フィンガープリント Universally Unique Identifier(UUID)の他、フィンガープリント タイプ、フィンガープリント送信元タイプ、フィンガープリント送信元 ID を格納します。扱いは、トランスポート層プロトコルとネットワーク層プロトコルでは異なります。 トランスポート層プロトコルは、IANA プロトコル番号で識別します。次に例を示します。 |
||
文字列ブロック タイプと長さの 8 バイトに、脆弱性名のバイト数を加えた、脆弱性名の文字列データ ブロックの合計バイト数。 |
||
クライアント アプリケーションで使用しているアプリケーション プロトコルのアプリケーション ID。シングルモードの場合、この値は |
||
文字列ブロック タイプと長さの 8 バイトに、クライアント アプリケーション バージョン文字列のバイト数を加えた文字列データ ブロックのバイト数。 |
||
オペレーティング システム フィンガープリント データ ブロック 5.1+
オペレーティング システム フィンガープリント データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 130 です。このブロックには、フィンガープリント Universally Unique Identifier(UUID)の他、フィンガープリント タイプ、フィンガープリント送信元タイプ、フィンガープリント送信元 ID を格納します。
次の図は、5.1+ のオペレーティング システム フィンガープリント データ ブロックの形式です。
次の表では、オペレーティング システムフィンガープリント データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
オペレーティング システム フィンガープリント データ ブロック タイプと長さの 8 バイトに、後続のオペレーティング システム フィンガープリント データのバイト数を加えたオペレーティング システム フィンガープリント データ ブロックのバイト数。 |
||
オペレーティング システムの固有識別子として機能するフィンガープリントID 番号(オクテット)。フィンガープリント UUID は、脆弱性データベース(VDB)内のオペレーティング システム名、ベンダー、バージョンにマップされます。 |
||
フィンガープリントの TTL 値とホストにフィンガープリントを実行するときに使用するパケット上の TTL 値との差を示します。 |
||
汎用リスト ブロックとカプセル化されたデータ ブロックのバイト数。この値は、汎用リスト ブロック ヘッダー フィールドの 8 バイトに、カプセル化されたすべてのデータ ブロックのバイト数を加えた値です。 |
||
リスト ブロック長の最大バイト数を上限としてカプセル化したモバイル Device 情報データ ブロック。このデータ ブロックの説明の詳細については、5.1+ のモバイル Device 情報データ ブロックを参照してください。 |
5.1+ のモバイル Device 情報データ ブロック
次の図は、モバイル Device 情報データ ブロックの形式です。このデータ ブロックには、ホストを前回検出した時刻、モバイル デバイス情報、そのモバイル デバイスが改造されていないかどうかに関する情報を格納します。モバイル Device 情報データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 131 です。
ここでは、5.1+ で返るモバイル Device 情報データ ブロックを記述します。
ホスト プロファイル データブロック 5.2+
次の図は、ホスト プロファイル データ ブロックの形式を示しています。さらに、このデータ ブロックには、ホスト重要度値が含まれていませんが、VLAN プレゼンス インジケータは含まれています。さらに、このデータ ブロックは、ホストの NetBIOS 名を伝えることができます。ホスト プロファイル データ ブロックのブロック タイプは、ブロックのシリーズ 1 グループのブロック タイプ 139 です。データ ブロックは、IPv6 アドレスをサポートするようになり、クライアント アプリケーション データ ブロックを追加しました。
コメント 次の図のブロック タイプ フィールドの横のアスタリスク(*)は、メッセージにシリーズ 1 データ ブロックのゼロ以上のインスタンスが含まれる可能性があることを示しています。
次の表では、5.2+ で返るホスト プロファイル データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ホスト プロファイル データ ブロックのバイト数(ホスト プロファイル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト プロファイル データに含まれるバイト数を含む)。 |
||
サーバ フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
リスト ヘッダーやすべてのカプセル化オペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
サーバ フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
リスト ヘッダーやすべてのカプセル化オペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックのバイト数。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
SMB フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
SMB フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
DHCP フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
DHCP フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
モバイル デバイス フィンガープリントで識別するフィンガープリント データを搬送するオペレーティング システム フィンガープリント データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
モバイル デバイス フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
IPv6 サーバ フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 サーバ フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
IPv6 クライアント フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 クライアント フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
IPv6 DHCP フィンガープリントで識別するフィンガープリント データを搬送するオペレーティング システム フィンガープリント データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 DHCP フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
ユーザ エージェント フィンガープリントで識別するフィンガープリント データを搬送するオペレーティング システム フィンガープリント データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ユーザ エージェント フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+を参照してください。 |
||
TCP サーバ データを伝えるサーバ データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバ データ ブロックを加えた値です。 |
||
TCP サーバを記述するホスト サーバ データ ブロック。このデータ ブロックの説明の詳細については、ホスト サーバ データ ブロック 4.10.0+を参照してください。 |
||
UDP サーバ データを伝えるサーバ データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバ データ ブロックを加えた値です。 |
||
UDP サーバを記述するホスト サーバ データ ブロック。このデータ ブロックの説明の詳細については、ホスト サーバ データ ブロック 4.10.0+を参照してください。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
ネットワーク プロトコルを記述するプロトコル データ ブロック。このデータ ブロックの説明の詳細については、プロトコル データ ブロックを参照してください。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
トランスポート プロトコルを記述するプロトコル データ ブロック。このデータ ブロックの説明の詳細については、プロトコル データ ブロックを参照してください。 |
||
ホスト MAC アドレスを記述するホスト MAC アドレス データ ブロック。このデータ ブロックの説明の詳細については、ホスト MAC アドレス 4.9+を参照してください。 |
||
文字列ブロック タイプ フィールドと長さフィールドの 8 バイトに、ホスト クライアント アプリケーション データのバイト数を加えた文字列データ ブロックのバイト数。 |
||
クライアント アプリケーション データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル クライアント アプリケーション データ ブロック 5.0+を参照してください。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む文字列データ ブロック内のバイト数と NetBIOS 名文字列のバイト数。 |
||
ユーザ製品データ ブロック 5.1+
ユーザ製品データ ブロックは、サードパーティ アプリケーション文字列マッピングを含む、サードパーティ アプリケーションからインポートされたホスト入力データを伝送します。このデータ ブロックはスキャン結果データ ブロック 5.2+とユーザ サーバ メッセージとオペレーティング システム メッセージで使用します。ユーザ製品データ ブロックのブロック タイプのブロック タイプは、4.7 ~ 4.10.1 のシリーズ 1 ブロック グループのブロック タイプ 65 と、4.10.2 ~ 5.0.x のブロック タイプ 118、そして 5.1+ のシリーズ 1 ブロック グループのブロック タイプ 134 です。ブロック タイプ 65 と 118 の構造は同じです。
コメント 次の図で、データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の表では、ユーザ製品データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ユーザ製品データ ブロックのバイトの合計数(ユーザ製品ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ製品データのバイト数を含む)。 |
||
データをインポートした送信元にマッピングするID 番号。送信元タイプによって、これは無応答(RNA)、ユーザ、スキャナ、またはサードパーティ アプリケーションにマッピングされます。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザ入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+ の IP アドレス範囲データ ブロックを参照してください。 |
||
IANA プロトコル番号、または Ethertype。扱いは、トランスポート層プロトコルとネットワーク層プロトコルでは異なります。 |
||
カスタム ベンダー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびベンダー名のバイト数を含む)。 |
||
カスタム製品文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および製品名のバイト数を含む)。 |
||
カスタム バージョン文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザ入力に指定したホスト サーバのアプリケーション プロトコルの Firepower システム アプリケーション識別子。 |
||
サードパーティ オペレーティング システムを Firepower システム OS 定義にマップしたときに指定したサードパーティ オペレーティング システムのベンダーの識別子。 |
||
サードパーティ オペレーティング システム文字列を Firepower システム OS 定義にマップしたときに指定したサードパーティ オペレーティング システム文字列の製品識別文字列。 |
||
ユーザ入力のサードパーティ オペレーティング システム文字列をマップする Firepower システム オペレーティング システム定義のメジャー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
サードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のメジャー バージョン。 |
||
サードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のマイナー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
マイナー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のマイナー バージョン番号。 |
||
ユーザ入力のサードパーティ オペレーティング システム文字列をマップする Firepower システム オペレーティング システム定義のリビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー用文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のリビジョン番号。 |
||
サードパーティ オペレーティング システム文字列をマップする Firepower システム オペレーティング システム定義の最新のメジャー バージョンを含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えた移行先メジャー文字列データ ブロックのバイト数。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のメジャー バージョン番号の範囲における最新のバージョン番号。 |
||
サードパーティ オペレーティング システム文字列をマップする Firepower システム オペレーティング システム定義の最新のマイナー バージョンを含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えたマイナー用文字列データ ブロックのバイト数。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のマイナー バージョン番号の範囲における最新のバージョン番号。 |
||
サードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義の最新のリビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにリビジョン番号のバイト数を加えたリビジョン用文字列データ ブロックのバイト数。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システム定義のリビジョン番号の範囲における最新のリビジョン番号。 |
||
サードパーティ OS 文字列をマップする Firepower システム オペレーティング システムのビルド番号を含む文字列データ ブロックを開始します。この値は常に |
||
ビルド文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびビルド番号のバイト数を含む)。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システムのビルド番号。 |
||
サードパーティ OS 文字列をマップする Firepower システム オペレーティング システムのパッチ番号を含む文字列データ ブロックを開始します。この値は常に |
||
パッチ文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびパッチ番号のバイト数を含む)。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システムのパッチ番号。 |
||
サードパーティ オペレーティング システム文字列をマップする Firepower システム OS の拡張番号を含む文字列データ ブロックを開始します。この値は常に |
||
拡張文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および拡張番号のバイト数を含む)。 |
||
ユーザ入力のサードパーティ OS 文字列をマップする Firepower システム オペレーティング システムの拡張番号。 |
||
ビルド文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびビルド番号のバイト数を含む)。 |
||
モバイル デバイスのオペレーティング システムがジェイルブレイクされているかどうかを示す true/false フラグ。 |
||
どの修正が特定の IP アドレス範囲内のホストに適用されているかに関するユーザ入力データを伝える修正リスト データ ブロックで構成される、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべての修正リスト データ ブロックを含む)。 |
||
ホストに適用された修正に関する情報を含む修正リスト データ ブロック。このデータ ブロックの説明の詳細については、フィックス リスト データ ブロックを参照してください。 |
ユーザ データ ブロック
ユーザ データ ブロックはユーザ イベント メッセージに表示されます。これらはシリーズ 1 データ ブロックのサブセットです。シリーズ 1 データ ブロックの一般的な形式については、ディスカバリ(シリーズ 1)ブロックを参照してください。
コメント ユーザ データ ブロック ヘッダーのデータ ブロック長フィールドには、2 つのデータ ブロック ヘッダー フィールドの 8 バイトを含む、そのデータ ブロックのバイト数を格納します。
次の表は、ユーザ イベント メッセージに表示される可能性のあるユーザ データ ブロックの一覧です。一覧のデータ ブロックはデータ ブロック タイプ別に分かれています。現在のデータ ブロックは最新バージョンです。レガシー ブロックはサポート対象ですが、Firepower システム の現行バージョンによる作成対象ではありません。
|
|
|
|
|
|---|---|---|---|
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 5.0 ~ 5.0.2を参照してください。バージョン 5.0 で導入したサクセサ ブロック タイプは、ブロック タイプ 73 と同じ構造ですが、そのフィールド内のデータは異なります。 |
|||
ユーザ アカウント情報の変更を格納します。詳細については、ユーザ アカウント更新メッセージ データ ブロックを参照してください。 |
|||
システムが検出したユーザの情報の変更を格納します。詳細については、ユーザ情報データ ブロック 5.xを参照してください。バージョン 6.0 で導入したサクセサ ブロックのブロック タイプは 158 です。 |
|||
システムが検出したユーザの情報の変更を格納します。詳細については、ユーザ情報データ ブロック 5.xを参照してください。ブロック タイプ 75 に置き換わります。これはブロック タイプ 158 に更新しました。 |
|||
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 5.0 ~ 5.0.2を参照してください。プロトコル フィールドの内容であるブロック 73 とは異なります。ここには、イベントで検出したアプリケーション プロトコル ID のバージョン 5.0 + アプリケーション ID を保存します。バージョン 5.1 で導入したサクセサ ブロックのブロック タイプは 127 です。 |
|||
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 5.1 ~ 5.4.xを参照してください。これはブロック タイプ 121 に置き換わります。6.0 で導入したサクセサ ブロックのブロック タイプは 159 です。 |
|||
侵害に関する情報を格納します。詳細については、5.3+ の IOC ステート データ ブロックを参照してください。 |
|||
システムが検出したユーザの情報の変更を格納します。詳細については、6.0+ の情報データ ユーザ ブロックを参照してください。ブロック タイプ 120 に置き換わります。 |
|||
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 6.0.xを参照してください。これはブロック タイプ 127 に置き換わります。 |
|||
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 6.1.xを参照してください。これはブロック タイプ 159 に置き換わります。これはブロック タイプ 167 に更新しました。 |
|||
システムによって検出された VPN セッションに関する情報が含まれています。詳細については、6.2+ の VPN セッション データ ブロックを参照してください。 |
|||
システムが検出したユーザのログイン情報の変更を格納します。詳細については、ユーザ ログイン情報データ ブロック 6.2+を参照してください。これはブロック タイプ 165 に置き換わります。 |
ユーザ アカウント更新メッセージ データ ブロック
ユーザ アカウント更新メッセージ データ ブロックは、更新に関する情報をユーザのアカウント情報に伝えます。
ユーザ アカウント 更新データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 74 です。
次の図は、ユーザ アカウント更新メッセージ データ ブロックの形式です。
次の表では、ユーザ アカウント更新メッセージ データ ブロックのコンポーネントについて説明します。
6.0+ の情報データ ユーザ ブロック
ユーザ情報データ ブロックはユーザ変更メッセージで使用され、検出、削除、またはドロップされたユーザの情報を伝えます。詳細については、ユーザ変更メッセージを参照してください。
ユーザ情報データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 158 です。ユーザ重要度データ ブロックには、新しいエンドポイント プロファイル フィールド、セキュリティ インテリジェンスフィールド、IPv6 フィールドがあります。
ユーザ情報データ ブロックのブロック タイプは、4.7 ~ 4.10.x のシリーズ 1 ブロック グループのブロック タイプ 75 と、5.x のシリーズ 1 ブロック グループのブロック タイプ 120 です。詳細については、ユーザ情報データ ブロック 5.xを参照してください。
次の表は、ユーザ情報データ ブロックのコンポーネントについての説明です。
6.2+ の VPN セッション データ ブロック
バージョン 6.2+ の VPN セッション データ ブロックには、シリーズ 1 グループのブロックのブロック タイプ 166 が含まれています。このデータ ブロックで VPN セッション情報を説明します。
次の図に、6.2+ の VPN セッション データ ブロックの形式を示します。
次の表に、VPN セッション データ ブロックのフィールドについての説明を示します。
ユーザ ログイン情報データ ブロック 6.2+
ユーザ ログイン情報データ ブロックは、ユーザ情報更新メッセージで使用され、検出されたユーザのログイン情報の変更を伝えます。詳細については、ユーザ情報更新メッセージ ブロックを参照してください。
バージョン 6.2+ では、ユーザ ログイン情報データ ブロックには、シリーズ 1 グループのブロック内にブロック タイプ 167 が含まれています。VPN サポート用の新しいフィールドがあります。これはブロック タイプ 165 に置き換わります。詳細については、ユーザ ログイン情報データ ブロック 6.1.xを参照してください。
次の図は、ユーザ ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザ ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ユーザ ログイン情報データ ブロックのバイトの合計数(ユーザ ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザ ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザ名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザ名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
説明文字列のデータ ブロック内のバイト数。これには、ブロック タイプ フィールドおよび長さフィールド用の 8 バイトと、説明フィールド内のバイト数が含まれます。 |
||
VPN セッション のデータ ブロック内のバイト数。これには、ブロック タイプ フィールドおよび長さフィールド用の 8 バイトと、VPN セッション データ ブロック内のバイト数が含まれます。 |
||
ログインを VPN セッションに関連付けた場合は、検出された VPN セッションに関する情報。VPN セッションが存在するときのみ使用されます。 |
ディスカバリ/接続イベント シリーズ 2 データ ブロック
次の表では、データ ブロック ステータス フィールドは、ブロックが現在(最新バージョン)とレガ シー(旧バージョンで使用したもので、現在も eStreamer で要求可能)のいずれであるかを示します。
|
|
|
|
|
|---|---|---|---|
アクセス コントロール ルールのメタデータ メッセージが、ポリシー UUID 値とルール ID 値を記述文字列にマップするときに使用します。アクセス コントロール ルール データ ブロックを参照してください。 |
|||
アクセス コントロール ルールのメタデータ メッセージが、アクセス コントロール ルール理由を記述文字列にマップするときに使用します。アクセス コントロール ルール理由データ ブロック 5.1+を参照してください。 |
|||
セキュリティ インテリジェンス情報の保存に使用します。セキュリティ インテリジェンス カテゴリ データ ブロック 5.1+を参照してください。 |
|||
ユーザ レコード メタデータ メッセージが、ユーザを検出したユーザ ID 番号、プロトコル、そしてユーザ名を提供するために使用します。ユーザ データ ブロックを参照してください。 |
アクセス コントロール ルール データ ブロック
eStreamer サービスは、アクセス コントロール ルールのメタデータ メッセージでアクセス コントロール ルール データ ブロックを使用し、ポリシー UUID とルール ID を組み合わせて、記述文字列にマップします。アクセス コントロール ルール データ ブロックのブロック タイプは、シリーズ 2 ブロック グループのブロック タイプ 15 です。
次の図は、アクセス コントロール ルール データ ブロックの構造です。
次の表では、アクセス コントロール ルール データ ブロックのフィールドについて説明します。
アクセス コントロール ルール理由データ ブロック 5.1+
eStreamer サービスでは、アクセス コントロール ルール理由データ ブロックをアクセス コントロール ルール理由メタデータ メッセージで使用して、アクセス制御原因を記述文字列にマッピングします。アクセス コントロール ルール理由データ ブロックのブロック タイプは、シリーズ 2 ブロック グループのブロック タイプ 21 です。
次の図は、アクセス コントロール ルール理由データ ブロックの構造です。
次の表では、アクセス コントロール ルール理由データ ブロックのフィールドについて説明します。
セキュリティ インテリジェンス カテゴリ データ ブロック 5.1+
eStreamer サービスは、アクセス コントロール ルール メタデータ メッセージのセキュリティ インテリジェンス カテゴリ データ ブロックで、セキュリティ インテリジェンス情報をストリーミングします。セキュリティ インテリジェンス カテゴリ データ ブロックのブロック タイプは、シリーズ 2 ブロック グループのブロック タイプ 22 です。
次の図は、セキュリティ インテリジェンス カテゴリ データ ブロックの構造です。
次の表では、セキュリティ インテリジェンス カテゴリ データ ブロックのフィールドについて説明します。
ユーザ データ ブロック
eStreamer サービスは、ユーザ レコード メタデータ メッセージのユーザデータ ブロックで、ユーザ ID 番号、ユーザを検出したプロトコル、そしてユーザ名を提供します。ユーザ データ ブロックのブロック タイプは、シリーズ 2 ブロック グループのブロック タイプ 57 です。
次の表では、ユーザ データ ブロックのフィールドについて説明します。
|
|
|
|
|---|---|---|
ユーザ ブロック タイプ フィールドと長さフィールドの 8 バイトに、後続のデータのバイト数を加えたユーザ ブロックの合計バイト数。 |
||
ブロック タイプ フィールドとヘッダー フィールドの 8 バイトにユーザ名フィールドのバイト数を加えたユーザ名文字列データ ブロックのバイト数。 |
||
アクセス コントロール ポリシー メタデータ ブロック 6.0+
eStreamer サービスはアクセス制御ポリシー メタデータ メッセージのアクセス制御ポリシー メタデータ データ ブロックでアクセス制御情報を提供します。アクセス コントロール ルール ポリシー メタデータ ブロックのブロック タイプは、シリーズ 2 ブロック グループのブロック タイプ 64 です。
次の図は、アクセス コントロール ポリシー メタデータ ブロックの構造です。
次の表では、アクセス コントロール ポリシー データ ブロックのフィールドについて説明します。
フィードバック