- レガシー侵入データ構造
- レガシー マルウェア イベントのデータ構造
- レガシー ディスカバリ データ構造
レガシー データ構造の概要
この付録には、旧バージョンの Cisco Secure Firewall システム 製品の eStreamer によってサポートされるデータ構造に関する情報を記載しています。
クライアントが、旧バージョン形式でデータを要求するようにビットが設定されているイベント ストリーム要求を使用する場合、この付録の情報を使用して、受け取るデータ メッセージのデータ構造を識別できます。
バージョン 5.0 より前は、検出エンジンに個別に ID が割り当てられていたことに注意してください。バージョン 5.0 では、デバイスに ID が割り当てられます。この点は、バージョンに基づいてデータ構造に反映されます。
(注
) この付録では、Cisco Secure Firewall システム のバージョン 4.9 以降からのデータ構造のみを説明します。以前のデータ構造バージョンによる構造向けの資料が必要な場合は、Cisco カスタマー サポートにお問い合わせください。
レガシー侵入データ構造
- 侵入イベント(IPv4)レコード 5.0.x ~ 5.1
- 侵入イベント(IPv6)レコード 5.0.x ~ 5.1
- 侵入イベント レコード 5.2.x
- 侵入イベント レコード 5.3
- 侵入イベント レコード 5.1.1.x
- 侵入イベント レコード 5.3.1
- 侵入イベント レコード 5.4.x
- 侵入イベント レコード 6.x
- 侵入イベント レコード 7.0
- 侵入影響アラート データ
- 侵入イベント追加データレコード
- 侵入イベント追加データのメタデータ
侵入イベント(IPv4)レコード 5.0.x ~ 5.1
侵入イベント(IPv4)レコードのフィールドは、次の図では網掛けされています。レコードの種類は 207 です。
侵入イベント レコードは、要求メッセージに侵入イベント フラグまたは拡張要求フラグを設定して要求します。要求フラグおよび拡張要求の送信を参照してください。
バージョン 5.0.x ~ 5.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベント(IPv6)レコード 5.0.x ~ 5.1
侵入イベント(IPv6)レコードのフィールドは、次の図では網掛けされています。レコードの種類は 208 です。
侵入イベント レコードは、要求メッセージに侵入イベント フラグまたは拡張要求フラグを設定して要求します。要求フラグおよび拡張要求の送信を参照してください。
バージョン 5.0.x ~ 5.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
検出デバイスの ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号。プロトコル タイプが ICMP である場合、これは ICMP タイプを示します。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号。プロトコル タイプが ICMP である場合、これは ICMP コードを示します。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベント レコード 5.2.x
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 34 です。
eStreamer からの 5.2.x 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 5 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.2.x の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコード 5.3
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはデータ ブロックのシリーズ 2 セットの 41 です。
eStreamer からの 5.3 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 6 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.3 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコード 5.1.1.x
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 で、ブロック タイプは 25 です。
eStreamer からの 5.1.1 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 4 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.1.1.x の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
侵入イベント レコード 5.3.1
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 42 です。
eStreamer からの 5.3.1 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 7 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
バージョン 5.3.1 の侵入イベントの場合、イベント ID、管理対象デバイス ID、イベント秒により固有識別子が形成されます。接続の秒、接続インスタンス、および接続数カウンタは、侵入イベントに関連付けられた接続イベントの、1 つの固有識別子を形成します。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
侵入イベント レコード 5.4.x
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 であり、ブロック タイプはシリーズ 2 セットのデータ ブロックの 45 です。これはブロック タイプ 42 に取って代わり、ブロック タイプ 60 により取って代わられます。SSL サポート用およびネットワーク分析ポリシー用のフィールドが追加されました。
eStreamer からの 5.4.x 侵入イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 12 およびバージョン 8 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
侵入イベント レコード 6.x
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコード タイプは 400 で、ブロック タイプはシリーズ 2 セットのデータ ブロックの 60 です。これはブロックタイプ 45 に取って代わり、7.0 ではブロックタイプ 81 により取って代わられます。HTTP レスポンス フィールドが追加されました。
ストリーム要求メッセージでイベントタイプコード 12 とバージョンコード 9 を要求する拡張要求によってのみ、eStreamer から 6.x の侵入イベントを要求できます(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Management Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
侵入イベント レコード 7.0
侵入イベント レコードのフィールドは、次の図で網掛けされています。レコードタイプは 400 であり、ブロックタイプはデータブロックのシリーズ 2 セットの 81 です。これはブロックタイプ 60 に取って代わり、ブロックタイプ 85 により取って代わられます。インライン結果の理由、入力および出力仮想ルート転送、および Snort バージョンのフィールドが追加されました。ブロックフィールドの名前がインライン結果に変更されました。
ストリーム要求メッセージでイベントタイプコード 12 とバージョンコード 10 を要求する拡張要求によってのみ、eStreamer から 7.0 の侵入イベントを要求できます(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。
次の表は、各侵入イベント レコード データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入イベント データ ブロックのバイトの合計数(侵入イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
管理対象デバイスの検出の ID 番号が含まれます。バージョン 3 または 4 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベント プロトコル タイプが TCP または UDP の場合は送信元ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のタイプ。 |
||
イベント プロトコル タイプが TCP または UDP の場合は宛先ポート番号、またはイベントが ICMP トラフィックによって引き起こされた場合は ICMP のコード。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Management Center の特定の優先順位にマップされます。 |
||
侵入イベントに関連付けられている接続イベントの UNIX タイムスタンプ(1970 年 1 月 1 日からの経過秒数)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
名前の文字列データブロックのバイト数。ブロックタイプとヘッダーフィールドの 8 バイト、および入力 VRF 名フィールドのバイト数が含まれています。 |
||
名前の文字列データブロックのバイト数。ブロックタイプとヘッダーフィールドの 8 バイト、および出力 VRF 名フィールドのバイト数が含まれています。 |
||
侵入影響アラート データ
侵入影響アラート イベントには、影響イベントに関する情報が含まれます。これは、侵入イベントがシステム ネットワーク マップ データと比較され、影響が判別されているときに送信されます。これはレコード タイプ 9 の標準レコード ヘッダーを使用し、シリーズ 1 グループのブロックの、データ ブロック タイプが 20 である侵入影響アラート データ ブロックが続きます。(影響アラート データ ブロック タイプは、シリーズ 1 データ ブロックです。シリーズ 1 データ ブロックの詳細については、ディスカバリ(シリーズ1)ブロックを参照してください。)
要求メッセージのフラグ フィールドにビット 5 を設定することで、eStreamer が侵入の影響イベントを送信するように要求できます。要求メッセージの詳細については、イベント ストリーム要求メッセージの形式を参照してください。これらのアラートのバージョン 1 は、IPv4 のみを処理します。5.3 で導入されたバージョン 2 は、IPv4 に加えて IPv6 イベントを処理します。
次の表は、影響イベントの各データ フィールドについての説明です。
|
|
|
|
|---|---|---|
侵入影響アラート データ ブロックが続くことを示します。このフィールドの値は、常に |
||
侵入の影響アラートのブロック タイプの長さを示します。後続のすべてのデータ、および侵入の影響アラートのブロック タイプと長さの 8 バイトを含みます。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
IP アドレス オクテットの、影響イベントに関連付けられている宛先 IP アドレスの IP アドレス(該当する場合)。宛先 IP アドレスがない場合、この値は |
||
影響名を含む文字列データのブロックを開始します。この値は常に |
||
イベント説明文字列ブロックのバイト数。これには文字列ブロック タイプ用の 4 バイト、文字列ブロック長用の 4 バイト、および説明のバイト数が含まれます。 |
||
侵入イベント追加データレコード
eStreamer サービスは、侵入イベント追加データ レコードの侵入イベントに関連付けられたイベント追加データを送信します。レコード タイプは常に 110 です。
このレコードは、バージョン 7.1 で廃止されました。引き続き要求はできますが、レコードは生成されません。
イベント追加データは、カプセル化されたイベント追加データのデータ ブロックに表示されます。データ ブロック タイプの値は常に 4 です。(イベント追加データのデータ ブロックは、シリーズ 2 のデータ ブロックです。シリーズ 2 のデータ ブロックの詳細については、シリーズ 2 のデータ ブロックの概要を参照してください)。
サポートされる追加データのタイプには、IPv6 の送信元と宛先のアドレスに加えて、HTTP プロキシやロード バランサ経由で Web サーバーに接続しているクライアントの発信元 IP アドレス(v4 または v6)が含まれています。次の図に、侵入イベント追加データ レコードの形式を示します。
要求メッセージの [要求フラグ(Request Flags)] フィールドにビット 27 を設定すると、各侵入イベントのイベント追加データを受信します。ビット 20 を設定すると、侵入イベント追加データのメタデータに記載されているイベント追加データのメタデータも受信されます。ビット 23 を有効にすると、eStreamer は拡張イベント ヘッダーを表示します。要求フラグの設定方法の詳細については、要求フラグを参照してください。
イベント追加データのブロック構造には、Cisco Secure Firewall システム のバージョン 4.10 で導入された複数の可変長データ構造の 1 つである BLOB ブロック タイプが含まれることに注意してください。
次の表は、侵入イベント追加データ レコードのフィールドについての説明です。
|
|
|
|
|---|---|---|
イベント追加データのデータ ブロックを開始します。この値は常に |
||
データ ブロックの長さ。データのバイト数に 2 つのデータ ブロック ヘッダー フィールドの 8 バイトを加えたバイト数です。 |
||
追加データを含む BLOB データ ブロックを開始します。この値は常に |
||
侵入イベント追加データのメタデータ
eStreamer サービスは、侵入イベント追加データのメタデータ レコードの侵入イベント追加データ レコードに関連付けられたイベント追加データのメタデータを送信します。レコード タイプは常に 111 です。
このレコードは、バージョン 7.1 で廃止されました。引き続き要求はできますが、レコードは生成されません。
イベント追加データのメタデータは、カプセル化されたイベント追加データのメタデータのデータ ブロックに表示されます。データ ブロック タイプの値は常に 5 です。イベント追加データのデータ ブロックは、シリーズ 2 のデータ ブロックです。
要求メッセージの [要求フラグ(Request Flags)] フィールドにビット 20 を設定すると、イベント追加データのメタデータを受信します。侵入イベントおよびイベント追加データのメタデータのどちらも受信するには、ビット 2 も設定する必要があります。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
ブロック構造には、Cisco Secure Firewall システム バージョン 4.10 で導入された複数のシリーズ 2 の可変長データ構造の 1 つであるカプセル化された文字列ブロック タイプが含まれることに注意してください。
次の表は、イベント追加データのメタデータのレコードのフィールドについての説明です。
レガシー マルウェア イベントのデータ構造
- マルウェア イベントのデータ ブロック 5.1
- マルウェア イベント データ ブロック 5.1.1.x
- マルウェア イベント データ ブロック 5.2.x
- マルウェア イベントのデータ ブロック 5.3
- マルウェア イベント データ ブロック 5.3.1
- マルウェア イベント データ ブロック 5.4.x
- マルウェア イベント データ ブロック 6.x
マルウェア イベントのデータ ブロック 5.1
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 16 です。マルウェア イベント レコードの一部としてイベントを要求するには、イベント バージョン 1 およびイベント コード 101 の要求メッセージ内に、マルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
マルウェア イベント データ ブロック 5.1.1.x
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 24 です。マルウェア イベント レコードの一部として、イベント バージョン 2 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
マルウェア イベント データ ブロック 5.2.x
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 33 です。マルウェア イベント レコードの一部として、イベント バージョン 3 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
マルウェア イベントのデータ ブロック 5.3
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 35 です。マルウェア イベント レコードの一部として、イベント バージョン 4 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザー文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザー フィールドのバイト数を含む)。 |
||
Cisco Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザー。これらのユーザーはユーザー ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
マルウェア イベント データ ブロック 5.3.1
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 44 です。これはブロック 35 に取って代わります。マルウェア イベント レコードの一部として、イベント バージョン 5 およびイベント コード 101 の要求メッセージ内にマルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定して、イベントを要求します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
マルウェア イベントの発生元 Cisco Advanced Malware Protection クラウド の、内部の固有 ID。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザー文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザー フィールドのバイト数を含む)。 |
||
Cisco Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザー。これらのユーザーはユーザー ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
マルウェア イベント データ ブロック 5.4.x
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベント データ ブロックのブロック タイプは、シリーズ 2 グループの 47 です。これはブロック 44 に取って代わり、ブロックによって取って代わられます。SSL とファイル アーカイブ サポート用のフィールドが追加されました。
マルウェア イベント レコードの一部としてイベントを要求するには、イベント バージョン 6 およびイベント コード 101 の要求メッセージ内に、マルウェア イベント フラグ(要求フラグ フィールドのビット 30)を設定します。
次の図は、マルウェア イベント データ ブロックの構造を示しています。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
マルウェア イベントの発生元 Cisco Advanced Malware Protection クラウド の、内部の固有 ID。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザー文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザー フィールドのバイト数を含む)。 |
||
Cisco Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザー。これらのユーザーはユーザー ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
アーカイブ SHA 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および侵入ポリシー名のバイト数を含む)。 |
||
アーカイブ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびアーカイブ名のバイト数を含む)。 |
||
ファイルがネストされている層の数。たとえば、テキスト ファイルが zip アーカイブ内にある場合、この値は |
マルウェア イベント データ ブロック 6.x
eStreamer サービスは、マルウェア イベントに関する情報を保存するために、マルウェア イベント データ ブロックを使用します。これらのイベントには、クラウド内で検出または検疫されたマルウェア、検出方法、マルウェアの影響を受けるホストとユーザーに関する情報が含まれています。マルウェア イベントのデータ ブロックは、シリーズ 2 グループのブロックのブロック タイプ 62 です。これはブロック 47 に取って代わります。HTTP レスポンスのフィールドが追加されました。これはブロック 80 により取って代わられます。
イベント バージョンが 7 でイベント コードが 101 の要求メッセージでマルウェア イベント フラグ([要求フラグ(Request Flags)] フィールドのビット 30)を設定することで、マルウェア イベント レコードの一部としてイベントを要求します。
次の図に、マルウェア イベントのデータ ブロックの構造を示します。
| アクセス コントロール ポリシー UUID(続き) |
||||||||||||||||||||||||||||||||
次の表は、マルウェア イベントのデータ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
マルウェア イベント データ ブロックのバイトの合計数(マルウェア イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
検出名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および検出名フィールドのバイト数を含む)。 |
||
ユーザー文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびユーザー フィールドのバイト数を含む)。 |
||
Cisco Agent がインストールされ、マルウェア イベントが発生したコンピュータのユーザー。これらのユーザーはユーザー ディスカバリには関係ないことに注意してください。 |
||
ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル名フィールドのバイト数を含む)。 |
||
ファイル パス文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル パス フィールドのバイト数を含む)。 |
||
ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
検出または検疫されたファイルのファイル タイプ。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
親ファイル名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル名フィールドのバイト数を含む)。 |
||
親ファイル SHA ハッシュ文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および親ファイル SHA ハッシュ フィールドのバイト数を含む)。 |
||
イベントの説明文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびイベントの説明フィールドのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または IDS イベントとイベントをリンクするために使用されます。 |
||
特性が更新されている場合のファイルの特性。特性が更新されていない場合、このフィールドには特性フィールドと同じ値が格納されます。有効な値は、特性フィールドと同じです。 |
||
URI 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および URI フィールドのバイト数を含む)。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
アーカイブ SHA 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および侵入ポリシー名のバイト数を含む)。 |
||
アーカイブ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびアーカイブ名のバイト数を含む)。 |
||
ファイルがネストされている層の数。たとえば、テキスト ファイルが zip アーカイブ内にある場合、この値は |
||
レガシー ディスカバリ データ構造
- レガシー ディスカバリ イベント ヘッダー
- レガシー サーバー データ ブロック
- レガシー クライアント アプリケーション データ ブロック
- レガシー スキャン結果データ ブロック
- レガシー ホスト プロファイル データ ブロック
- レガシー OS フィンガープリント データ ブロック
レガシー ディスカバリ イベント ヘッダー
ディスカバリ イベント ヘッダー 5.0 ~ 5.1.1.x
ディスカバリ イベントおよび接続イベントのメッセージには、ディスカバリ イベント ヘッダーが含まれます。これは、イベントのタイプおよびサブタイプ、イベントが発生した時刻、イベントが発生したデバイス、およびメッセージ内のイベント データの構造を伝えます。このヘッダーには、実際のホスト ディスカバリ、ユーザー、または接続イベントのデータが続きます。さまざまなイベントのタイプ/サブタイプ値に関連付けられる構造の詳細については、イベント タイプ別ホスト ディスカバリ構造で説明します。
ディスカバリ イベント ヘッダーのイベント タイプ フィールドおよびイベント サブタイプ フィールドは、送信されたイベント メッセージの構造を示します。イベント データ ブロックの構造が一度判別されたら、プログラムはメッセージを適切に解析できます。
次の図の網掛けされた行は、ディスカバリ イベント ヘッダーの形式を例示しています。
次の表は、ディスカバリ イベント ヘッダーについての説明です。
|
|
|
|
|---|---|---|
ディスカバリ イベントを生成したデバイスの ID 番号。バージョン 3 および 4 のメタデータを要求すると、デバイスのメタデータを入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベントのタイプ(新規イベントの場合は |
||
イベント サブタイプ。使用可能なイベント サブタイプの一覧の詳細については、イベント タイプ別ホスト ディスカバリ構造を参照してください。 |
||
シリアル ファイル内のイベントの位置。このフィールドは、Cisco の内部使用のためのものであり、無視してかまいません。 |
レガシー サーバー データ ブロック
属性アドレス データ ブロック 5.0 ~ 5.1.1.x
属性アドレス ブロック データは、属性リスト項目が含まれ、属性定義データ ブロック内で使用されます。これはブロック タイプ 38 です。
次の表は、属性アドレス データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
属性アドレス データ ブロックのバイト数(属性アドレス ブロック タイプと長さ用の 8 バイト、およびそれに続く属性アドレス データのバイト数を含む)。 |
||
レガシー クライアント アプリケーション データ ブロック
ユーザー クライアント アプリケーション データ ブロック 5.0 ~ 5.1
ユーザー クライアント アプリケーション データ ブロックには、クライアント アプリケーション データの送信元に関する情報、データを追加したユーザーの ID 番号、および IP アドレス範囲データ ブロックのリストが含まれます。ユーザー クライアント アプリケーション データ ブロックのブロック タイプは 59 です。
次の図は、ユーザー クライアント アプリケーション データ ブロックの基本構造を示しています。
次の表は、ユーザー クライアント アプリケーション データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ユーザー クライアント アプリケーション データ ブロックのバイトの合計数(ユーザー クライアント アプリケーション ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー クライアント アプリケーション データのバイト数を含む)。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザー入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、ユーザー サーバー データ ブロックのフィールド を参照してください。 |
||
クライアント アプリケーション バージョン文字列データ ブロックのバイト数(文字列ブロック タイプと長さのフィールド、およびバージョンのバイト数を含む)。 |
||
レガシー スキャン結果データ ブロック
スキャン結果データ ブロック 5.0 ~ 5.1.1.x
スキャン結果データ ブロックは、脆弱性を説明し、スキャン結果追加イベント内で使用されます(イベント タイプ 1002、サブタイプ 11)。スキャン結果データ ブロックのブロック タイプは 102 です。
次の図は、スキャン結果データ ブロックの形式を示しています。
次の表は、スキャン結果データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
スキャン結果をインポートしたユーザー、またはスキャン結果を生成したスキャンを実行したユーザーのユーザー ID 番号が含まれます。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン脆弱性データ ブロックのバイト数(接続統計ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン脆弱性データのバイト数を含む)。 |
||
トランスポート スキャン脆弱性データを伝えるスキャン脆弱性データ ブロックで構成されるリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数には、リスト ブロック タイプと長さのフィールド用の 8 バイトと、カプセル化されたすべてのスキャン脆弱性データ ブロックが含まれています。 |
||
スキャン中に検出されたサーバーおよびオペレーティング システムを記述する汎用スキャン結果データ ブロックを開始します。この値は常に 108 です。 |
||
汎用スキャン結果データ ブロックのバイト数(汎用スキャン結果ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くスキャン結果データのバイト数を含む)。 |
||
サード パーティ アプリケーションからのホスト入力データを伝えるユーザー製品データ ブロックを構成する、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのユーザー製品データ ブロックを含む)。 |
||
ホスト入力データを含むユーザー製品データ ブロック。このデータ ブロックの説明の詳細については、ユーザー製品データ ブロック 5.1+ を参照してください。 |
ユーザー製品データ ブロック 5.0.x
ユーザー製品データ ブロックは、サード パーティ アプリケーション文字列マッピングを含む、サード パーティ アプリケーションからインポートされたホスト入力データを伝えます。このデータ ブロックは 接続統計データ ブロック 6.0.x と ユーザー サーバー メッセージとオペレーティング システム メッセージ で使用します。ユーザー製品データ ブロックは、4.10.x の場合はブロック タイプ 65、5.0 ~ 5.0.x の場合はブロック タイプ 118 です。それぞれのブロック タイプは同じ構造を持ちます。
(注) 次の図で、データ ブロック名の横のアスタリスク(*)は、データ ブロックの複数のインスタンスが発生する可能性があることを示します。
次の図は、ユーザー製品データ ブロックの形式を示しています。
次の表では、ユーザー製品データ ブロックのコンポーネントについて説明します。
|
|
|
|
|---|---|---|
ユーザー製品データ ブロックを開始します。この値はバージョン 4.10.x の場合は |
||
ユーザー製品データ ブロックのバイトの合計数(ユーザー製品ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー製品データのバイト数を含む)。 |
||
IP アドレス範囲データを伝える IP 範囲仕様データ ブロック* で構成された汎用リスト データ ブロックを開始します。この値は常に |
||
リスト ヘッダーとカプセル化されたすべての IP 範囲仕様データ ブロック* を含む汎用リスト データ ブロックのバイト数。 |
||
ユーザー入力の IP アドレス範囲に関する情報を含む IP 範囲仕様データ ブロック。このデータ ブロックの説明の詳細については、5.2+の IP アドレス範囲データ ブロック を参照してください。 |
||
カスタム ベンダー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびベンダー名のバイト数を含む)。 |
||
カスタム製品文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および製品名のバイト数を含む)。 |
||
カスタム バージョン文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
サード パーティ オペレーティング システムが Cisco 3D オペレーティング システム定義にマップされるときに指定される、サード パーティ オペレーティング システムのベンダーの ID。 |
||
サード パーティ オペレーティング システム文字列が Cisco 3D オペレーティング システム定義にマップされるときに指定される、サード パーティ オペレーティング システム文字列の製品 ID 文字列。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のメジャー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のメジャー バージョン。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のマイナー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
マイナー文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のマイナー バージョン。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco オペレーティング システム定義のリビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
メジャー用文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびバージョンのバイト数を含む)。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のリビジョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義の最終メジャー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えた移行先メジャー文字列データ ブロックのバイト数。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のメジャー バージョン番号の範囲内にある、最終バージョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義の最終マイナー バージョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにバージョンのバイト数を加えたマイナー用文字列データ ブロックのバイト数。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のマイナー バージョン番号の範囲内にある、最終バージョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義の最終リビジョン番号を含む文字列データ ブロックを開始します。この値は常に |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにリビジョン番号のバイト数を加えたリビジョン用文字列データ ブロックのバイト数。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システム定義のリビジョン番号の範囲内にある、最終リビジョン番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムのビルド番号を含む文字列データ ブロックを開始します。この値は常に |
||
ビルド文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびビルド番号のバイト数を含む)。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムのビルド番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムのパッチ番号を含む文字列データ ブロックを開始します。この値は常に |
||
パッチ文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびパッチ番号のバイト数を含む)。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムのパッチ番号。 |
||
サード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムの拡張番号を含む文字列データ ブロックを開始します。この値は常に |
||
拡張文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、および拡張番号のバイト数を含む)。 |
||
ユーザー入力内のサード パーティ オペレーティング システム文字列がマップされる Cisco 3D オペレーティング システムの拡張番号。 |
||
どの修正が特定の IP アドレス範囲内のホストに適用されているかに関するユーザー入力データを伝える修正リスト データ ブロックで構成される、汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべての修正リスト データ ブロックを含む)。 |
||
ホストに適用された修正に関する情報を含む修正リスト データ ブロック。このデータ ブロックの説明の詳細については、フィックス リスト データ ブロック を参照してください。 |
レガシー ユーザー ログイン データ ブロック
ユーザー ログイン情報データ ブロック 5.0 ~ 5.0.2
ユーザー ログイン情報データ ブロックは、ユーザー情報更新メッセージで使用され、検出されたユーザーのログイン情報の変更を伝えます。詳細については、ユーザー情報更新メッセージ ブロックを参照してください。
ユーザー ログイン情報データ ブロックは、バージョン 5.0 ~ 5.0.2 の場合は、ブロック タイプ 121 です。
次の図は、ユーザー ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザー ログイン情報データ ブロックのコンポーネントについての説明です。
ユーザー ログイン情報データ ブロック 5.1 ~ 5.4.x
ユーザー ログイン情報データ ブロックは、ユーザー情報更新メッセージで使用され、検出されたユーザーのログイン情報の変更を伝えます。詳細については、ユーザー アカウント更新メッセージ データ ブロックを参照してください。
ユーザー ログイン情報データ ブロックは、バージョン 4.7 ~ 4.10.x の場合はブロック タイプ 73、バージョン 5.0 ~ 5.0.2 の場合はシリーズ 1 グループのブロックのブロック タイプ 121、バージョン 5.1 ~ 5.4.x の場合はシリーズ 1 グループのブロックのブロック タイプ 127 です。
次の図は、ユーザー ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザー ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ユーザー ログイン情報データ ブロックのバイトの合計数(ユーザー ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザー名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザー名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザー ログイン情報データ ブロック 6.0.x
ユーザー ログイン情報データ ブロックは、ユーザー情報更新メッセージで使用され、検出されたユーザーのログイン情報の変更を伝えます。詳細については、ユーザー アカウント更新メッセージ データ ブロックを参照してください。
ユーザー ログイン情報データ ブロックは、バージョン 6.0.x の場合は、ブロック タイプ 159 です。これには新しい ISE 統合エンドポイント プロファイル、セキュリティ インテリジェンスのフィールドがあります。
ユーザー ログイン情報データ ブロックは、バージョン 4.7 ~ 4.10.x の場合はブロック タイプ 73、バージョン 5.0 ~ 5.0.2 の場合はシリーズ 1 グループのブロックのブロック タイプ 121、バージョン 5.1+ の場合はシリーズ 1 グループのブロックのデータ タイプ 127 です。詳細については、ユーザー ログイン情報データ ブロック 5.1 ~ 5.4.xを参照してください。
次の図は、ユーザー ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザー ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ユーザー ログイン情報データ ブロックのバイトの合計数(ユーザー ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザー名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザー名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザー名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザー ログイン情報データ ブロック 6.1.x
バージョン 6.1+ では、ユーザー ログイン情報データ ブロックには、シリーズ 1 グループのブロック内にブロック タイプ 165 が含まれています。ここには新しいポート フィールドとトンネリング フィールドがあります。これはブロック タイプ 159 に置き換わります。詳細については、ユーザー ログイン情報データ ブロック 6.0.xを参照してください。これはブロック タイプ 167 に更新しました。
次の図は、ユーザー ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザー ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ユーザー ログイン情報データ ブロックのバイトの合計数(ユーザー ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザー名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザー名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザー名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザー ログイン情報データ ブロック 6.1.x
ユーザー ログイン情報データ ブロックは、ユーザー情報更新メッセージで使用され、検出されたユーザーのログイン情報の変更を伝えます。詳細については、ユーザー情報更新メッセージ ブロックを参照してください。
バージョン 6.1x では、ユーザー ログイン情報データ ブロックには、シリーズ 1 グループのブロック内にブロック タイプ 165 が含まれています。ここには新しいポート フィールドとトンネリング フィールドがあります。これはブロック タイプ 159 に置き換わります。これはブロック タイプ 167 に更新しました。詳細については、ユーザー ログイン情報データ ブロック 6.0.xを参照してください。
次の図は、ユーザー ログイン情報データ ブロックの形式を示しています。
次の表は、ユーザー ログイン情報データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ユーザー ログイン情報データ ブロックのバイトの合計数(ユーザー ログイン情報ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くユーザー ログイン情報データのバイト数を含む)。 |
||
このフィールドは予約済みですが、設定されておりません。IPv4 アドレスは IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
ユーザー名文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびユーザー名のバイト数を含む)。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトにドメインのバイト数を加えたユーザー名文字列データ ブロックのバイト数。 |
||
接続エンドポイントが使用するデバイスのタイプの ID 番号。この番号は DC ごとに固有であり、メタデータで解決します。 |
||
ブロック タイプ フィールドと長さフィールドの 8 バイトに電子メール アドレスのバイト数を加えた電子メール アドレス文字列データ ブロックのバイト数。 |
||
レポート基準文字列データ ブロックのバイト数(ブロック タイプと長さのフィールド用の 8 バイト、およびレポート基準フィールドのバイト数を含む)。 |
||
ユーザー情報データ ブロック 5.x
ユーザー情報データ ブロックはユーザー変更メッセージで使用され、検出、削除、またはドロップされたユーザーの情報を伝えます。詳細については、ユーザー変更メッセージを参照してください。
ユーザー情報データ ブロックのブロック タイプは、4.7 ~ 4.10.x のシリーズ 1 ブロック グループのブロック タイプ 75 と、5.x のシリーズ 1 ブロック グループのブロック タイプ 120 です。構成は、ブロック タイプ 75 と 120 で同じです。
次の図は、ユーザー情報データ ブロックの形式を示しています。
次の表は、ユーザー情報データ ブロックのコンポーネントについての説明です。
レガシー ホスト プロファイル データ ブロック
ホスト プロファイル データ ブロック 5.0 ~ 5.0.2
次の図は、ホスト プロファイル データ ブロックのバージョン 5.0 ~ 5.0.2 の形式を示しています。さらに、ホスト プロファイル データ ブロックには、ホスト重要度値が含まれていませんが、VLAN のプレゼンス インジケータは含まれています。さらに、ホスト プロファイル データ ブロックは、ホストの NetBIOS 名を伝えることができます。ホスト プロファイル データ ブロックのブロック タイプは 91 です。
(注) 次の図のブロック タイプ フィールドの横のアスタリスク(*)は、メッセージにシリーズ 1 データ ブロックのゼロ以上のインスタンスが含まれる可能性があることを示しています。
次の表は、バージョン 4.9 ~ 5.0.2 により返されるホスト プロファイル データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ホスト プロファイル データ ブロック 4.9 ~ 5.0.2 を開始します。このデータ ブロックのブロック タイプは |
||
ホスト プロファイル データ ブロックのバイト数(ホスト プロファイル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト プロファイル データに含まれるバイト数を含む)。 |
||
サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2 を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に 31 です。 |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2 を参照してください。 |
||
SMB フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
SMB フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2 を参照してください。 |
||
DHCP フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
DHCP フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2 を参照してください。 |
||
TCP サーバー データを伝えるサーバー データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバー データ ブロックを加えた値です。 |
||
サーバー データ ブロックのバイト数(サーバー ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く TCP サーバー データのバイト数を含む)。 |
||
UDP サーバー データを伝えるサーバー データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバー データ ブロックを加えた値です。 |
||
サーバー データ ブロックのバイト数(サーバー ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く UDP サーバー データのバイト数を含む)。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
プロトコル データ ブロックのバイト数(プロトコル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くプロトコル データのバイト数を含む)。 |
||
ネットワーク プロトコル数が含まれるデータ フィールド(プロトコル データ ブロックで説明)。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
プロトコル データ ブロックのバイト数(プロトコル ブロック タイプと長さ用の 8 バイト、およびそれに続くプロトコル データのバイト数を含む)。 |
||
トランスポート プロトコル数が含まれるデータ フィールド(プロトコル データ ブロックで説明)。 |
||
ホスト MAC アドレス データ ブロックのバイト数(ホスト MAC アドレス ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト MAC アドレス データのバイト数を含む)。 |
||
ホスト MAC アドレス データ フィールド(ホスト MAC アドレス 4.9+で説明)。 |
||
クライアント アプリケーション データを伝えるクライアント アプリケーション データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのクライアント アプリケーション データ ブロックを含む)。 |
||
クライアント アプリケーション ブロックのバイト数(クライアント アプリケーション ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くクライアント アプリケーション データのバイト数を含む)。 |
||
クライアント アプリケーションを記述するクライアント アプリケーション データ フィールド(5.0+ のホスト クライアント アプリケーション データ ブロックで説明)。 |
||
NetBIOS 名データ ブロックのバイト数を示します(文字列ブロック タイプと長さのフィールド用の 8 バイト、および NetBIOS 名のバイト数を含む)。 |
||
レガシー OS フィンガープリント データ ブロック
オペレーティング システム フィンガープリント データ ブロック 5.0 ~ 5.0.2
オペレーティング システム フィンガープリント データ ブロックのブロック タイプは 87 です。このブロックには、フィンガープリント Universally Unique Identifier(UUID)の他、フィンガープリント タイプ、フィンガープリント送信元タイプ、フィンガープリント送信元 ID を格納します。次の図は、オペレーティング システム フィンガープリント データ ブロックのバージョン 5.0 ~ 5.0.2 の形式を示しています。
次の表では、オペレーティング システムフィンガープリント データ ブロックのフィールドについて説明します。
レガシー接続データ構造
- 接続統計データ ブロック 5.0 ~ 5.0.2
- 接続統計データ ブロック 5.1
- 接続統計データ ブロック 5.2.x
- 接続チャンク データ ブロック 5.0 ~ 5.1
- 接続チャンク データ ブロック 5.1.1 ~ 6.0.x
- 接続統計データ ブロック 5.1.1.x
- 接続統計データ ブロック 5.3
- 接続統計データ ブロック 5.3.1
- 接続統計データ ブロック 5.4
- 接続統計データ ブロック 5.4.1
- 接続統計データ ブロック 6.0.x
- 接続統計データ ブロック 6.1.x
- 接続統計データブロック 6.2 ~ 6.7.x
- 接続統計データ ブロック 7.0
接続統計データ ブロック 5.0 ~ 5.0.2
接続統計データ ブロックは、接続データ メッセージで使用されます。接続統計データ ブロック バージョン 5.0 ~ 5.0.2 のブロック タイプは 115 です。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.0 ~ 5.0.2 の形式を示しています。
次の表は、接続統計データ ブロック 5.0 ~ 5.0.2 のフィールドについての説明です。
接続統計データ ブロック 5.1
接続統計データ ブロックは、接続データ メッセージで使用されます。バージョン 5.0.2 と 5.1 の間に加えられた接続データ ブロックの変更には、5.1 で導入された設定パラメータ(ルール アクション理由、モニター ルール、セキュリティ インテリジェンス送信元/宛先、セキュリティ インテリジェンス レイヤ)が指定される新規フィールドの追加が含まれます。接続統計データ ブロック バージョン 5.1 のブロック タイプは 126 です。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.1 の形式を示しています。
次の表は、接続統計データ ブロック 5.1 のフィールドについての説明です。
接続統計データ ブロック 5.2.x
接続統計データ ブロックは、接続データ メッセージで使用されます。バージョン 5.1.1 と 5.2 の間に加えられた接続データ ブロックの変更には、地理位置情報をサポートするための新規フィールドの追加が含まれます。バージョン 5.2.x の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 144 です。これにより、ブロック タイプ 137(接続統計データ ブロック 5.1.1.x)は廃止されます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.2.x の形式を示しています。
次の表は、接続統計データ ブロック 5.2.x のフィールドについての説明です。
接続チャンク データ ブロック 5.0 ~ 5.1
接続チャンク データ ブロックは、NetFlow デバイスによって検出された接続データを伝えます。接続チャンク データ ブロックのブロック タイプは、4.10.1 よりも前のバージョンの場合は 66 です。バージョン 5.0 ~ 5.1 の場合、ブロック タイプは 119 です。
次の図は、接続チャンク データ ブロックの形式を示しています。
次の表は、接続チャンク データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
接続チャンク データ ブロックを開始します。この値は、バージョン 4.10.1 以前の場合は |
||
接続チャンク データ ブロックのバイト数(接続チャンク ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く接続チャンク データのバイト数を含む)。 |
||
接続チャンク データ ブロック 5.1.1 ~ 6.0.x
接続チャンク データ ブロックは、接続データを伝えます。5 分間分を集約した接続ログ データを保存します。接続チャンク データ ブロックのブロック タイプは、シリーズ 1 グループの 136 です。これはブロック タイプ 119 に取って代わります。
次の図は、接続チャンク データ ブロックの形式を示しています。
次の表は、接続チャンク データ ブロックのコンポーネントについての説明です。
接続統計データ ブロック 5.1.1.x
接続統計データ ブロックは、接続データ メッセージで使用されます。バージョン 5.1 と 5.1.1 の間に加えられた接続データ ブロックの変更には、関連する侵入イベントを識別するための新規フィールドの追加が含まれます。接続統計データ ブロック バージョン 5.1.1.x のブロック タイプは 137 です。これにより、ブロック タイプ 126(接続統計データ ブロック 5.1)は廃止されます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.1.1 の形式を示しています。
次の表は、接続統計データ ブロック 5.1.1.x のフィールドについての説明です。
接続統計データ ブロック 5.3
接続統計データ ブロックは、接続データ メッセージで使用されます。バージョン 5.2.x と 5.3 の間に加えられた接続データ ブロックの変更には、NetFlow 情報用の新規フィールドの追加が含まれます。バージョン 5.3 の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 152 です。これにより、ブロック タイプ 144(接続統計データ ブロック 5.2.x)は廃止されます。
接続イベント レコードを要求するには、イベント バージョン 10 およびイベント コード 71 の要求メッセージ内に、拡張イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.3+の形式を示しています。
次の表は、接続統計データ ブロック 5.3 のフィールドについての説明です。
接続統計データ ブロック 5.3.1
接続統計データ ブロックは、接続データ メッセージで使用されます。バージョン 5.3 と 5.3.1 との間で加えられた接続データ ブロックの唯一の変更は、セキュリティ コンテキスト フィールドの追加です。バージョン 5.3.1 の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 154 です。これにより、ブロック タイプ 152(接続統計データ ブロック 5.3)は廃止されます。
接続イベント レコードを要求するには、イベント バージョン 11 およびイベント コード 71 の要求メッセージ内に、拡張イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.3.1 の形式を示しています。
次の表は、接続統計データ ブロック 5.3.1 のフィールドについての説明です。
接続統計データ ブロック 5.4
接続統計データ ブロックは、接続データ メッセージで使用されます。接続統計データ ブロック 5.4 には、いくつかの新しいフィールドが追加されました。SSL 接続、HTTP リダイレクション、およびネットワーク分析ポリシーをサポートするためのフィールドが追加されています。バージョン 5.4 の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 155 です。これにより、ブロック タイプ 154(接続統計データ ブロック 5.3.1)は廃止されます。
接続イベント レコードを要求するには、イベント バージョン 12 およびイベント コード 71 の要求メッセージ内に、拡張イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.4 の形式を示しています。
次の表は、接続統計データ ブロック 5.4+のフィールドについての説明です。
接続統計データ ブロック 5.4.1
接続統計データ ブロックは、接続データ メッセージで使用されます。接続統計データ ブロック 5.4 には、いくつかの新しいフィールドが追加されました。SSL 接続、HTTP リダイレクション、およびネットワーク分析ポリシーをサポートするためのフィールドが追加されています。バージョン 5.4+ の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 157 です。これにより、ブロック タイプ 155(接続統計データ ブロック 5.3.1)は廃止されます。
接続イベント レコードを要求するには、イベント バージョン 12 およびイベント コード 71 の要求メッセージ内に、拡張イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 5.4+の形式を示しています。
次の表は、接続統計データ ブロック 5.4+のフィールドについての説明です。
接続統計データ ブロック 6.0.x
接続統計データ ブロックは、接続データ メッセージで使用されます。接続統計データ ブロック 6.0 には、いくつかの新しいフィールドが追加されました。ISE 統合および複数ネットワーク マップをサポートするために、フィールドが追加されました。バージョン 6.0.x の接続統計データ ブロックは、シリーズ 1 グループのブロックの、ブロック タイプ 160 です。これはブロック タイプ 157(接続統計データ ブロック 5.4.1)に取って代わります。DNS ルックアップとセキュリティ インテリジェンスをサポートするため新しいフィールドを追加しました。
接続イベント レコードは、要求メッセージにイベント バージョン 13 とイベント コード 71 とともに拡張イベント フラグを設定して要求します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
次の図は、接続統計データ ブロック 6.0.x の形式を示しています。
次の表は、接続統計データ ブロック 6.0.x のフィールドについての説明です。
接続統計データ ブロック 6.1.x
接続統計データ ブロックは、接続データ メッセージで使用されます。6.1.x の接続統計情報データ ブロックに複数の新しいフィールドが追加されました。ISE 統合および複数ネットワーク マップをサポートするために、フィールドが追加されました。バージョン 6.1+ の接続統計データ ブロックのブロック タイプは、シリーズ 1 ブロック グループのブロック タイプ 163 です。これはブロック タイプ160 接続統計データ ブロック 6.0.x に置き換わります。DNS ルックアップとセキュリティ インテリジェンスをサポートするため新しいフィールドを追加しました。ブロック タイプ 168 に代わりました(接続統計データ ブロック 7.1+)。
接続イベント レコードは、要求メッセージにイベント バージョン 13 とイベント コード 71 とともに拡張イベント フラグを設定して要求します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の表は、接続統計データ ブロック 6.1.x のフィールドについての説明です。
接続統計データブロック 6.2 ~ 6.7.x
接続統計データ ブロックは、接続データ メッセージで使用されます。3 番目のセキュリティ インテリジェンス フィールドが 6.2 ~ 6.7.x の接続統計データブロックに追加されました。バージョン 6.2 ~ 6.7.x の接続統計データブロックには、シリーズ 1 グループのブロックのブロックタイプ 168 が含まれています。これはブロック タイプ163 接続統計データ ブロック 6.1.x に置き換わります。これはブロック タイプ 173 に更新しました。
接続イベントレコードを要求するには、イベントバージョン 15 およびイベントコード 71 の要求メッセージ内に、拡張イベントフラグ(要求フラグフィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、6.2 ~ 6.7.x の接続統計データブロックの形式を示しています。
次の表は、6.2 ~ 6.7.x の接続統計データブロックのフィールドについての説明です。
接続統計データ ブロック 7.0
接続統計データ ブロックは、接続データ メッセージで使用されます。セキュリティグループタグ、Virtual Routing and Forwarding、および動的属性のフィールドが 7.0 以降の接続統計データブロックに追加されました。バージョン 7.0 以降の接続統計データブロックのブロックタイプは、シリーズ 1 ブロックグループのブロックタイプ 173 です。これはブロック タイプ168 接続統計データブロック 6.2 ~ 6.7.x に置き換わります。これはブロックタイプ 174 により取って代わられます。
接続イベントレコードを要求するには、イベントバージョン 16 およびイベントコード 71 の要求メッセージ内に、拡張イベントフラグ(要求フラグフィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
接続統計データ メッセージの詳細については、接続統計データ メッセージを参照してください。
次の図は、接続統計データ ブロック 7.0 の形式を示しています。
次の表は、接続統計データ ブロック 7.0 のフィールドについての説明です。
レガシー ファイル イベントのデータ構造
続くいくつかのトピックでは、他のレガシー ファイル イベント データの構造について説明します。
- ファイル イベント 5.1.1.x
- ファイル イベント 5.2.x
- ファイル イベント 5.3
- ファイル イベント 5.3.1
- ファイル イベント 5.4.x
- ファイル イベント SHA ハッシュ 5.1.1 ~ 5.2.x
ファイル イベント 5.1.1.x
ファイル イベントには、ネットワークを介して送信されるファイルに関する情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントのブロック タイプは、シリーズ 2 グループのブロックの、ブロック タイプ 23 です。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
ファイル イベント 5.2.x
ファイル イベントには、ネットワークを介して送信されるファイルに関する情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントのブロック タイプは、シリーズ 2 グループのブロックの、ブロック タイプ 32 です。これはブロック タイプ 23 に取って代わります。送信元と宛先の国、およびクライアントと Web アプリケーション インスタンスを追跡するために、新しいフィールドが追加されました。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
ファイル イベント 5.3
ファイル イベントには、ネットワークを介して送信されるファイルに関する情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントのブロック タイプは、シリーズ 2 グループのブロックの、ブロック タイプ 38 です。これはブロック タイプ 32 に取って代わります。新しいフィールドは、ダイナミック ファイル分析とファイル ストレージを追跡するために追加されました。
ファイル イベント レコードを要求するには、イベント バージョン 3 およびイベント コード 111 の要求メッセージ内に、ファイル イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ファイル イベント ブロックのバイトの合計数(ファイル イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または侵入イベントとイベントをリンクするために使用されます。 |
||
ファイル タイプが識別されてファイル イベントが生成されたときの UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
SPERO 署名がファイル分析で使用されたかどうかを示します。値が |
||
ファイルが動的分析のために送信されているかどうかを示します。値は以下のとおりです。
|
||
ファイル タイプにマップされている ID 番号。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
ファイル イベント 5.3.1
ファイル イベントには、ネットワークを介して送信されるファイルに関する情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントのブロック タイプは、シリーズ 2 グループのブロックの、ブロック タイプ 43 です。これはブロック タイプ 38 に取って代わります。セキュリティ コンテキスト フィールドが追加されました。
ファイル イベント レコードを要求するには、イベント バージョン 4 およびイベント コード 111 の要求メッセージ内に、ファイル イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ファイル イベント ブロックのバイトの合計数(ファイル イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または侵入イベントとイベントをリンクするために使用されます。 |
||
ファイル タイプが識別されてファイル イベントが生成されたときの UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
SPERO 署名がファイル分析で使用されたかどうかを示します。値が |
||
ファイルが動的分析のために送信されているかどうかを示します。値は以下のとおりです。
|
||
ファイル タイプにマップされている ID 番号。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
ファイル イベント 5.4.x
ファイル イベントには、ネットワークを介して送信されるファイルに関する情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントのブロック タイプは、シリーズ 2 グループのブロックの、ブロック タイプ 46 です。これはブロック タイプ 43 に取って代わります。SSL とファイル アーカイブ サポート用のフィールドが追加されました。
ファイル イベント レコードを要求するには、イベント バージョン 5 およびイベント コード 111 の要求メッセージ内に、ファイル イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ファイル イベント ブロックのバイトの合計数(ファイル イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または侵入イベントとイベントをリンクするために使用されます。 |
||
ファイル タイプが識別されてファイル イベントが生成されたときの UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
SPERO 署名がファイル分析で使用されたかどうかを示します。値が |
||
ファイルが動的分析のために送信されているかどうかを示します。値は以下のとおりです。
|
||
ファイル タイプにマップされている ID 番号。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
アーカイブ SHA 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および侵入ポリシー名のバイト数を含む)。 |
||
アーカイブ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびアーカイブ名のバイト数を含む)。 |
||
ファイルがネストされている層の数。たとえば、テキスト ファイルが zip アーカイブ内にある場合、この値は |
6.x のファイルイベント
ファイル イベントのデータ ブロックには、ネットワーク経由で送信されるファイルの情報が含まれています。これには、接続情報、ファイルがマルウェアであるかどうかの情報、およびファイルを識別するための固有情報が含まれています。ファイル イベントは、シリーズ 2 グループのブロックのブロック タイプ 56 です。これは、ブロックタイプ 46 に取って代わり、ブロックタイプ 79 により取って代わられます。ISE 統合、ファイル分析、ローカルのマルウェア分析、および容量処理ステータスのフィールドが追加されました。
ファイル イベント レコードを要求するには、イベント バージョン 5 およびイベント コード 111 の要求メッセージ内に、ファイル イベント フラグ(要求フラグ フィールドのビット 30)を設定します。要求フラグを参照してください。ビット 23 を有効にすると、拡張イベント ヘッダーがレコードに含まれます。
次の図は、ファイル イベント データ ブロックの構造を示しています。
次の表は、ファイル イベント データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ファイル イベント ブロックのバイトの合計数(ファイル イベント ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
イベントを生成したデバイスの Snort インスタンス。接続または侵入イベントとイベントをリンクするために使用されます。 |
||
ファイル タイプが識別されてファイル イベントが生成されたときの UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
SPERO 署名がファイル分析で使用されたかどうかを示します。値が |
||
ファイルが動的分析のために送信されているかどうかを示します。値は以下のとおりです。
|
||
ファイル タイプにマップされている ID 番号。このフィールドの意味は、このイベントと一緒にメタデータで送信されます。詳細については、エンドポイント向け AMP ファイル タイプのメタデータを参照してください。 |
||
トラフィックが通過したセキュリティ コンテキスト(仮想ファイアウォール)の ID 番号。マルチコンテキスト モードの ASA FirePOWER デバイスでは、システムはこのフィールドにのみ入力することに注意してください。 |
||
SSL ルールに基づいて接続に対して実行されたアクション。ルールに指定されているアクションが不可能なことがあるため、これは予期していたアクションとは異なることがあります。有効な値は次のとおりです。 |
||
SSL フローのステータス。アクションが実行された理由、またはエラー メッセージが出された理由を示す値です。有効な値は次のとおりです。
|
||
アーカイブ SHA 文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、および侵入ポリシー名のバイト数を含む)。 |
||
アーカイブ名文字列データ ブロックに含まれるバイト数(ブロック タイプとヘッダー フィールド用の 8 バイト、およびアーカイブ名のバイト数を含む)。 |
||
ファイルがネストされている層の数。たとえば、テキスト ファイルが zip アーカイブ内にある場合、この値は |
||
ファイル イベント SHA ハッシュ 5.1.1 ~ 5.2.x
eStreamer サービスは、ファイルの SHA ハッシュとそのファイル名とのマッピングのメタデータを含む、ファイル イベント SHA ハッシュ データ ブロックを使用します。ブロック タイプは、シリーズ 2 リストのデータ ブロックの 26 です。これは、ファイル ログ イベントが拡張要求(イベント コード 111)で要求されており、ビット 20 が設定されているかまたはメタデータがイベント バージョン 4 およびイベント コード 21 で要求されていれば、要求することができます。
次の図は、ファイル イベント ハッシュ データ ブロックの構造を示しています。
次の表は、ファイル イベント SHA ハッシュ データ ブロックのフィールドについての説明です。
レガシー相関イベントのデータ構造
続くいくつかのトピックでは、他のレガシー相関(コンプライアンス)データの構造について説明します。
相関イベント 5.0 ~ 5.0.2
相関イベント(5.0 よりも前のバージョンではコンプライアンス イベントと呼ばれていた)には、相関ポリシー違反に関する情報が含まれます。このメッセージは、標準 eStreamer メッセージ ヘッダーを使用し、レコード タイプ 112 を指定し、それに相関データ ブロック タイプ 116 が続きます。データ ブロック タイプ 116 は、関連するセキュリティ ゾーンとインターフェイスに関する追加情報が含まれるという点で、その先行するもの(ブロック タイプ 107)とは異なります。
eStreamer からの 5.0 相関イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 31 およびバージョン 7 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。オプションで、最初のイベント ストリーム要求メッセージのフラグ フィールドでビット 23 を有効にして、拡張イベント ヘッダーを含めることができます。また、フラグ フィールドでビット 20 を有効にして、ユーザー メタデータを含めることもできます。
レコード構造には、シリーズ 1 のブロックである、文字列ブロック タイプが含まれることに注目してください。シリーズ 1 ブロックの詳細については、ディスカバリ(シリーズ1)ブロックを参照してください。
|
|
|
|
|---|---|---|
相関イベント データ ブロックが続くことを示します。このフィールドの値は、常に |
||
相関イベントを生成した管理対象デバイスまたは Defense Center の内部 ID 番号。値 0 は Defense Center を示します。バージョン 3 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
違反された相関ポリシーの ID 番号。データベースからのポリシー ID 番号を入手する方法の詳細については、サービス レコードを参照してください。 |
||
トリガーしてポリシー違反となった相関ルールの ID 番号。データベースからポリシー ID 番号を取得する方法の詳細については、サービス レコードを参照してください。 |
||
相関違反イベントの説明を含む文字列データ ブロックを開始します。この値は常に |
||
イベント説明文字列ブロックのバイト数(文字列のブロック タイプのための 4 バイト、文字列ブロック長のための 4 バイト、説明のバイト数を含む)。 |
||
相関イベントをトリガーしたイベントを生成したデバイスの ID 番号。バージョン 3 メタデータを要求するとデバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベントが侵入イベントであった場合、イベントに対応するルール ID 番号を示します。そうでない場合、この値は |
||
イベントが侵入イベントであった場合、イベントを生成した Cisco Secure Firewall システム プリプロセッサまたはルール エンジンの ID 番号を示します。 |
||
相関ポリシー ルールをトリガーしたイベントの時刻を示す UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
このフィールドに設定されたビットは、メッセージ内の続くどのフィールドが有効であるかを示します。各ビット値のリストの詳細については、表 B-55を参照してください。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
送信元ホストのオペレーティング システムの固有識別子として機能するフィンガープリント ID。 フィンガープリント ID にマップする値の取得の詳細については、サービス レコードを参照してください。 |
||
ポリシー違反に関連付けられた宛先ホストの IP アドレス(該当する場合)。宛先 IP アドレスがない場合、この値は 0 になります。 |
||
宛先ホストのオペレーティング システムの固有識別子として機能するフィンガープリント ID 番号。 フィンガープリント ID にマップする値の取得の詳細については、サービス レコードを参照してください。 |
||
|
|
|
|---|---|
相関イベント 5.1 ~ 5.3.x
相関イベント(5.0 よりも前のバージョンではコンプライアンス イベントと呼ばれていた)には、相関ポリシー違反に関する情報が含まれます。このメッセージは、標準 eStreamer メッセージ ヘッダーを使用し、レコード タイプ 112 を指定し、それにシリーズ 1 セットのデータ ブロックの相関データ ブロック タイプ 128 が続きます。データ ブロック タイプ 128 は、IPv6 サポートが含まれるという点で、その先行するもの(ブロック タイプ 116)とは異なります。
eStreamer からの 5.1 ~ 5.3.x の相関イベントは、拡張要求によってのみ要求できます。これに対してはストリーム要求メッセージでイベント タイプ コード 31 およびバージョン 8 を要求します(拡張要求の送信の詳細については、拡張要求の送信を参照してください)。オプションで、最初のイベント ストリーム要求メッセージのフラグ フィールドでビット 23 を有効にして、拡張イベント ヘッダーを含めることができます。また、フラグ フィールドでビット 20 を有効にして、ユーザー メタデータを含めることもできます。
レコード構造には、シリーズ 1 のブロックである、文字列ブロック タイプが含まれることに注目してください。シリーズ 1 ブロックの詳細については、ディスカバリ(シリーズ1)ブロックを参照してください。
|
|
|
|
|---|---|---|
相関イベント データ ブロックが続くことを示します。このフィールドの値は、常に 128 です。ディスカバリ(シリーズ1)ブロックを参照してください。 |
||
相関イベントを生成した管理対象デバイスまたは Defense Center の内部 ID 番号。値 0 は Defense Center を示します。バージョン 3 メタデータを要求すると管理対象デバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
違反された相関ポリシーの ID 番号。データベースからのポリシー ID 番号を入手する方法の詳細については、サービス レコードを参照してください。 |
||
トリガーしてポリシー違反となった相関ルールの ID 番号。データベースからポリシー ID 番号を取得する方法の詳細については、サービス レコードを参照してください。 |
||
相関違反イベントの説明を含む文字列データ ブロックを開始します。この値は常に 0 に設定されます。文字列ブロックの詳細については、文字列データ ブロックを参照してください。 |
||
イベント説明文字列ブロックのバイト数(文字列のブロック タイプのための 4 バイト、文字列ブロック長のための 4 バイト、説明のバイト数を含む)。 |
||
相関イベントをトリガーしたイベントを生成したデバイスの ID 番号。バージョン 3 メタデータを要求するとデバイス名を入手できます。詳細については、管理対象Device レコードのメタデータを参照してください。 |
||
イベントが侵入イベントであった場合、イベントに対応するルール ID 番号を示します。そうでない場合、この値は 0 になります。 |
||
イベントが侵入イベントであった場合、イベントを生成した Cisco Secure Firewall システム プリプロセッサまたはルール エンジンの ID 番号を示します。 |
||
相関ポリシー ルールをトリガーしたイベントの時刻を示す UNIX タイムスタンプ(1970 年 1 月 1 日からの秒数)。 |
||
このフィールドに設定されたビットは、メッセージ内の続くどのフィールドが有効であるかを示します。各ビット値のリストの詳細については、表 B-55を参照してください。 |
||
イベントの影響フラグ値。下位 8 ビットは影響レベルを示します。値は次のとおりです。
次の影響レベル値は、Defense Center の特定の優先順位にマップされます。 |
||
このフィールドは予約済みですが、設定されておりません。送信元 IPv4 アドレスは、送信元 IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
送信元ホストのオペレーティング システムの固有識別子として機能するフィンガープリント ID。 フィンガープリント ID にマップする値の取得の詳細については、サービス レコードを参照してください。 |
||
このフィールドは予約済みですが、設定されておりません。宛先 IPv4 アドレスは、宛先 IPv6 アドレス フィールドに保存されます。詳細については、IP アドレスを参照してください。 |
||
宛先ホストのオペレーティング システムの固有識別子として機能するフィンガープリント ID 番号。 フィンガープリント ID にマップする値の取得の詳細については、サービス レコードを参照してください。 |
||
レガシー ホスト データ構造
これらの構造を要求するには、ホスト要求メッセージを使用する必要があります。レガシー構造を要求するには、古い形式のホスト要求メッセージを使用する必要があります。詳細については、ホスト要求メッセージの形式を参照してください。
続くいくつかのトピックでは、ホスト プロファイルとフル ホスト プロファイルの両方の構造を含む、レガシー ホスト データ構造について説明します。
- フル ホスト プロファイル データ ブロック 5.0 ~ 5.0.2
- フル ホスト プロファイル データ ブロック 5.1.1
- フル ホスト プロファイル データ ブロック 5.2.x
- ホスト プロファイル データ ブロック 5.1.x
- IP 範囲仕様データ ブロック 5.0 ~ 5.1.1.x
- アクセス コントロール ポリシー ルール理由データ ブロック
フル ホスト プロファイル データ ブロック 5.0 ~ 5.0.2
フル ホスト プロファイル データ ブロック バージョン 5.0 ~ 5.0.2 には、1 つのホストを記述するフルセットのデータが含まれています。このデータ セットの形式を次の図に示し、次表で説明します。図には、リスト データ ブロックを除き、カプセル化データ ブロック フィールドを提示していない点にご注意ください。これらのカプセル化データ ブロックは、検出と接続データ構造の概要で別途説明します。フル ホスト プロファイル データ ブロックのブロック タイプ値は、111 です。
(注) 次の図において、ブロック名の横にあるアスタリスク(*)は、データ ブロックのインスタンスが複数発生する可能性があることを示しています。
次の表は、フル ホスト プロファイル 5.0 ~ 5.0.2 レコードのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ホストの既存のフィンガープリントから取得したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ホストの既存のフィンガープリントから取得したホストでのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
ユーザーが追加したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ユーザーが追加したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
脆弱性スキャナによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
脆弱性スキャナによって追加されたホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
アプリケーションによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
アプリケーションによって追加されたホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
フィンガープリント競合解決から選択したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
フィンガープリント競合解決から選択したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
TCP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで TCP サービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
UDP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで UDP サブサービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでネットワーク プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでトランスポート プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
ホスト MAC アドレス データ ブロックのリスト。このデータ ブロックの詳細については、ホスト MAC アドレス 4.9+を参照してください。 |
||
クライアント アプリケーション データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
リスト ヘッダーやすべてのカプセル化クライアント アプリケーション データ ブロックを含む汎用リスト データ ブロック内のバイト数。 |
||
クライアント アプリケーション データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル クライアント アプリケーション データ ブロック 5.0+ を参照してください。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む文字列データ ブロック内のバイト数と NetBIOS 名文字列のバイト数。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む注記文字列データ ブロックのバイト数および注記文字列のバイト数。 |
||
VDB 脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
Cisco 脆弱性データベース(VDB)で特定された脆弱性に関するホスト脆弱性データ ブロックのリスト。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信され、Cisco 脆弱性データベース(VDB)でカタログされているホストの脆弱性に関する情報を含むホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信されたホスト脆弱性データ ブロック。これらのデータ ブロックのホスト脆弱性 ID は、サードパーティのスキャナ ID であり、Ciscoによって検出された ID ではない点にご注意ください。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
属性値データ ブロックのリスト。このリストのデータ ブロックの詳細については、属性値データ ブロックを参照してください。 |
フル ホスト プロファイル データ ブロック 5.1.1
フル ホスト プロファイル データ ブロック バージョン 5.1.1 には、1 つのホストを記述するフルセットのデータが含まれています。このデータ セットの形式を次の図に示し、次表で説明します。図には、リスト データ ブロックを除き、カプセル化データ ブロック フィールドを提示していない点にご注意ください。これらのカプセル化データ ブロックは、検出と接続データ構造の概要で別途説明します。フル ホスト プロファイル データ ブロックのブロック タイプ値は、135 です。これによりデータ ブロック 111 は廃止されます。
(注) 次の図において、ブロック名の横にあるアスタリスク(*)は、データ ブロックのインスタンスが複数発生する可能性があることを示しています。
次の表は、フル ホスト プロファイル 5.1.1 レコードのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
ホストの既存のフィンガープリントから取得したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ホストの既存のフィンガープリントから取得したホストでのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
ユーザーが追加したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ユーザーが追加したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
脆弱性スキャナによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
脆弱性スキャナによって追加されたホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
アプリケーションによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
アプリケーションによって追加されたホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
フィンガープリント競合解決から選択したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
フィンガープリント競合解決から選択したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
TCP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで TCP サービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
UDP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで UDP サブサービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでネットワーク プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでトランスポート プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
ホスト MAC アドレス データ ブロックのリスト。このデータ ブロックの詳細については、ホスト MAC アドレス 4.9+を参照してください。 |
||
クライアント アプリケーション データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に 31 です。 |
||
リスト ヘッダーやすべてのカプセル化クライアント アプリケーション データ ブロックを含む汎用リスト データ ブロック内のバイト数。 |
||
クライアント アプリケーション データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル クライアント アプリケーション データ ブロック 5.0+ を参照してください。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む文字列データ ブロック内のバイト数と NetBIOS 名文字列のバイト数。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む注記文字列データ ブロックのバイト数および注記文字列のバイト数。 |
||
VDB 脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
Cisco 脆弱性データベース(VDB)で特定された脆弱性に関するホスト脆弱性データ ブロックのリスト。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信され、Cisco 脆弱性データベース(VDB)でカタログされているホストの脆弱性に関する情報を含むホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信されたホスト脆弱性データ ブロック。これらのデータ ブロックのホスト脆弱性 ID は、サードパーティのスキャナ ID であり、Ciscoによって検出された ID ではない点にご注意ください。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
属性値データ ブロックのリスト。このリストのデータ ブロックの詳細については、属性値データ ブロックを参照してください。 |
||
モバイル デバイスのオペレーティング システムがジェイルブレイクされているかどうかを示す true/false フラグ。 |
||
フル ホスト プロファイル データ ブロック 5.2.x
フル ホスト プロファイル データ ブロック バージョン 5.2.x には、1 つのホストを記述するフルセットのデータが含まれています。このデータ セットの形式を次の図に示し、次表で説明します。図には、リスト データ ブロックを除き、カプセル化データ ブロック フィールドを提示していない点にご注意ください。これらのカプセル化データ ブロックは、検出と接続データ構造の概要で別途説明します。フル ホスト プロファイル データ ブロックのブロック タイプ値は、140 です。これは以前のバージョン(ブロック タイプが 135 である)に取って代わります。
(注) 次の図において、ブロック名の横にあるアスタリスク(*)は、データ ブロックのインスタンスが複数発生する可能性があることを示しています。
次の表は、フル ホスト プロファイル 5.2.x レコードのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
TCP サービス データを伝送する IP アドレス データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化 IP アドレス データ ブロック長から成る 8 バイトを含みます。 |
||
ホストの IP アドレスおよび各 IP アドレスが最後に表示されたときの IP アドレス。このデータ ブロックの詳細については、ホスト IP アドレス データ ブロックを参照してください。 |
||
ホストの既存のフィンガープリントから取得したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ホストの既存のフィンガープリントから取得したホストでのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
Cisco VDB フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
Cisco 脆弱性データベース(VDB)のフィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
ユーザーが追加したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ユーザーが追加したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
脆弱性スキャナによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
脆弱性スキャナによって追加されたホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
アプリケーションによって追加されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
アプリケーションによって追加されたホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
フィンガープリント競合解決から選択したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
フィンガープリント競合解決から選択したホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
モバイル デバイス フィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
モバイル デバイス ホストのオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
IPv6 サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
IPv6 クライアント フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 クライアント フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
IPv6 DHCP フィンガープリントで識別するフィンガープリント データを搬送するオペレーティング システム フィンガープリント データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
IPv6 DHCP フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
ユーザー エージェント フィンガープリントで識別するフィンガープリント データを搬送するオペレーティング システム フィンガープリント データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
ユーザー エージェント フィンガープリントで識別したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
TCP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで TCP サービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
UDP サービス データを伝送する全サーバー データ ブロックを含むリスト データ ブロックを表示します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化全サーバー データ ブロック長から成る 8 バイトを含みます。 |
||
ホストで UDP サブサービスに関するデータを伝送する全サーバー データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル ホスト サーバー データ ブロック 4.10.0+ を参照してください。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでネットワーク プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値には、リスト ブロック タイプ フィールド、リスト ブロック長フィールド、すべてのカプセル化プロトコル データ ブロック長から成る 8 バイトを含みます。 |
||
ホストでトランスポート プロトコルに関するデータを伝送するプロトコル データ ブロックのリスト。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
ホスト MAC アドレス データ ブロックのリスト。このデータ ブロックの詳細については、ホスト MAC アドレス 4.9+を参照してください。 |
||
クライアント アプリケーション データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
リスト ヘッダーやすべてのカプセル化クライアント アプリケーション データ ブロックを含む汎用リスト データ ブロック内のバイト数。 |
||
クライアント アプリケーション データ ブロックのリスト。このデータ ブロックの説明の詳細については、フル クライアント アプリケーション データ ブロック 5.0+ を参照してください。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む文字列データ ブロック内のバイト数と NetBIOS 名文字列のバイト数。 |
||
文字列ブロック タイプ フィールドおよび文字列ブロック長フィールドの 8 バイトを含む注記文字列データ ブロックのバイト数および注記文字列のバイト数。 |
||
VDB 脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
Cisco 脆弱性データベース(VDB)で特定された脆弱性に関するホスト脆弱性データ ブロックのリスト。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信され、Cisco 脆弱性データベース(VDB)でカタログされているホストの脆弱性に関する情報を含むホスト脆弱性データ ブロック。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
サードパーティ スキャン脆弱性データを伝送するホスト脆弱性データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
サードパーティのスキャナから送信されたホスト脆弱性データ ブロック。これらのデータ ブロックのホスト脆弱性 ID は、サードパーティのスキャナ ID であり、Ciscoによって検出された ID ではない点にご注意ください。このデータ ブロックの説明の詳細については、ホスト脆弱性データ ブロック 4.9.0+ を参照してください。 |
||
属性値データ ブロックのリスト。このリストのデータ ブロックの詳細については、属性値データ ブロックを参照してください。 |
||
モバイル デバイスのオペレーティング システムがジェイルブレイクされているかどうかを示す true/false フラグ。 |
ホスト プロファイル データ ブロック 5.1.x
次の図は、ホスト プロファイル データ ブロックの形式を示しています。さらに、このデータ ブロックには、ホスト重要度値が含まれていませんが、VLAN プレゼンス インジケータは含まれています。さらに、このデータ ブロックは、ホストの NetBIOS 名を伝えることができます。ホスト プロファイル データ ブロックのブロック タイプは 132 です。
(注) 次の図のブロック タイプ フィールドの横のアスタリスク(*)は、メッセージにシリーズ 1 データ ブロックのゼロ以上のインスタンスが含まれる可能性があることを示しています。
次の表は、バージョン 5.1.x により返されるホスト プロファイル データ ブロックのフィールドについての説明です。
|
|
|
|
|---|---|---|
ホスト プロファイル データ ブロックのバイト数(ホスト プロファイル ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くホスト プロファイル データに含まれるバイト数を含む)。 |
||
サーバー フィンガープリントを使用して特定されたフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
サーバー フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
クライアント フィンガープリントを使用して特定したフィンガープリント データを伝送するオペレーティング システム フィンガープリント データ ブロックを含む汎用リスト データ ブロックを表示します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
クライアント フィンガープリントを使用して特定したホスト上のオペレーティング システムに関する情報を含むオペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
SMB フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
SMB フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
DHCP フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
DHCP フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
DHCP フィンガープリントを使用して識別されるフィンガープリント データを伝える、オペレーティング システム フィンガープリント データ ブロックを構成する汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのオペレーティング システム フィンガープリント データ ブロックを含む)。 |
||
モバイル デバイス フィンガープリントを使用して識別されるホスト上のオペレーティング システムに関する情報が含まれている、オペレーティング システム フィンガープリント データ ブロック。このデータ ブロックの説明の詳細については、オペレーティング システム フィンガープリント データ ブロック 5.1+ を参照してください。 |
||
TCP サーバー データを伝えるサーバー データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバー データ ブロックを加えた値です。 |
||
UDP サーバー データを伝えるサーバー データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのサーバー データ ブロックを加えた値です。 |
||
ネットワーク プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
ネットワーク プロトコルを記述するプロトコル データ ブロック。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
トランスポート プロトコル データを伝えるプロトコル データ ブロックで構成されたリスト データ ブロックを開始します。この値は常に |
||
リスト内のバイト数。この数値は、リスト ブロック タイプ フィールドと長さフィールドの 8 バイトに、カプセル化されたすべてのプロトコル データ ブロックを加えた値です。 |
||
トランスポート プロトコルを記述するプロトコル データ ブロック。このデータ ブロックの説明の詳細については、プロトコル データ ブロック を参照してください。 |
||
ホスト MAC アドレスを記述するホスト MAC アドレス データ ブロック。このデータ ブロックの説明の詳細については、ホスト MAC アドレス 4.9+ を参照してください。 |
||
クライアント アプリケーション データを伝えるクライアント アプリケーション データ ブロックで構成される汎用リスト データ ブロックを開始します。この値は常に |
||
汎用リスト データ ブロックのバイト数(リスト ヘッダーと、カプセル化されたすべてのクライアント アプリケーション データ ブロックを含む)。 |
||
クライアント アプリケーションを記述するクライアント アプリケーション データ ブロック。このデータ ブロックの説明の詳細については、フル クライアント アプリケーション データ ブロック 5.0+ を参照してください。 |
||
NetBIOS 名データ ブロックのバイト数を示します(文字列ブロック タイプと長さのフィールド用の 8 バイト、および NetBIOS 名のバイト数を含む)。 |
||
IP 範囲仕様データ ブロック 5.0 ~ 5.1.1.x
IP 範囲仕様データ ブロックは、一定範囲内の IP アドレスを伝えます。IP 範囲仕様データ ブロックは、ユーザー プロトコル、ユーザー クライアント アプリケーション、アドレス指定、ユーザー製品、ユーザー サーバー、ユーザー ホスト、ユーザー脆弱性、ユーザー重要度、およびユーザー属性値の各データ ブロックで使用されます。IP 範囲仕様データ ブロックのブロック タイプは 61 です。
次の図は、IP 範囲仕様データ ブロックの形式を示しています。
次の表は、IP 範囲仕様データ ブロックのコンポーネントについての説明です。
|
|
|
|
|---|---|---|
IP 範囲仕様データ ブロックのバイトの合計数(IP 範囲仕様ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続く IP 範囲仕様データのバイト数を含む)。 |
||
アクセス コントロール ポリシー ルール理由データ ブロック
eStreamer サービスは、アクセス コントロール ルールのポリシー ルールの理由のデータ ブロックを使用して、アクセス コントロール ポリシー ルール ID に関する情報を表示します。このデータ ブロックは、シリーズ 2 のブロック タイプ 21 です。
次の図に、アクセス コントロール ポリシー ルール ID のメタデータ ブロックの構造を示します。
次の表に、アクセス コントロール ポリシー ルール ID のメタデータ ブロックのフィールドの説明を示します。
|
|
|
|
|---|---|---|
アクセス コントロール ポリシー ルール理由データ ブロックのバイトの合計数(アクセス コントロール ポリシー ルール理由データ ブロック タイプと長さのフィールド用の 8 バイト、およびそれに続くデータのバイト数を含む)。 |
||
名前の文字列データ ブロックのバイト数です。ブロック タイプとヘッダー フィールドの 8 バイトと説明フィールドのバイト数が含まれます。 |
||
フィードバック