Firepower eStreamer 集成指南 版本 6.3

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (207)（Record Type (207))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IPv4 地址

目的 IPv4 地址

源端口 (Source Port)

目标端口 (Destination Port)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响
(Impact)

已阻止
(Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订
(Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IPv4 地址 (Source IPv4 Address)

uint8[4]

事件中使用的源 IPv4 地址，采用地址八位组。

目标 IPv4 地址 (Destination IPv4 Address)

uint8[4]

事件中使用的目标 IPv4 地址，采用地址八位组。

源端口
(Source Port)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号。

目标端口 (Destination Port)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1 ：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX
• 橙色（2，可能易受攻击）： 00X00111
• 黄色（3，当前不易受攻击）： 00X00011
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 -（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (208)（Record Type (208))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IPv6 地址 (Source IPv6 Address)

源 IPv6 地址 (Source IPv6 Address)（续）

源 IPv6 地址 (Source IPv6 Address)（续）

源 IPv6 地址 (Source IPv6 Address)（续）

目的 IPv6 地址 (Destination IPv6 Address)

目标 IPv6 地址 (Destination IPv6 Address)（续）

目标 IPv6 地址 (Destination IPv6 Address)（续）

目标 IPv6 地址 (Destination IPv6 Address)（续）

源端口/ICMP 类型
(Source Port/ICMP Type)

目标端口/ICMP 代码
(Destination Port/ICMP Code)

IP 协议 ID
(IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

设备 ID
(Device ID)

unit32

包含检测设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订
(Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IPv6 地址 (Source IPv6 Address)

uint8[16]

事件中使用的源 IPv6 地址，采用地址八位组。

目标 IPv6 地址 (Destination IPv6 Address)

uint8[16]

事件中使用的目标 IPv6 地址，采用地址八位组。

源端口/ICMP 类型 (Source Port/ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号。如果协议类型为 ICMP，则这表示 ICMP 类型。

目标端口/ICMP 代码 (Destination Port/ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号。如果协议类型为 ICMP，则这表示 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1 ：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX
• 橙色（2，可能易受攻击）： 00X00111
• 黄色（3，当前不易受攻击）： 00X00011
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 -（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。（仅适用于 4.9+ 事件。）

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。（仅适用于 4.9+ 事件。）

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (34) (Block Type (34))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口或 ICMP 类型
(Source Port or ICMP Type)

目标端口或 ICMP 代码
(Destination Port or ICMP Code)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

源国家/地区 (Source Country)

目标国家/地区 (Destination Country)

块类型
(Block Type)

unint32

启动入侵事件数据块。值始终为 34 。

块长度
(Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口或 ICMP 类型 (Source Port or ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 - （未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

源国家/地区 (Source Country)

uint16

源主机的国家/地区代码。

目标国家/地区 (Destination Country)

uint 16

目标主机的国家/地区代码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (41) (Block Type (41))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口或 ICMP 类型
(Source Port or ICMP Type)

目标端口或 ICMP 代码
(Destination Port or ICMP Code)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

源国家/地区 (Source Country)

目标国家/地区 (Destination Country)

IOC 编号 (IOC Number)

块类型
(Block Type)

unint32

启动入侵事件数据块。值始终为 34 。

块长度
(Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口或 ICMP 类型 (Source Port or ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1 ：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 -（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

源国家/地区 (Source Country)

uint16

源主机的国家/地区代码。

目标国家/地区 (Destination Country)

uint 16

目标主机的国家/地区代码。

IOC 编号 (IOC Number)

uint16

与此事件相关的危害的 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (25) (Block Type (25))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口/ICMP 类型
(Source Port/ICMP Type)

目标端口/ICMP 代码
(Destination Port/ICMP Code)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

块类型

unint32

启动入侵事件数据块。值始终为 25 。

块长度 (Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口/ICMP
类型 (Source Port/ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口/ICMP 代码 (Destination Port/ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1 ：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX
• 橙色（2，可能易受攻击）： 00X00111
• 黄色（3，当前不易受攻击）： 00X00011
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 - （未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (42) (Block Type (42))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口或 ICMP 类型
(Source Port or ICMP Type)

目标端口或 ICMP 代码
(Destination Port or ICMP Code)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

源国家/地区 (Source Country)

目标国家/地区 (Destination Country)

IOC 编号 (IOC Number)

安全情景 (Security Context)

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

块类型
(Block Type)

unint32

启动入侵事件数据块。值始终为 42。

块长度
(Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据的字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID (Event ID)

uint32

事件标识号。

事件秒 (Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口或 ICMP 类型 (Source Port or ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01（位 0）- 源或目标主机位于系统监控的网络中。
• 0x02（位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08（位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10（位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20（位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40（位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80（位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1：

• （0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 -（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

源国家/地区 (Source Country)

uint16

源主机的国家/地区代码。

目标国家/地区 (Destination Country)

uint 16

目标主机的国家/地区代码。

IOC 编号
(IOC Number)

uint16

与此事件相关的威胁的 ID 号码。

安全情景 (Security Context)

uint8(16)

流量通过的安全情景（虚拟防火墙）的 ID 号码。请注意，
系统仅对Firepower 系统情景模式下的 设备填充此字段。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (45) (Block Type (45))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口或 ICMP 类型
(Source Port or ICMP Type)

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

IP 协议 ID (IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

源国家/地区 (Source Country)

目标国家/地区 (Destination Country)

IOC 编号 (IOC Number)

安全情景 (Security Context)

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 实际操作 (SSL Actual Action)

SSL 流状态 (SSL Flow Status)

网络分析策略 UUID (Network Analysis Policy UUID)

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

块类型
(Block Type)

unint32

启动入侵事件数据块。值始终为 45。

块长度
(Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据的字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID (Event ID)

uint32

事件标识号。

事件秒
(Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口或 ICMP 类型 (Source Port or ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议号 (IP Protocol Number)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01（位 0）- 源或目标主机位于系统监控的网络中。
• 0x02（位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08（位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10（位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20（位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40（位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80（位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到“防御中心”(Defense Center) 上的特定优先级中。 X 表示值可以为 0 或 1：

• 灰色（0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 - 灰色（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID (Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

入口接口 UUID (Ingress Interface UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

出口接口 UUID (Egress Interface UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

入口安全区 UUID (Ingress Security Zone UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

出口安全区 UUID (Egress Security Zone UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

源国家/地区 (Source Country)

uint16

源主机的国家/地区代码。

目标国家/地区 (Destination Country)

uint 16

目标主机的国家/地区代码。

IOC 编号
(IOC Number)

uint16

与此事件相关的威胁的 ID 号码。

安全情景 (Security Context)

uint8[16]

流量通过的安全情景（虚拟防火墙）的 ID 号码。请注意，
系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。

SSL 证书指纹 (SSL Certificate Fingerprint)

uint8[20]

SSL 服务器证书的 SHA1 散列。

SSL 实际操作 (SSL Actual Action)

uint16

根据 SSL 规则对连接执行的操作。由于规则中指定的操作可能无法执行，此操作可能与预期操作不同。可能的值包括：

• 0 -‘未知’
• 1 -‘请勿解密’
• 2 -‘阻止’
• 3 -‘阻止并重置’
• 4 -‘解密（已知密钥）’
• 5 -‘解密（更换秘钥）’
• 6 -‘解密（放弃）’

SSL 流状态 (SSL Flow Status)

uint16

SSL 流量的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括：

• 0 -‘未知’
• 1 -‘不匹配’
• 2 -‘成功’
• 3 -‘非缓存会话’
• 4 -‘未知密码套件’
• 5 -‘不受支持的密码套件’
• 6 -‘不受支持的 SSL 版本’
• 7 -‘使用的 SSL 压缩’
• 8 -‘在被动模式中无法解密的会话’
• 9 -‘握手错误’
• 10 -‘解密错误’
• 11 -‘待处理服务器名称分类查找’
• 12 -‘待处理通用名称分类查找’
• 13 -‘内部错误’
• 14 -‘网络参数不可用’
• 15 -‘服务器证书处理无效’
• 16 -‘服务器证书指纹不可用’
• 17 -‘无法缓存持有者 DN’
• 18 -‘无法缓存颁发者 DN’
• 19 -‘未知 SSL 版本’
• 20 -‘外部证书列表不可用’
• 21 -‘外部证书指纹不可用’
• 22 -‘内部证书列表无效’
• 23 -‘内部证书列表不可用’
• 24 -‘内部证书不可用’
• 25 -‘内部证书指纹不可用’
• 26 -‘服务器证书验证不可用’
• 27 -‘服务器证书验证失败’
• 28 -‘操作无效’

网络分析策略 UUID (Network Analysis Policy UUID)

uint8[16]

创建入侵事件的网络分析策略的 UUID。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (9) (Record Type (9))

记录长度 (Record Length)

入侵影响警报块类型 (20)（Intrusion Impact Alert Block Type (20))

入侵影响警报块长度 (Intrusion Impact Alert Block Length)

事件 ID (Event ID)

设备 ID (Device ID)

事件秒 (Event Second)

影响 (Impact)

源 IP 地址 (Source IP Address)

目标 IP 地址 (Destination IP Address)

影响
说明

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

说明...(Description...)