此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
eStreamer 服务可传输多种数据记录类型,以向客户端交付请求的事件和元数据。本章介绍以下类型的事件数据的数据记录的结构:
有关 eStreamer 用于传输数据记录的消息格式的总体概述,请参阅事件数据消息格式。
下表列出了目前支持的入侵事件、入侵事件额外数据以及元数据消息的所有记录类型。这些记录类型的数据位于固定长度的字段中。相比之下,关联事件记录包含一个或多个层次的长度可变的嵌套数据块。下表提供了到定义关联数据记录结构的子节的链接。
对于有些记录类型,eStreamer 支持多个的版本。该表指示每个版本的状态(当前版本或旧版本)。当前记录是最新版本。旧记录已被较新的版本替代,但仍可以从 eStreamer 中请求旧记录。
eStreamer 服务可传输与数据包记录中的事件相关的数据包数据,格式如下所示。当设置数据包标志(请求消息的“请求标志”(Request Flags) 字段中的位 0)时,发送数据包数据。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
2
,表示数据包记录。
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
设备标识号。您可以通过请求版本 3 或版本 4 元数据获取与它们关联的设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
eStreamer 服务可传输与优先级记录中的事件相关的优先级信息,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送优先级信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
4
,表示优先级记录。
下图中的阴影部分表示入侵事件记录中的字段。此数据块的记录类型为系列 2 数据块组中的 400,块类型为系列 2 数据块组中的 85。它替代了块类型 81。添加了以前包含在额外事件数据中的 XFF 字段。
您可以通过扩展请求,仅从 eStreamer 请求 7.1+ 入侵事件,要提交扩展请求,您需要在流请求消息中请求事件类型代码 12 和版本代码 11(有关提交扩展请求的信息,请参阅提交扩展请求)。
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
|
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“入口 VRF ”(Ingress VRF) 名称字段中的字节数。 |
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“出口 VRF ”(Egress VRF) 名称字段中的字节数。 |
||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上 HTTP 主机名 (HTTP Hostname) 字段中的字节数。 |
||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上 SMTP 附件 (SMTP Attachments) 字段中的字节数。 |
||
包含提取自“MIME 内容性质”报头的 MIME 附件文件名。要填充此字段,必须启用 SMTP 预处理器 |
||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上 SMTP 发件人 (SMTP From) 字段中的字节数。 |
||
包含提取自 SMTP MAIL FROM 命令的邮件发件人的地址。要填充此字段,必须启用 SMTP 预处理器 |
||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上 SMTP 报头 (SMTP Headers) 字段中的字节数。 |
||
要将邮件报头与 SMTP 流量的入侵事件相关联,必须启用 SMTP 预处理器的 |
||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上 SMTP 收件人 (SMTP To) 字段中的字节数。 |
||
包含提取自 SMTP RCPT TO 命令的邮件收件人的地址。要填充此字段,必须启用 SMTP 预处理器 |
入侵影响警报 5.3+ 事件包含影响事件的相关信息。当将入侵事件与系统网络映射数据进行比较且影响已确定时,系统传输入侵影响警报数据。它使用记录类型为 9 的标准记录报头,接着是系列 1 数据块类型为系列 1 数据块组中的 153 的入侵影响警报数据块。(影响警报数据块是系列 1 类型的数据块。有关系列 1 数据块的详细信息,请参阅了解发现(系列 1)块。)
您可以通过在请求消息的标志字段中设置位 5 来请求 eStreamer 只传输入侵影响事件。有关请求消息的详细信息,请参阅事件流请求消息格式。这些警报的版本 1 只处理 IPv4。5.3 中引入的版本 2 除了处理 IPv4 之外,还处理 IPv6 事件。
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
表示后面是入侵影响警报数据块。此字段的值始终为 |
||
|
||
与影响事件相关的主机的 IP 地址。可能包含 IPv4 地址或 IPv6 地址。有关详细信息,请参阅IP 地址。 |
||
与影响事件相关的目标 IP 地址的 IP 地址(如适用)。可能包含 IPv4 地址或 IPv6 地址。有关详细信息,请参阅IP 地址。如果无目标 IP 地址,则此值为 |
||
启动包含影响名称的字符串数据块。此值始终设置为 |
||
请求元数据时,您可以检索有关 Cisco Secure Firewall 系统中的组件生成的事件中引用的用户的信息。eStreamer 服务可传输包含用户记录中的事件的用户信息的元数据,格式如下所示。用户记录包含用户 ID 和相应的名称。用户元数据记录可用于通过将元数据与用户 ID 值相关联的方法来确定与事件相关联的用户名。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送用户信息。请参阅请求标志。)
系统通过规则消息记录传输事件的规则消息信息,格式如下所示。当您请求版本 2 或版本 3 元数据时,eStreamer 服务传输用于 4.6.1+ 的规则消息记录。用于 4.6.1+ 的规则消息记录包含用于 4.6 及更低版本的规则消息记录中包含的字段,但也具有新 UUID 和修订 UUID 字段。(当设置对应的元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 14(版本 2)、位 15(版本 3)或位 20(版本 4))时,发送版本 2、版� 3 或版本 4 元数据信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
66
,表示规则消息版本 2 记录。
根据防火墙配置,有成千上万条规则。每个规则都可能会生成单独的记录规则消息记录。如果缓存元数据并请求此记录,请确保分配足够的内存。
eStreamer 服务可传输用于 4.6.1+ 的分类记录中的事件的分类信息,格式如下所示。用于 4.6.1+ 的分类记录包含用于 4.6 及更低版本的分类记录中包含的字段,但也具有新 UUID 和修订 UUID 字段。(当设置版本 3 或版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 15 或位 20)时,发送分类信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
67
,表示分类版本 2 记录。
eStreamer 服务可传输包含关联策略记录中关联事件的关联策略的元数据,格式如下所示。(当设置版本 3 或版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 15 或位 20)时,发送关联策略信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
69
,表示关联策略记录。
eStreamer 服务可传输包含有关触发关联规则记录中的关联事件的关联规则的信息的元数据,格式如下所示。(当设置版本 3 或版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 15 或位 20)时,发送关联规则信息。请参阅请求标志。)请注意,
“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
70
,表示关联规则记录。
eStreamer 服务可传输包含有关与安全区名称记录中的入侵事件或连接事件关联的安全区的名称的信息的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”
(Request Flags) 字段中的位 20)时,发送安全区信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
115
,表示安全区名称记录。它包含一个 UUID 字符串数据块,该数据块的块类型为系列 2 数据块组中的 14。
eStreamer 服务可传输包含有关与接口名称记录中的入侵事件或连接事件关联的接口的名称的信息的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送接口名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
116
,表示接口名称记录。它包含一个
eStreamer 服务可传输有关触发访问控制策略名称记录中的入侵事件或连接事件的访问控制策略的名称的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送访问控制策略名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
117
,表示访问控制策略名称记录。它包含一个
访问控制策略名称数据块 (14) (Access Control Policy Name Data Block (14)) |
||||||||||||||||||||||||||||||||
访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length) |
||||||||||||||||||||||||||||||||
访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length) |
||
eStreamer 服务可传输包含有关触发访问控制规则 ID 记录中的入侵事件或连接事件的访问控制规则的信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”
(Request Flags) 字段中的位 20)时,发送访问控制规则元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
119
,表示访问控制规则 ID 记录。它包含一个规则 ID 数据块,该数据块的块类型为系列 2 数据块组中的 15。
eStreamer 服务可传输包含有关与受管设备记录中的入侵事件相关的受管设备的信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送受管设备元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
123
,表示受管设备记录。
下图中的阴影部分表示恶意软件事件记录中的字段。记录类型为 125。
您可以通过在事件版本为
2
且事件代码为
101
的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30)请求恶意软件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。它包含一个恶意软件事件数据块,该数据块的块类型为 24、33、35、44、47 或在系列 2 数据块组中。
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
||||||||||||||||||||||||||||||||
表示恶意软件事件数据块。有关详细信息,请参阅恶意软件事件数据块 7.0+。 |
eStreamer 服务可传输包含有关与思科高级恶意软件防护云名称记录中的入侵事件或连接事件相关的思科高级恶意软件防护云(简称 AMP 云或云)的名称的信息的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送 AMP 云名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
127
,表示思科高级恶意软件防护云名称记录。它包含一个
充当与连接事件关联的思科高级恶意软件防护云的唯一标识符的思科高级恶意软件防护云 ID 号码。 此字段是此记录的唯一密钥。 |
||
思科高级恶意软件防护云名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上思科高级恶意软件防护云名称中的字节数。 |
||
eStreamer 服务可传输包含恶意软件事件类型记录中的事件的恶意软件事件类型信息的元数据,格式如下所示。(当设置元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
128
,表示恶意软件事件类型记录。
eStreamer 服务可传输包含恶意软件事件子类型记录中的事件的恶意软件事件子类型信息的元数据,格式如下所示。(当设置元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
129
,表示恶意软件事件子类型记录。
eStreamer 服务可传输包含面向终端的 AMP 检测器类型记录中的事件的面向终端的 AMP 检测器类型信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送面向终端的 AMP 检测器类型信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
130
,表示面向终端的 AMP 检测器类型记录。
下表对面向终端的 AMP 检测器类型记录中的字段进行了说明。
eStreamer 服务可传输包含面向终端的 AMP 文件类型记录中的事件的面向终端的 AMP 文件类型信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”
(Request Flags) 字段中的位 1、14、15 或 20)时,发送面向终端的 AMP 文件类型信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
131
,表示面向终端的 AMP 文件类型记录。
eStreamer 服务可传输包含安全情景名称信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送安全情景名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
132
,表示安全情景名称记录。
安全情景名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“安全情景名称”(Security Context Name) 中的字节数。 |
||
关联事件(在 5.0 之前的版本中称为合规性事件)包含关联策略违规的相关信息。此消息使用标准 eStreamer 消息报头并指定记录类型为 112,随后是类型为系列 1 数据块组中的 156 的关联数据块。数据块类型 156 与其前身(块类型 128)的区别在于其包含 IPv6 支持。
关联事件的 5.4+ 版本具有地理位置、安全情报以及 SSL 支持等新字段。
只需通过扩展请求,即可从 eStreamer 请求 5.4+ 关联事件,对于提交扩展请求,您需要在流请求消息中请求事件类型代码 31 和版本代码 9(请参阅 提交扩展请求 了解有关提交扩展请求的信息)。您可以选择启用初始事件流请求消息的标志字段中的位 23,以包含扩展事件报头。您也可以启用标志字段中的位 20,以包含用户元数据。
eStreamer 服务器时间戳 (eStreamer Server Timestamp)(在事件中,只有当位 23 已设置时) |
|||||||||||||||||||||||||||||||||
请注意,记录结构包含一个字符串块类型,该数据块为系列 1 中的数据块。有关系列 1 数据块的信息,请参阅了解发现(系列 1)块。
表示随后的关联事件数据块。此字段的值始终为 156。请参阅了解发现(系列 1)块。 |
||
生成关联事件的受管设备或管理中心的内部标识号。值 0 表示管理中心。您可以通过请求版本 3 元数据获取受管设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
违反的关联策略的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
触发策略违规事件的关联规则的标识号。有关如何从数据库获取策略标识号的信息,请参阅服务记录。 |
||
启动包含关联违规事件说明的字符串数据块。此值始终设置为 0。有关字符串块的详细信息,请参阅字符串数据块。 |
||
生成触发关联事件的事件的设备的标识号。您可以通过请求版本 3 元数据获取设备名称。有关详细信息,请参阅受管设备记录元数据。 |
||
如果事件为入侵事件,则表示生成事件的 Cisco Secure Firewall 系统预处理器或规则引擎的 ID 号码。 |
||
此字段中的设置位表示后面消息中哪些是有效的字段。有关每个位值的列表,请参阅表 3-21。 |
||
|
||
保留此字段,但不再填充。源 IPv4 地址存储在源 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
保留此字段,但不再填充。目标 IPv4 地址存储在目标 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
有关获取映射到指纹 ID 的值的信息,请参阅服务记录。 |
||
启动包含 NetBIOS 域的字符串数据块。此值始终设置为 0。有关字符串块的详细信息,请参阅字符串数据块。 |
||
指示 URL 类别的编号。有关详细信息,请参阅URL 类别记录元数据。 |
||
URL 信誉的 ID 号码。请参阅 URL 信誉记录元数据 |
||
启动包含 URL 的字符串数据块。此值始终设置为 0。有关字符串块的详细信息,请参阅字符串数据块。 |
||
启动包含客户端版本的字符串数据块。此值始终设置为 0。有关字符串块的详细信息,请参阅字符串数据块。 |
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
SSL 流量的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
从版本 4.10.0 开始,eStreamer 服务使用第二系列数据块打包入侵事件额外数据等记录。有关该系列中的所有块类型列表,请参阅表 3-24。与系列 1 数据块一样,系列 2 数据块也支持可变长度字段和嵌套式数据块的层次结构。系列 2 数据块类型与系列 1 基元数据块类型一样,包括了具有的嵌套式内部块封装机制的基元数据块。但是,系列 2 块与系列 1 块具有不同的编号系统。
以下示例展示如何使用基元数据块。列表数据块(系列 2 块类型 31)定义一个操作系统指纹数组(每个指纹本身都是一个具有可变长度的类型 87 数据块)。类型 31 数据块的总体长度通过数据块长度 (Data Block Length) 字段进行自描述,包含消息的数据部分的长度,不包括块类型和块长度字段中的 8 个字节。
操作系统指纹块类型 (87) (Operating System Fingerprint Block Type (87)) |
||||||||||||||||||||||||||||||||
操作系统服务器指纹数据... (Operating System Server Fingerprint Data...) |
在下表中,“数据块状态”(Data Block Status) 字段指示该块是当前版本(最新版本)还是旧版本(在较旧的版本中使用,但仍可以通过 eStreamer 请求)。
封装可变字符串数据。有关详细信息,请参阅字符串数据块。 |
|||
封装二进制数据,专门用于横幅。有关详细信息,请参阅BLOB 数据块。 |
|||
封装其他数据块列表。有关详细信息,请参阅列表数据块。 |
|||
封装其他数据块列表。对于反序列化,它相当于列表数据块。有关详细信息,请参阅通用列表数据块。 |
|||
包含入侵事件额外数据。有关详细信息,请参阅入侵事件额外数据记录。 |
|||
包含额外数据元数据。有关详细信息,请参阅入侵事件额外数据元数据。 |
|||
各种元数据消息将 UUID 值映射到描述性字符串时使用的块。请参阅UUID 字符串映射数据块。 |
|||
包含访问控制规则的元数据。请参阅访问控制策略规则 ID 元数据块。 |
|||
包含恶意软件事件的信息,如在内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户。请参阅恶意软件事件数据块 5.1。被块 24 否决,恶意软件事件数据块 5.3.1。 |
|||
包含描述 ICMP 类型的元数据。请参阅ICMP 类型数据块。 |
|||
包含描述 ICMP 代码的元数据。请参阅ICMP 代码数据块。 |
|||
包含解释访问控制策略规则原因的信息。请参阅用于 6.0+ 的访问控制策略规则原因数据块。 |
|||
包含有关 IP 信誉类别(解释 IP 地址被阻止的原因)的信息。请参阅访问控制策略名称数据块。 |
|||
包含有关文件事件的信息,如文件的源、SHA 散列以及处置情况。请参阅用于 5.1.1.x 的文件事件。它被块 32 替代,访问控制策略规则 ID 元数据块。 |
|||
包含恶意软件事件的信息,如在内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户。请参阅恶意软件事件数据块 5.1.1.x。否决块 16,恶意软件事件数据块 5.1。被块 33 否决,恶意软件事件数据块 5.3.1。 |
|||
包含有关入侵事件的信息,包括将入侵事件与连接事件和恶意软件事件匹配的信息。请参阅入侵事件记录 5.1.1.x。被块 34 否决,入侵事件记录 5.2.x。 |
|||
包含已识别为包含恶意软件的文件的 SHA 散列和名称。请参阅用于 5.1.1-5.2.x 的文件事件 SHA 散列。被块 40 否决,用于 5.3+ 的文件事件 SHA 散列。 |
|||
包含有关用于生成事件的规则的信息。有关详细信息,请参阅用于 5.2+ 的规则文档数据块。 |
|||
包含国家/地区代码及相应的国家/地区名称。请参阅用于 5.2+ 的地理位置数据块。 |
|||
包含有关文件事件的信息,如文件的源、SHA 散列以及处置情况。请参阅用于 5.2 的文件事件。它否决用于 5.1.1.x 的文件事件。被块 38 否决,用于 5.3 的文件事件。 |
|||
包含恶意软件事件的信息,如在内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户。请参阅恶意软件事件数据块 5.2.x。否决块 24,恶意软件事件数据块 5.1.1.x。被块 35 否决,恶意软件事件数据块 5.3。 |
|||
包含有关入侵事件的信息,包括将入侵事件与连接事件和恶意软件事件匹配的信息。请参阅入侵事件记录 5.2.x。否决块 25。被块 41 否决,入侵事件记录 5.3。 |
|||
包含有关恶意软件事件的信息,包括 IOC 信息。请参阅恶意软件事件数据块 5.3。否决块 33,恶意软件事件数据块 5.2.x。被块 44 否决,恶意软件事件数据块 5.3。 |
|||
包含有关文件事件的信息,如文件的源、SHA 散列以及处置情况。请参阅用于 5.3 的文件事件。它否决块 32。被块 43 否决,恶意软件事件数据块 7.0+。 |
|||
包含有关 IOC 的信息。请参阅用于 5.3+ 的 IOC 名称数据块 |
|||
包含已识别为包含恶意软件的文件的 SHA 散列和名称。请参阅用于 5.3+ 的文件事件 SHA 散列。否决块 26,用于 5.1.1-5.2.x 的文件事件 SHA 散列。 |
|||
包含有关入侵事件的信息,包括将入侵事件与 IOC 匹配的信息。请参阅入侵事件记录 5.3。 |
|||
包含有关入侵事件的信息,包括将入侵事件与 IOC 匹配的信息。请参阅入侵事件记录 5.3.1。否决块 41,入侵事件记录 5.3。被块 45 否决,入侵事件记录 5.4.x。 |
|||
包含有关文件事件的信息,如文件的源、SHA 散列以及处置情况。请参阅用于 5.3.1 的文件事件。否决块 38,用于 5.3 的文件事件。被块 46 否决,7.0+ 的文件事件 |
|||
包含有关恶意软件事件的信息,包括 IOC 信息。请参阅恶意软件事件数据块 7.0+。否决块 35,恶意软件事件数据块 5.3。被块 47 否决,恶意软件事件数据块 7.0+ |
|||
包含有关入侵事件的信息。请参阅 入侵事件记录 5.4.x。否决块 42,入侵事件记录 5.3.1。被块 60 否决,入侵事件记录 6.x。 |
|||
包含有关文件事件的信息,如文件的源、SHA 散列以及处置情况。请参阅恶意软件事件数据块 7.0+。否决块 43,用于 5.3.1 的文件事件。 |
|||
包含有关恶意软件事件的信息,包括 IOC 信息。请参阅恶意软件事件数据块 7.0+。否决块 44,恶意软件事件数据块 5.3.1。 |
|||
包含有关 SSL 证书的信息。观察用于 5.4+ 的 SSL 证书详细信息数据块 |
|||
包含有关 SSL 规则的信息。请参阅 SSL 规则 ID |
|||
包含有关文件事件的信息。请参阅 6.x 的文件事件。否决块 46, 用于 5.4 的文件事件。 它被块类型 79 弃用, 恶意软件事件数据块 7.0+ |
|||
包含有关用户的信息。请参阅 用户记录 |
|||
包含有关网络终端的信息。请参阅 用于 6.0+ 的终端配置文件数据块 |
|||
包含关于访问控制策略规则的信息。请参阅 用于 6.0+ 的访问控制策略规则原因数据块 |
|||
包含有关入侵事件的信息。请参阅 入侵事件记录 6.x。否决块 45,入侵事件记录 5.3.1。被块 81 否决,入侵事件记录 7.1+。 |
|||
用于在许多情况下将名称映射到描述。请参阅 名称说明映射数据块 |
|||
包含有关恶意软件事件的信息。请参阅恶意软件事件数据块 6.x。否决块 44,恶意软件事件数据块 5.3.1。被块类型 80 否决, 恶意软件事件数据块 7.0+ |
|||
包含关于访问控制策略名称的信息。请参阅 访问控制策略名称数据块 |
|||
包含有关文件事件的信息。请参阅7.0+ 的文件事件。否决块 56, 6.x 的文件事件。 |
|||
包含有关恶意软件事件的信息。请参阅 恶意软件事件数据块 7.0+。否决块 62,恶意软件事件数据块 6.x。 |
|||
包含有关入侵事件的信息。请参阅 入侵事件记录 7.1+。否决块 60,入侵事件记录 6.x。 |
系列 2 和系列 1 块都包含一组用于封装可变长度块列表以及消息中的可变长度字符串和 BLOB 的基元。基元数据块具有在上文数据块报头中讨论的标准 eStreamer 块报头,
但它们仅出现在其他数据块中。给定的块类型可以包含任何数字。有关这些块的结构的详细信息,请参阅以下内容:
eStreamer 服务使用字符串数据块发送消息中的字符串数据。这些块常出现在其他数据块中,用于识别,例如,操作系统或服务器名称。
空字符串数据块(不包含任何数据,只有报头字段)的块长度为 8。eStreamer 在字符串值没有任何内容时使用空字符串数据块,出现这种情况的一个例子是,操作系统的供应商未知时操作系统数据块中的操作系统供应商字符串字段。
eStreamer 服务使用列表数据块封装数据块列表。例如,eStreamer 可以使用列表数据块发送 TCP 服务器列表,每个 TCP 服务器本身就是一个数据块。列表数据块的块类型为系列 2 数据块组中的 2。
列表块和封装数据中的字节数。例如,如果列表中包含三个子服务器数据块,则此处的值包含子服务器数据块中的字节总数,加上列表块报头的八个字节。 |
||
eStreamer 服务使用通用列表数据块封装数据块列表。例如,主机配置文件数据块包含有关多个客户端应用的信息,并使用通用列表数据块在消息中嵌入客户端应用数据块列表。通用列表数据块的块类型为系列 2 数据块组中的 3。
eStreamer 服务用访问控制策略规则 ID 元数据块包含有关访问控制策略规则 ID 的信息。此数据块的块类型为系列 2 中的 15。
访问控制策略规则 ID 元数据块类型 (15) (Access Control Policy Rule ID Metadata Block Type (15)) |
||||||||||||||||||||||||||||||||
访问控制策略规则 ID 元数据块长度 (Access Control Policy Rule ID Metadata Block Length) |
||||||||||||||||||||||||||||||||
eStreamer 服务可传输包含安全情报类别信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
282
,表示安全情报类别记录。
安全情报类别字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“配置文件名称”(File Name) 字段中的字节数。 |
||
eStreamer 服务可传输包含领域信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
300
,表示领域元数据记录。
eStreamer 服务使用终端配置文件数据块来包含有关网络终端的信息。此数据块的记录类型为系列 2 中的 301,块类型为系列 2 中的 58。
配置文件名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“配置文件名称”(Profile Name) 字段中的字节数。 |
||
eStreamer 服务可传输包含安全组信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
302
,表示安全组元数据记录。
eStreamer 服务可传输包含 DNS 记录类型信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
320
,表示 DNS 记录类型元数据记录。
DNS 记录类型名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“DNS 记录类型名称” (DNS Record Type Name) 字段中的字节数。 |
||
DNS 记录类型说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“DNS 记录类型说明” (DNS Record Type Description) 字段中的字节数。 |
||
eStreamer 服务可传输 DNS 响应类型元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
321
,表示 DNS 响应类型元数据记录。
DNS 响应类型名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“DNS 响应类型名称” (DNS Response Type Name) 字段中的字节数。 |
||
DNS 响应类型说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“DNS 响应类型说明”(DNS Response Type Description) 字段中的字节数。 |
||
eStreamer 服务可传输包含 Sinkhole 信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
322
,表示 Sinkhole 元数据记录。
Sinkhole 名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“Sinkhole 名称”(Sinkhole Name) 字段中的字节数。 |
||
eStreamer 服务可传输包含 Netmap 域信息的元数据,格式如下所示。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
350
,表示 Netmap 域元数据记录。
eStreamer服务用访问控制规则策略规则原因数据块包含有关访问控制策略规则 ID 的信息。此数据块的记录类型为系列 2 中的 124,块类型为系列 2 中的 59。它替代了块类型 21。
“原因”(Reason) 字段已从 16 位增加至 32 位。
访问控制策略规则原因数据块类型 (59) (Access Control Policy Rule Reason Data Block Type (59)) |
||||||||||||||||||||||||||||||||
访问控制策略规则原因数据块长度 (Access Control Policy Rule Reason Data Block Length) |
||||||||||||||||||||||||||||||||
访问控制策略规则原因数据块类型 (Access Control Policy Rule Reason Data Block Type) |
||
访问控制策略规则原因数据块长度 (Access Control Policy Rule Reason Data Block Length) |
访问控制策略规则原因数据块中的字节总数,包括访问控制策略规则原因数据块类型和长度字段的八个字节,加上随后的数据的字节数。 |
|
eStreamer 服务用访问控制策略名称数据块包含有关访问控制策略名称的信息。此数据块的块类型为系列 2 中的 64。
访问控制策略名称数据块类型 (64) (Access Control Policy Name Data Block Type (64)) |
||||||||||||||||||||||||||||||||
访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length) |
||||||||||||||||||||||||||||||||
访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length) |
||
eStreamer 服务使用 IP 信誉类别数据块包含有关信誉类别的信息。此数据块的块类型为系列 2 中的 22。
IP 信誉类别数据块类型 (22) (IP Reputation Category Data Block Type (22)) |
||||||||||||||||||||||||||||||||
类别名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“类别名称”(Category Name) 字段中的字节数。 |
||
文件事件数据块包含通过网络发送的文件的相关信息。这包括连接信息,文件是否是恶意软件以及用于识别文件的特定信息。文件事件的块类型为系列 2 数据块组中的 79。它替代了块类型 56。虚拟路由和转发的字段。
您可以通过在事件版本为 7 且事件代码为 111 的请求消息中设置文件事件标志(“请求标志”(Request Flags) 字段中的位 30)请求文件事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
源 IP 地址 (Source IP Address)(续) |
||||||||||||||||||||||||||||||||
目标 IP 地址 (Destination IP Address) 目标 IP 地址 (Destination IP Address)(续) |
||||||||||||||||||||||||||||||||
表示文件分析中是否使用了 SPERO 签名。如果值为 |
||
|
||
映射至文件类型的 ID 编号。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“入口 VRF ”(Ingress VRF) 名称字段中的字节数。 |
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“出口 VRF ”(Egress VRF) 名称字段中的字节数。 |
||
eStreamer 服务使用恶意软件事件数据块存储有关恶意软件事件的信息。这些事件包含关于在云内检测到或被隔离的恶意软件、检测方法以及受恶意软件影响的主机和用户的信息。恶意软件事件数据块的块类型为系列 2 数据块组中的 80。它替代了块 62。已添加虚拟路由和转发字段。
您可以通过在事件版本为 8 且事件代码为 101 的请求消息中设置恶意软件事件标志(“请求标志”(Request Flags) 字段中的位 30),将该事件作为恶意软件事件记录的一部分进行请求。
检测名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“检测名称”(Detection Name) 字段中的字节数。 |
||
文件路径字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件路径”(File Path) 字段中的字节数。 |
||
文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“文件 SHA 散列”(File SHA Hash) 字段中的字节数。 |
||
被检测或隔离文件的文件类型。此字段的含义在随此事件提供的元数据中传输。有关详细信息,请参阅面向终端的 AMP 文件类型元数据。 |
||
父文件名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件名”(Parent File Name) 字段中的字节数。 |
||
父文件 SHA 散列字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“父文件 SHA 散列”(Parent File SHA Hash) 字段中的字节数。 |
||
事件说明字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件说明”(Event Description) 字段中的字节数。 |
||
处置情况更新后的处置情况。如果处置情况未更新,则此字段包含的值与“处置情况”(Disposition) 字段包含的值相同。可能值与“处置情况”(Disposition) 字段包含的值相同。 |
||
流量通过的安全情景(虚拟防火墙)的 ID 号码。请注意,系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。 |
||
SSL 流的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括:
|
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“入口 VRF ”(Ingress VRF) 名称字段中的字节数。 |
||
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“出口 VRF ”(Egress VRF) 名称字段中的字节数。 |
||
eStreamer 服务使用文件事件 SHA 散列数据块以包含文件的 SHA 散列到其文件名的映射的元数据。块类型为系列 2 数据块列表中的 40。如果已在扩展请求中请求文件日志事件(事件代码为
111
)
且已设置位 20 或已请求元数据(事件版本为
5
,事件代码为
21
),则可以请求它。
文件的描述性名称或处置情况。如果文件是安全的,则值为 |
||
eStreamer 服务可传输包含具有文件类型 ID 的事件的文件类型信息的元数据,格式如下所示。此记录将文件类型 ID 映射到文件类型名称。当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,则发送文件类型 ID 信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在消息长度 (Message Length) 字段后面)的值为
510
,表示文件类型 ID 记录。
eStreamer 服务使用规则文档数据块包含用于生成警报的规则的相关信息。块类型为系列 2 数据块组中的 27。它可以通过类型为 10 的主机请求消息进行请求。有关详细信息,请参阅主机请求消息格式。
eStreamer 服务可传输包含文件日志存储信息的元数据。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
515
,表示文件日志存储元数据记录。
eStreamer 服务可传输包含文件日志沙盒信息的元数据。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
516
,表示文件日志沙盒元数据记录。
eStreamer 服务可传输包含文件日志 spero 信息的元数据。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
517
,表示文件日志 spero 元数据记录。
文件日志 Spero 状态说明... (Filelog Spero Status Description Length...) |
“文件日志 Spero 状态说明”(Filelog Spero Status Description Length) 中包含的字节数。 |
||
eStreamer 服务可传输包含文件日志存档信息的元数据。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
518
,表示文件日志存档元数据记录。
eStreamer 服务可传输包含文件日志静态分析信息的元数据。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
519
,表示文件日志静态分析元数据记录。
文件日志静态分析状态说明长度 (Filelog Static Analysis Status Description Length) |
||||||||||||||||||||||||||||||||
文件日志静态分析状态说明... (Filelog Static Analysis Status Description...) |
文件日志静态分析状态说明长度 (Filelog Static Analysis Status Description Length) |
文件日志静态分析状态说明 (Filelog Static Analysis Status Description) 中包含的字节数。 |
|
这是包含国家/地区代码到国家/地区名称的映射的数据块。此数据块的记录类型为系列 2 中的 520,块类型为系列 2 中的 28。它作为任何具有地理位置信息的事件的元数据显示。如果请求元数据,且事件中有国家/地区代码值,则系统将此数据块与其他元数据一起返回。
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“国家/地区名称”(Country Name) 字段中的字节数。 |
||
eStreamer 服务可传输包含文件策略名称信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送文件策略名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
530
,表示文件策略名称记录。
eStreamer 服务可传输包含 SSL 策略名称信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 策略名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
600
,表示 SSL 策略名称记录。
eStreamer 服务可传输包含 SSL 规则 ID 信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 规则 ID 信息。请参阅请求标志。)请注意,“记录类型”(Record Type)
字段(出现在“消息长度”(Message Length) 字段后面)的值为
601
,表示 SSL 规则 ID 记录。
eStreamer 服务可传输包含具有 SSL 密码 ID 的事件的 SSL 密码套件信息的元数据,格式如下所示。此记录将 SSL 密码 ID 映射到 SSL 密码套件名称。当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 密码套件信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
602
,表示 SSL 密码套件记录。
eStreamer 服务可传输包含具有 SSL 版本的事件的 SSL 版本信息的元数据,格式如下所示。此记录将 SSL 版本 ID 映射到 SSL 版本名称。当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 密码套件信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”
(Message Length) 字段后面)的值为
604
,表示 SSL 版本记录。
eStreamer 服务可传输包含 SSL 服务器证书状态信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 服务器证书状态信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
605
,表示 SSL 服务器证书状态记录。
SSL 服务器证书状态说明长度 (SSL Server Certificate Status Description Length) |
||||||||||||||||||||||||||||||||
SSL 服务器证书状态说明... (SSL Server Certificate Status Description...) |
SSL 服务器证书状态说明长度 (SSL Server Certificate Status Description Length) |
SSL 服务器证书状态说明 (SSL Server Certificate Status Description) 中包含的字节数。 |
|
eStreamer 服务可传输包含 SSL 实际操作信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 实际操作信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
606
,表示 SSL 实际操作记录。
eStreamer 服务可传输包含 SSL 预期操作信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 预期操作信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
607
,表示 SSL 预期操作记录。
eStreamer 服务可传输包含 SSL 流状态信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL 流状态信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
608
,表示 SSL 流状态记录。
eStreamer 服务可传输包含 SSL URL 类别信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 SSL URL 类别信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
613
,表示 SSL URL 类别记录。
此数据块提供有关 SSL 证书的详细信息。此数据块的记录类型为系列 2 中的 614,块类型为系列 2 中的 50。它作为任何具有 SSL 信息的事件的元数据显示。这些包括恶意软件事件、文件事件、入侵事件、连接事件以及关联事件。
SSL 证书详细信息块类型 (50) (SSL Certificate Details Block Type (50)) |
||||||||||||||||||||||||||||||||
由发行 CA 分配的序列号。尽管序列号的长度不能超过 20 个字节,但根据“序列号长度”(Serial Number Length) 字段中的规定,此值可能小于 20 个字节。 |
||
eStreamer 服务可传输包含网络分析策略名称信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送网络分析策略名称信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
700
,表示网络分析策略名称记录。