此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章提供有关发现和连接事件的 eStreamer 消息中使用的数据结构以及这些事件的元数据的详细信息。发现和连接事件消息使用相同的通用消息格式以及数据块系列;区别在于数据块本身的内容。
连接事件报告有关被监控主机与所有其他主机之间的会话流量的信息。连接信息包括事务的第一个和最后一个数据包、源 IP 地址和目标 IP 地址、源端口和目标端口以及发送和接收的数据包数和字节数。如适用,连接事件也报告会话中涉及的客户端应用和 URL。
有关从 eStreamer 服务器请求发现或连接事件的信息,请参阅请求标志。
有关 eStreamer 事件数据消息的通用结构的信息,请参阅了解事件数据消息的组织。
有关发现和连接事件数据结构的详细信息,请参阅本章中的以下各节:
eStreamer 采用相同的消息结构来打包发现和连接事件的数据,该结构包含:
您可以通过元数据版本号请求元数据。有关与您的 Cisco Secure Firewall 系统的版本对应的元数据版本,请参阅了解元数据。有关 eStreamer 如何流传输元数据记录的重要信息,请参阅元数据传输。
有关主机发现和用户事件记录的各种元数据记录类型的结构的信息,请参阅:
有关入侵和关联事件的元数据记录,请参阅入侵事件和元数据记录类型。
eStreamer 服务可传输用于指纹记录中的事件的指纹元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送指纹元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
54
,表示指纹记录。
eStreamer 服务可传输用于客户端应用记录中的事件的客户端应用元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送客户端应用元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
55
,表示客户端应用记录。
eStreamer 服务可传输包含漏洞记录中的事件的漏洞信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”
(Message Length) 字段后面)的值为
57
,表示漏洞记录。
漏洞影响,与通过入侵数据、主机发现事件和漏洞评估的关联确定的影响级别对应。其值可能为 |
||
eStreamer 服务可传输包含临界点记录中的事件的主机临界点信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送临界点信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
58
,表示临界点记录。
eStreamer 服务可传输包含网络协议记录中的事件的网络协议信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送网络协议信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为 59,表示网络协议记录。
eStreamer 服务可传输包含属性记录中的事件的属性信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送属性信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
60
,表示属性记录。
eStreamer 服务可传输包含扫描类型记录中的事件的扫描类型信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送扫描类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
61
,表示扫描类型记录。
eStreamer 服务可传输包含服务记录中事件的服务信息的元数据,格式如下所示。服务应用协议的应用 ID 提供对元数据的交叉引用。(当设置其中一个元数据标志(请求消息的“请求标志”
(Request Flags) 字段中的位 1、14、15 或 20)时,发送服务信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
63
,表示服务记录。
eStreamer 服务可传输包含源类型记录中的事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
90
,表示源类型记录。
eStreamer 服务可传输包含源应用记录中的主机发现事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源应用信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
91
,表示源应用记录。
eStreamer 服务可传输包含源类型记录中的主机发现事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
96
,表示源检测器记录。
eStreamer 服务可传输包含第三方扫描仪漏洞记录中事件的第三方漏洞信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
106
,表示第三方扫描仪漏洞记录。
eStreamer 服务可传输包含用户记录中的系统检测到的用户的相关信息的元数据,格式如下所示。(当设置版本 4 元数据和策略事件请求标志(分别为请求消息的“请求标志”(Request Flags) 字段中的位 20 和位 22)时,发送用户信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
98
,表示用户记录。
系统可检测来自网站的 HTTP 流量的内容(如适用)。主机发现事件的 Web 应用元数据可能包括特定类型的内容(例如,WMV 或 QuickTime)。
eStreamer 服务可传输用于 Web 应用记录中的事件的 Web 应用元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 Web 应用元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
109
,表示 Web 应用记录。
eStreamer 服务可传输包含入侵策略名称记录中连接事件的入侵策略名称信息,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的版本 4 元数据位 20)时,发送入侵策略名称信息。请参阅请求标志。)请注意,入侵策略名称记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
118
,表示入侵策略名称记录。它包含一个 UUID 字符串数据块,该数据块的块类型为系列 2 数据块组中的 14。
eStreamer 服务可传输包含与访问控制规则操作记录中已触发的访问控制规则相关的操作的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送访问控制规则操作信息。请参阅请求标志。)请注意,访问控制规则操作记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
120
,表示访问控制规则操作记录。
eStreamer 服务可传输包含与 URL 类别记录的连接日志中的 URL 相关的类别名称的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送 URL 类别信息。请参阅请求标志。)请注意,记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
121
,表示 URL 类别记录。
eStreamer 服务可传输包含与 URL 信誉记录的连接日志中的 URL 相关的信誉(即风险水平)的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送 URL 信誉信息。请参阅请求标志。)请注意,URL 信誉元数据记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
122
,表示 URL 信誉元数据记录。
eStreamer 服务可传输包含访问控制规则原因记录中访问控制规则触发入侵事件或连接事件的原因相关信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送访问控制规则原因元数据。请参阅请求标志。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
124
,表示访问控制规则原因记录。它包含访问控制规则原因块(如访问控制规则原因数据块 6.0+中所记录)。访问控制规则原因数据块的块类型为系列 2 中的 59。
访问控制规则原因块类型 (59) (Access Control Rule Reason Block Type (59)) |
||||||||||||||||||||||||||||||||
eStreamer服务在访问控制策略元数据记录内传输包含有关触发入侵事件或连接事件的访问控制策略信息的元数据,其格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送访问控制规则策略元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
145
,表示访问控制策略元数据记录。它包含访问控制策略元数据块(如访问控制策略元数据块 6.0+中所记录)。访问控制策略元数据块的块类型为系列
访问控制策略元数据块类型 (64) (Access Control Policy Metadata Block Type (64)) |
||||||||||||||||||||||||||||||||
eStreamer 服务可传输包含预过滤器策略相关信息的元数据(此策略会触发预过滤器策略元数据记录中的入侵事件或连接事件),格式如下所示当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送预过滤器策略元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
146
,表示预过滤器策略元数据记录。它包含访问控制策略元数据块(如访问控制策略元数据块 6.0+中所记录)。访问控制策略元数据块的块类型为系列
访问控制策略元数据块类型 (64) (Access Control Policy Metadata Block Type (64)) |
||||||||||||||||||||||||||||||||
eStreamer 服务可传输包含预过滤器规则原因相关信息的元数据(此策略会触发预过滤器规则原因记录中的入侵事件或连接事件),格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送隧道或预过滤器规则原因元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
147
,表示隧道或预过滤器规则原因记录。
由于它们的内容相同,因此它包含访问控制规则原因块(如访问控制规则数据块中所记录)。访问控制规则原因数据块的块类型为系列 2 中的 59。
隧道或预过滤器规则元数据块类型 (15) (Tunnel or Prefilter Rule Metadata Block Type (15)) |
||||||||||||||||||||||||||||||||
隧道或预过滤器规则元数据块长度 (Tunnel or Prefilter Rule Metadata Block Length) |
||||||||||||||||||||||||||||||||
eStreamer 服务可传输包含安全情报类别记录中的安全情报类别相关信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送安全情报类别元数据。请参阅请求标志。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
280
,表示安全情报类别记录。它包含安全情报类别数据块(如安全情报类别数据块 5.1+中所记录)。安全情报数据块的块类型为系列 2 中的 22。
安全情报类别块类型 (22) (Security Intelligence Category Block Type (22)) |
||||||||||||||||||||||||||||||||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“安全情报列表名称”(Security Intelligence Name) 字段中的字节数。 |
||
eStreamer服务可传输包含安全情报源/目标记录中安全情报检测到的 IP 地址是源 IP 地址还是目标 IP 地址这一信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源/目标 IP 信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”
(Message Length) 字段后面)的值为
281
,表示安全情报源/目标记录。
安全情报源/目标长度 (Security Intelligence Source/Destination Length) |
||||||||||||||||||||||||||||||||
安全情报源/目标长度 (Security Intelligence Source/ Destination Length) |
||
IOC 状态数据块提供有关危害表现 (IOC) 的信息。块类型为系列 1 中的 150。主机跟踪器用该数据块存储有关主机存在的危害的信息。下图显示 IOC 状态数据块的结构:
此数据块提供危害表现 (IOC) 的类别和事件类型。此数据块的记录类型为系列 2 中的 161,块类型为系列 2 中的 39。它作为任何具有 IOC 信息的事件的元数据显示。这些包括恶意软件事件、文件事件和入侵事件。
发现和连接事件消息包含发现事件报头。它传送事件的类型和子类型、事件发生的时间、出现该事件的设备以及消息中事件数据的结构。报头后面是实际主机发现、用户或连接事件数据。按事件类型划分的主机发现结构中介绍了与不同事件类型/子类型值相关的结构。此报头具有 IPv6 支持,并否决发现事件报头 5.0 - 5.1.1.x。
发现事件报头的事件类型和事件子类型字段用于识别传输的事件消息的结构。一旦确定事件数据块的结构,您的程序即可对消息进行适当解析。
eStreamer 服务器时间戳 (eStreamer Server Timestamp) |
||||||||||||||||||||||||||||||||
生成发现事件的设备的 ID 号码。您可以通过请求版本 3 和版本 4 元数据获取设备的元数据。有关详细信息,请参阅受管设备记录元数据。 |
||
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
事件类型(新事件为 |
||
事件子类型。有关可用事件子类型列表,请参阅按事件类型划分的主机发现结构。 |
||
“事件类型”(Event Type) 和“事件子类型”(Event Subtype) 字段中的值对主机发现或用户数据消息中包含的事件进行识别和分类。它们也识别消息中的数据的结构。
eStreamer 根据发现事件报头中指示的事件类型构建主机发现事件消息。以下子节对每个事件类型的结构进行了概括性说明:
新主机消息与主机上次查看时间事件消息具有标准发现事件报头和主机配置文件数据块(如用于 5.2+ 的主机配置文件数据块中所记录)。主机配置文件数据块的块类型为系列 1 中的 139。
请注意,主机上次查看时间消息仅包含在发现检测策略中设置的更新间隔期间更改的主机上服务器的服务器信息。换句话说,只有自系统上次报告信息起已经更改的服务器才会包含到主机上次查看时间消息中。
以下 TCP 和 UDP 服务器事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟服务器数据块(如主机服务器数据块 4.10.0+中所记录,系列 1 中的块类型 103):
新网络协议事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个用于网络协议的两字节字段(使用下表中描述的协议值)。
新传输协议事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录,系列 1 中的块类型 4),以及一个用于传输协议号的单字节字段(使用下表中描述的值)。
新客户端应用、客户端应用更新以及客户端应用超时事件具有相同格式,且都包含一个标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个客户端应用数据块(请参阅用于 5.0+ 的主机客户端应用数据块,系列 1 中的块类型 122)。发现事件报头具有不同的记录类型、事件类型和事件子类型,这取决于传输的事件。
以下主机发现消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和两种不同的形式与结构,一种 IP 地址为四个字节,另一种 IP 地址为 16 个字节。
在以下情况下,IP 地址(采用 IP 地址八位组)为四个字节:
操作系统信息更新事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟操作系统数据块(如操作系统数据块 3.5+中所记录,系列1 中的块类型 53)。
MAC 信息更改和检测到主机的其他 MAC 消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),1 个字节用于 TTL 值,6 个字节用于 MAC 地址,1 个字节用于指示通过 ARP/DHCP 流量检测的 MAC 地址是否为实际 MAC 地址。
请注意,MAC 地址数据块报头 不 用于 MAC 信息更改和检测到主机的其他 MAC 消息。
识别为路由器/网桥的主机事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用于与主机类型匹配的值的四字节字段:
VLAN 标签信息更新事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟 VLAN 数据块(如VLAN 数据块中所记录)。VLAN 数据块的块类型为系列 1 数据块组中的 14。
更改 NetBIOS 名称事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个字符串信息数据块(如字符串信息数据块中所记录)。字符串信息数据块的块类型为系列1 中的 35。
更新横幅事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个服务器横幅数据块(如服务器横幅数据块中所记录)。服务器横幅数据块的块类型为系列1 中的 37。
策略控制消息事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟策略控制消息数据块。策略控制消息数据块的格式因系统版本而异。有关当前版本的策略控制消息数据块格式的信息,请参阅策略引擎控制消息数据块。
连接统计信息事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟连接统计信息数据块。连接统计信息数据块的每个版本的文档都包含使用该数据块的系统版本。有关用于版本 6.1+ 的连接统计信息数据块格式的信息,请参阅连接统计信息数据块 7.1+。
连接区块事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟连接区块数据块。格式因系统版本而异。有关当前版本的连接区块数据块格式的信息,请参阅用于 6.1+ 的连接区块数据块。连接区块数据块的块类型为系列 1 中的 136。
用户设置有效漏洞、用户设置无效漏洞以及用户漏洞限定条件消息使用相同的数据格式:标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户漏洞更改数据块(请参阅用户漏洞更改数据块 4.7+,系列 1 中的块类型 80)。它们通过记录类型、事件类型和事件子类型进行区分。
以下主机输入事件消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户主机数据块(请参阅用户主机数据块 4.7+,系列 1 中的块类型 78):
用户删除服务器消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户服务器列表数据块(请参阅用户服务器列表数据块)。用户服务器列表数据块的块类型为系列 1 中的 77。
用户设置主机临界点消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户临界点更改数据块(请参阅用户临界点更改数据块 4.7+)。用户临界点更改数据块的块类型为系列 1 中的 81。
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟属性定义数据块(如用于 4.7+ 的属性定义数据块中所记录,系列 1 中的块类型 55):
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户属性值数据块(如用户属性值数据块 4.7+中所记录,系列 1 中的块类型 82):
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),接着是用户产品数据块(如用户产品数据块 5.1+中所记录,系列 1 中的块类型 60):
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户协议列表数据块(如用户协议列表数据块 4.7+中所记录,系列 1 中的块类型 83):
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户客户端应用列表数据块(如用户客户端应用列表数据块中所记录,系列 1 中的块类型 60):
添加扫描结果事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟扫描结果数据块(如扫描结果数据块 5.2+中所记录)。扫描结果数据块的块类型为系列 1 中的 142。
新操作系统事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟操作系统指纹数据块(如操作系统指纹数据块 5.1+中所记录)。
身份冲突和身份超时事件消息都具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟身份数据块(如身份数据块中所记录)。身份数据块的块类型为系列 1 中的 94。当指纹源身份中存在冲突或超时时,系统生成这些消息。
主机 IOC 设置消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟整数数据块(如整数 (INT32) 数据块中所记录)。此整数数据块包含主机的 IOC 设置的 ID 号码。
用户修改事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和用户信息数据块(如用于 6.0+ 的用户信息数据块中所记录)。用户信息数据块的块类型为系列 1 中的 120。
当系统检测到用户的登录出现变更(用户登录事件 - 事件类型 1004,子类型 2)时,系统会发送用户信息更新消息。当用户登录失败(失败的用户登录事件 - 事件类型 1004,子类型 5)、VPN 用户登录(VPN 用户登录事件 - 事件类型 1004,子类型 8)或 VPN 用户注销(VPN 用户注销事件 - 事件类型 1004,子类型 9)时,也会使用此块。
用户信息更新事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和用户登录信息数据块(如用户登录信息数据块 6.2+中所记录)。用户登录信息数据块的块类型为系列 1 中的 121。
大多数发现和连接事件包含系列 1 数据结构组中的一个或多个数据块。每个系列 1 数据块类型传输一种特定类型的信息。块类型编号出现在数据块中数据前面的数据块报头中。有关块报头格式的信息,请参阅数据块报头。
有关主机发现和连接事件中的块类型列表,请参阅表 4-30。表 4-86对用户事件中的块类型进行了说明。这些都是系列1 数据块。
下表中的每个条目都包含一个到定义数据块的子节的链接。表中指出了每个块类型的状态(当前版本或旧版本)。当前版本数据块是最新版本。旧数据块是用于产品的较旧版本的数据块,但仍然可以向 eStreamer 请求其消息格式。
包含字符串数据。有关详细信息,请参阅字符串数据块。 |
|||
包含在服务器上检测到的子服务器的相关信息。有关详细信息,请参阅子服务器数据块。 |
|||
包含协议数据。有关详细信息,请参阅协议数据块。 |
|||
包含整数(数字)数据。有关详细信息,请参阅整数 (INT32) 数据块。 |
|||
包含一个原始二进制数据块,专门用于横幅。有关详细信息,请参阅BLOB 数据块。 |
|||
包含其他数据块列表。有关详细信息,请参阅列表数据块。 |
|||
包含 VLAN 信息。有关详细信息,请参阅VLAN 数据块。 |
|||
包含入侵影响警报信息。入侵影响警报事件的报头与其他数据块略有不同。有关详细信息,请参阅入侵影响警报数据 5.3+。 |
|||
包含通用列表信息,例如用来将块(如客户端应用块)列表封装到主机配置文件块中。有关详细信息,请参阅通用列表块。 |
|||
包含字符串信息。例如,在扫描漏洞数据块中使用时,字符串信息数据块包含 CVE 标识号数据。请参阅字符串信息数据块。 |
|||
包含服务器横幅数据。有关详细信息,请参阅服务器横幅数据块。 |
|||
包含主机属性列表项值。有关详细信息,请参阅属性列表项数据块。 |
|||
包含属性标识号和主机属性值。有关详细信息,请参阅属性值数据块。 |
|||
包含在服务器上检测到的子服务器的相关信息。在完整服务器信息块和完整主机配置文件中引用。包含每个子服务器的漏洞信息。有关详细信息,请参阅完整子服务器数据块。 |
|||
包含用于版本 3.5+ 的操作系统信息。有关详细信息,请参阅操作系统数据块 3.5+。 |
|||
包含有关用户策略控制更改的信息。有关详细信息,请参阅策略引擎控制消息数据块。 |
|||
包含有关属性定义的信息。有关详细信息,请参阅用于 4.7+ 的属性定义数据块。 |
|||
包含用户输入的协议信息。有关详细信息,请参阅用户协议数据块。 |
|||
包含用户输入的客户端应用数据。有关详细信息,请参阅用于 5.0 - 5.1 的用户客户端应用数据块。被块 138 替代。 |
|||
包含用户客户端应用数据块的列表。有关详细信息,请参阅用户客户端应用列表数据块。 |
|||
包含 IP 地址范围规格。有关详细信息,请参阅用于 5.0 - 5.1.1.x 的 IP 范围规格数据块。被块 141 替代。 |
|||
包含属性名称和值。有关详细信息,请参阅属性规格数据块。 |
|||
包含 MAC 地址范围规格。有关详细信息,请参阅MAC 地址规格数据块。 |
|||
包含 IP 和 MAC 地址规格块列表。有关详细信息,请参阅地址规格数据块。 |
|||
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用于 5.0.x 的用户产品数据块。5.0 中引入的后继块类型 118 的结构与块类型 65 的结构相同。 |
|||
包含连接区块信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。5.0 中引入的后继块类型 119 的结构与块类型 66 的结构相同。 |
|||
包含适用于主机的修复。有关详细信息,请参阅修复列表数据块。 |
|||
包含用户输入事件的服务器信息。有关详细信息,请参阅用户服务器数据块。 |
|||
包含用户服务器块列表。有关详细信息,请参阅用户服务器列表数据块。 |
|||
包含用户主机输入事件的主机范围的相关信息。有关详细信息,请参阅用户主机数据块 4.7+。 |
|||
包含停用或激活的漏洞的列表。有关详细信息,请参阅用户漏洞更改数据块 4.7+。 |
|||
包含一个或多个主机的临界点更改相关信息。有关详细信息,请参阅用户临界点更改数据块 4.7+。 |
|||
包含一个或多个主机的属性值更改。有关详细信息,请参阅用户属性值数据块 4.7+。 |
|||
包含一个或多个主机的协议列表。有关详细信息,请参阅用户协议列表数据块 4.7+。 |
|||
包含适用于主机的漏洞。有关详细信息,请参阅主机漏洞数据块 4.9.0+。 |
|||
包含操作系统指纹列表。有关详细信息,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。版本 5.1 中引入的后继块的块类型为 130。 |
|||
包含主机的配置文件信息。有关详细信息,请参阅用于 5.2+ 的主机配置文件数据块。版本 5.1 中引入的后继块的块类型为 132。 |
|||
包含主机的身份数据。有关详细信息,请参阅身份数据块。 |
|||
包含主机的 MAC 地址信息。有关详细信息,请参阅主机 MAC 地址 4.9+。 |
|||
包含辅助辅助主机更新报告的 MAC 地址信息列表。 |
|||
包含用于新客户端应用事件的客户端应用信息(如较早版本的产品中所记录)。5.0 中引入的后继块类型 122 的结构与块类型 100 的结构相同。 |
|||
包含漏洞的相关信息,且在”添加扫描结果“事件中使用。请参阅扫描结果数据块 5.0 - 5.1.1.x。 |
|||
包含主机的服务器信息。有关详细信息,请参阅主机服务器数据块 4.10.0+。 |
|||
包含主机的服务器信息。有关详细信息,请参阅完整主机服务器数据块 4.10.0+。 |
|||
包含服务器指纹中使用的服务器信息。有关详细信息,请参阅用于 4.10.x、5.0 - 5.0.2 的服务器信息数据块。5.0 中引入的后继块类型 117 的结构与块类型 105 的结构相同。 |
|||
包含在主机上检测到的服务器的相关信息。有关详细信息,请参阅完整服务器信息数据块。 |
|||
包含 Nmap 扫描的结果。有关详细信息,请参阅用于 4.10.0+ 的一般扫描结果数据块。 |
|||
包含有关第三方扫描检测到的漏洞的信息。请参阅用于 4.10.0+ 的扫描漏洞数据块。 |
|||
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.0 - 5.0.2。替代数据块 92。 |
|||
包含用于新客户端应用事件的客户端应用信息,且包含漏洞列表。有关详细信息,请参阅完整主机客户端应用数据块 5.0+。 |
|||
包含 5.0 - 5.0.2 中连接统计信息事件的信息。有关详细信息,请参阅连接统计信息数据块 5.0 - 5.0.2。版本 5.1 中引入的后继块的块类型为 126。 |
|||
包含服务器指纹中使用的服务器信息。有关详细信息,请参阅用于 4.10.x、5.0 - 5.0.2 的服务器信息数据块。 |
|||
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用于 5.0.x 的用户产品数据块。先趋块类型 65(在 5.0 中替代)的结构与此块类型的结构相同。版本 5.1 中引入的后继块的块类型为 132。 |
|||
包含用于版本 4.10.1 - 5.1 的连接区块信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。后继块为 136。 |
|||
包含用于版本 5.0+ 的新客户端应用事件的客户端应用信息。有关详细信息,请参阅用于 5.0+ 的主机客户端应用数据块。它替代块类型100。 |
|||
包含用于版本 5.0+ 的 Web 应用数据。有关详细信息,请参阅用于 5.0+ 的 Web 应用数据块。它替代块类型97。 |
|||
包含一个或多个主机的漏洞相关信息。请参阅用户漏洞数据块 5.0+。它替代块类型 79。 |
|||
包含有关 4.10.2 中连接统计信息事件的信息(如较早版本的产品中所记录)。版本 5.1 中引入的后继块的块类型为 115。 |
|||
包含 5.1 中连接统计信息事件的信息。有关详细信息,请参阅连接统计信息数据块 5.1。它替代块类型 115。此块类型被块类型 137 替代。 |
|||
包含操作系统指纹列表。有关详细信息,请参阅操作系统指纹数据块 5.1+。它替代块类型87。 |
|||
包含检测到的移动设备的硬件的相关信息。有关详细信息,请参阅用于 5.1+ 的移动设备 信息数据块。 |
|||
包含主机的配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.2.x。它替代块类型 91。被块 139 替代。 |
|||
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用户产品数据块 5.1+。这替代先趋块类型 118。 |
|||
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.1.1。替代数据块 111。 |
|||
包含连接区块信息。有关详细信息,请参阅用于 6.1+ 的连接区块数据块。替代块 119。 |
|||
包含 5.1.1 中连接事件的信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。它替代块类型 126。它被块类型 144 替代。 |
|||
包含用户输入的客户端应用数据。有关详细信息,请参阅用于 5.1.1+ 的用户客户端应用数据块。它替代块类型 。 |
|||
包含主机的配置文件信息。有关详细信息,请参阅用于 5.2+ 的主机配置文件数据块。它替代块类型 132。 |
|||
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.3+。替代数据块 135。 |
|||
包含 IP 地址范围规格。有关详细信息,请参阅用于 5.2+ 的 IP 地址范围数据块。它替代块 61。 |
|||
包含漏洞的相关信息,且在添加扫描结果事件中使用。请参阅扫描结果数据块 5.2+。它替代块 102。 |
|||
包含主机的 IP 地址和上次查看时间信息。有关详细信息,请参阅主机 IP 地址数据块。 |
|||
包含 5.2.x 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.2.x。它替代块类型 137。 |
|||
包含 5.2+ 的主机属性地址。有关详细信息,请参阅属性地址数据块 5.2+。它替代块类型 38。 |
|||
包含有关用户 IOC 更改的信息。有关详细信息,请参阅用户 IOC 更改数据块 5.3+。 |
|||
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.3+。替代数据块 135。 |
|||
包含 5.3+ 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.3。它替代块类型 144。 |
|||
包含 5.3 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.3.1。它替代块类型 152。 |
|||
包含 5.4 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.4。它替代块类型 154。 |
|||
包含 5.4.1 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.4.1。它替代块类型 155。 |
|||
包含 5.4.1 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 6.0.x。它替代块类型 157。 |
|||
包含 6.0+ 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 7.1+。它替代块类型 160。 |
字符串数据块用于发送系列 1 块中的字符串数据。字符串数据块通常出现在其他系列 1 数据块中,用于描述操作系统或服务器名称等。
空字符串数据块(不包含任何字符串数据的字符串数据块)的块长度值为
8
,随后是零字节字符串数据。字符串值没有任何内容时返回空字符串数据块,可能出现这种情况的一个例子是,操作系统的供应商未知时操作系统数据块中的操作系统供应商字符字段。
列表数据块用于封装系列 1 数据块列表。例如,如果正在传输 TCP 服务器列表,则包含数据的服务器数据块封装在列表数据块中。列表数据块的块类型为系列 1 数据块组中的 11。
列表块和封装数据中的字节数。例如,如果列表中包含三个子服务器数据块,则此处的值包含子服务器数据块中的字节数,加上列表块报头的八个字节。 |
||
通用列表数据块用于封装系列 1 数据块列表。例如,当在主机配置文件数据块中传输客户端应用信息时,客户端应用数据块列表封装在通用列表数据块中。通用列表数据块的块类型为系列 1 数据块组中的 31。
协议数据块定义协议。它是非常简单的数据块,只有块类型、块长度和识别协议的 IANA 协议号。协议数据块的块类型为系列 1 数据块组中的 4。
服务器横幅数据块提供有关主机上运行的服务器的横幅的信息。它包含服务器端口、协议以及横幅数据。服务器横幅数据块的块类型为系列 1 数据块组中的 37。
用户 IOC 更改数据块包含有关用户进行的 IOC 更改的信息。它用于用户主机 IOC 删除、用户主机 IOC 启用和用户主机 IOC 禁用记录。该数据块的块类型为系列 1 数据块组中的 148。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
完整子服务器数据块传输与在主机上检测到的服务器关联的子服务器的相关信息,并且包含子服务器的相关信息,如子服务器的供应商和版本以及主上子服务器的任何相关 VDB 和第三方漏洞。子服务器是具有自己的关联漏洞的服务器可加载模块。完整主机服务器数据块包含用于在主机上检测到的每个子服务器的完整子服务器数据块。完整子服务器数据块的块类型为系列 1 数据块组中的 51。
(第三方扫描)主机漏洞数据块 ((Third Party Scan) Host Vulnerability Data Blocks)* |
包含思科识别的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
||
第三方扫描主机漏洞数据块 (Third Party Scan Host Vulnerability Data Blocks) * |
包含第三方漏洞扫描仪识别的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
用于版本 3.5+ 的操作系统数据块的块类型为系列 1 数据块组中的 53。该块包含指纹通用唯一标识符 (UUID)。下图显示 3.5+ 中操作系统数据块的格式:
操作系统数据块中的字节数。此值应始终为 |
||
策略引擎控制消息数据块传输策略类型的控制消息内容。策略引擎控制消息数据块的块类型为系列 1 数据块组中的 54。
策略引擎控制消息块类型 (54) (Policy Engine Control Message Block Type (54)) |
||||||||||||||||||||||||||||||||
属性定义数据块包含属性创建、更改或删除事件中的属性定义,在主机属性添加事件(事件类型 1002,子类型 6)、主机属性更新事件(事件类型 1002子类型 7)以及主机属性删除事件(事件类型 1002,子类型 8)中使用。其块类型为系列 1 数据块组中的 55。
有关这些事件的详细信息,请参阅属性消息。
属性列表项数据,如属性列表项数据块中所记录。 |
||
属性地址数据,如属性地址数据块 5.2+中所记录。 |
用户协议数据块用于包含已添加协议、协议类型以及具有该协议的主机的 IP 地址和 MAC 地址范围列表的相关信息。用户协议数据块的块类型为系列 1 数据块组中的 57。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
包含用于用户输入的 MAC 地址范围相关信息的 MAC 范围规格数据块。有关此数据块的说明,请参阅MAC 地址规格数据块。 |
||
用户客户端应用数据块包含客户端应用数据来源、添加数据的用户的标识号以及 IP 地址范围数据块列表的相关信息。版本 7.2 中添加的负载 ID 指定与记录相关的应用实例。用户客户端应用数据块的块类型为系列 1 数据块组中的 138。它取代块类型 59。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
用户客户端应用列表数据块包含客户端应用数据来源、添加数据的用户的标识号以及客户端应用块列表的相关信息。用户客户端列表应用数据块的块类型为系列 1 数据块组中的 60。
用户客户端应用列表数据块...(User Client Application List Data Blocks...) |
用户客户端应用列表数据块中的字节总数,包括用户客户端应用列表块类型和长度字段的八个字节,加上随后的用户客户端应用列表数据的字节数。 |
||
封装用户客户端应用数据块数最多可以是列表块长度中的最大字节数。有关用户客户端应用数据块的详细信息,请参阅用于 5.1.1+ 的用户客户端应用数据块。 |
用于 5.2+ 的 IP 地址范围数据块传输一系列 IP 地址。IP 地址范围数据块在用户协议、用户客户端应用、地址规格、用户产品、用户服务器、用户主机、用户漏洞、用户临界点以及用户属性值数据块中使。IP 地址范围数据块的块类型为系列 1 数据块组中的 141。
IP 地址范围数据块中的字节总数,包括 IP 地址范围块类型和长度字段的八个字节,加上随后的 IP 地址范围数据的字节数。 |
||
主机 IP 地址数据块传输单个 IP 地址。该 IP 地址可能是 IPv4 或 IPv6 地址。主机 IP 地址数据块在用户协议、地址规格以及用户主机数据块中使用。主机 IP 数据块的块类型为系列 1 数据块组中的 143。
主机 IP 地址规格块类型 (143) (Host IP Address Specification Block Type (143)) |
||||||||||||||||||||||||||||||||
主机 IP 地址数据块中的字节总数,包括主机 IP 块类型和长度字段的八个字节,加上随后的主机 IP 地址数据的字节数。 |
||
MAC 地址规格数据块传输单个 MAC 地址。MAC 地址规格数据块在用户协议、地址规格以及用户主机数据块中使用。MAC 地址规格数据块的块类型为系列 1 数据块组中的 63。
MAC 地址规格块类型 (63) (MAC Address Specification Block Type (63)) |
||||||||||||||||||||||||||||||||
MAC 地址规格数据块中的字节总数,包括 MAC 地址规格块类型和长度字段的八个字节,加上随后的 MAC 地址规格数据的字节数。 |
||
地址规格数据块用于包含 IP 地址范围规格和 MAC 地址规格列表。地址规格数据块的块类型为系列 1 数据块组中的 64。
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...) |
||||||||||||||||||||||||||||||||
封装 IP 地址范围规格数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
封装 MAC 地址规格数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅MAC 地址规格数据块。 |
连接区块数据块传送连接数据。它存储五分钟内汇聚的连接日志数据。6.1+ 版本引入了新字段“原始客户端 IP 地址”。连接区块数据块的块类型为系列 1 数据块组中的 164。它替代块类型 136。
用户服务器数据块包含用户输入事件的服务器详细信息。用户服务器数据块的块类型为系列 1 数据块组中的 76。
用户主机数据块在用户添加和删除主机消息中使用,用于包含用户主机输入事件的主机范围以及用户和源身份的相关信息。用户主机数据块的块类型为系列 1 数据块组中的 78。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
包含用于用户输入的 MAC 地址范围相关信息的 MAC 范围规格数据块。有关此数据块的说明,请参阅MAC 地址规格数据块。 |
||
用户漏洞更改数据块包含主机的停用漏洞列表、停用漏洞的用户的标识号、提供漏洞更改的源的相关信息以及临界点值。用户漏洞更改数据块的块类型为系列 1 数据块组中的 80。对之前用户漏洞更改数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储漏洞停用。此数据块在用户漏洞更改消息中使用,如用于版本 4.6.1+ 的用户设置漏洞消息中所记录。
用户漏洞更改数据块类型 (80) (User Vulnerability Change Data Block Type (80)) |
||||||||||||||||||||||||||||||||
封装用户漏洞数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用户漏洞数据块 5.0+。 |
用户临界点数据块用于包含主机临界点已更改的主机的 IP 地址范围规格列表、更新临界值的用户的标识号、提供临界值的源的相关信息以及临界值。用户临界点数据块的块类型为系列 1 数据块组中的 81。对之前用户临界点数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储 IP 地址。
用户临界点数据块在用户设置主机临界点消息中使用,如用户设置主机临界点消息中所记录。
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...) |
||||||||||||||||||||||||||||||||
用户属性值数据块包含指示属性值更改的主机的 IP 地址范围列表,连同添加属性值的用户的标识号,提供属性值的源的相关信息,以及包含属性值的 BLOB 数据块。用户属性值数据块的块类型为系列 1 数据块组中的 82。对之前用户属性值数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储 IP 地址。
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...) |
||||||||||||||||||||||||||||||||
用户协议列表数据块用于包含协议数据源、添加数据的用户的标识号以及用户协议数据块列表的相关信息。用户协议列表数据块的块类型为系列 1 数据块组中的 83。有关用户协议数据块的详细信息,请参阅用户协议数据块。
用户协议列表数据块在用户协议消息中使用,如用户协议消息中所记录。
主机漏洞数据块传输应用于主机的漏洞。每个主机漏洞数据块描述一个事件中一个主机的一个漏洞。主机漏洞数据块在完整主机配置文件、完整主机服务器以及完整子服务器数据块中出现。主机漏洞数据块的块类型为系列 1 数据块组中的 85。
身份数据块的块类型为系列 1 数据块组中的 94。身份数据块在身份冲突和身份超时消息中使用,表示操作系统或服务器指纹源的身份冲突或超时的时间。数据块描述已被识别为与活动的源身份冲突的报告身份(用户、扫描仪或应用)。有关详细信息,请参阅身份冲突和身份超时系统消息。
身份数据块中的字节数。此值应始终为 40:数据块类型和长度字段以及源类型和 ID 字段的十六个字节,指纹 UUID 值的十六个字节,端口的两个字节,协议的两个字节以及 SM ID 的四个字节。 |
||
如果身份是服务器身份,则表示网络协议的 IANA 号或包含服务器数据的数据包使用的 Ethertype。这对传输协议和网络层协议的处理方式不同。 |
||
主机 MAC 地址数据块的块类型为系列 1 数据块组中的 95。块包括主机数据的生存时间值,以及 MAC 地址、主机的主子网以及主机的上次查看时间值。
主机 MAC 地址数据块中的字节数。此值应始终为 |
||
辅助主机更新数据块包含从监控子网的设备而不是主机驻留的设备作为辅助主机更新发送的主机相关信息。它在更改辅助更新事件(事件类型 1001,子类型 31)中使用。辅助主机更新数据块的块类型为系列 1 数据块组中的 96。
主机 MAC 地址数据块中的字节数。此值应始终为 |
||
连接统计信息数据块在连接数据消息中使用。已添加 TLS 置信度字段、客户端应用检测器字段和 NAT 字段。用于版本 7.0+ 的连接统计信息数据块的块类型为系列 1 数据块组中的 174。它替代块类型 173,连接统计信息数据块 7.0。
您可以通过在事件版本为 16 且事件代码为 71 的请求消息中设置扩展事件标志(“请求标志”(Request Flags) 字段中的位 30)请求连接事件记录。请参阅请求标志。如果您启用位 23,则记录中会包含扩展事件报头。
有关连接统计信息数据消息的详细信息,请参阅连接统计信息数据消息。
响应方丢弃的数据包数 (Responder Packets Dropped) (Responder Packets Dropped) |
||||||||||||||||||||||||||||||||
发起方丢弃的字节数 (Initiator Bytes Dropped) (Initiator Bytes Dropped) |
||||||||||||||||||||||||||||||||
响应方丢弃的字节数 (Responder Bytes Dropped) (Responder Bytes Dropped) |
||||||||||||||||||||||||||||||||
下表对用于 7.1+ 的连接统计信息数据块的字段进行了说明。
扫描结果数据块对漏洞进行说明,在添加扫描结果事件(事件类型 1002,子类型 11)中使用。扫描结果数据块的块类型为系列 1 数据块组中的 142。它替代块类型 102。版本 5.2 的 IP 地址字段增加到 16 个字节。
包含主机输入数据的用户产品数据块。有关此数据块的说明,请参阅用户产品数据块 5.1+。 |
主机服务器数据块传输在主机上检测到的服务器的相关信息。它包含每个检测到的服务器的块,且包含服务器运行的 Web 应用的 Web 应用数据块列表。新 TCP 和 UDP 服务器和更改 TCP 和 UDP 服务器的消息中包含主机服务器数据块。有关详细信息,请参阅服务器消息。主机服务器数据块的块类型为系列 1 数据块组中的 103。
服务器信息数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用于 4.10.x、5.0 - 5.0.2 的服务器信息数据块。 |
||
通用块和封装 Web 应用数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装 Web 应用数据块中的字节数。 |
||
封装 Web 应用数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用于 5.0+ 的 Web 应用数据块。 |
完整主机服务器数据块传输服务器相关信息,包括服务器端口、使用频率和最新更新、数据精度的置信度以及与主机的该服务器相关的思科和第三方漏洞。完整主机服务器数据块包含用于服务器上的每个子服务器的完整子服务器信息数据块。每个完整主机配置文件数据块包含用于主机上的每个 TCP 和 UDP 服务器的完整主机服务器数据块。完整主机服务器数据块的块类型为系列 1 数据块组中的 104。
包含思科检测到的主机服务器的子服务器的相关信息的完整主机信息数据块。有关此数据块的说明,请参阅完整服务器信息数据块。 |
||
子服务器信息 - 用户添加数据块 (Sub-Server Information- User Added Data Blocks) * |
包含用户添加的主机上的子服务器的相关信息的完整主机信息数据块。有关此数据块的说明,请参阅完整服务器信息数据块。 |
|
子服务器信息 - 扫描添加数据块 (Sub-Server Information- Scan Added Data Blocks) * |
包含扫描仪添加的主机上的子服务器的相关信息的完整主机信息数据块。有关此数据块的说明,请参阅完整服务器信息数据块。 |
|
子服务器信息 - 应用添加数据块 (Sub-Server Information - Application Added Data Blocks) * |
包含应用添加的主机上的子服务器的相关信息的完整主机信息数据块。有关此数据块的说明,请参阅完整服务器信息数据块。 |
|
包含漏洞数据库 (VDB) 中主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
||
启动由主机漏洞数据块组成的通用列表数据块,这些主机漏洞数据块传输源自第三方扫描仪的第三方主机漏洞数据,并且包含已收录到 VDB 的漏洞信。值始终为 |
||
(第三方/VDB)主机漏洞数据块 ((Third Party/VDB) Host Vulnerability Data Blocks) * |
源自第三方扫描仪且包含已收录到漏洞数据库 (VDB) 中的主机漏洞相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
第三方扫描主机漏洞数据块 (Third Party Scan Host Vulnerability Data Blocks) * |
包含第三方扫描仪识别但未收录到 VDB 中的漏洞的第三方漏洞数据的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。 |
|
服务器信息数据块传输服务器的相关信息,包括服务器 ID、服务器供应商和版本以及源信息。在 4.10.x 中,服务器信息数据块的块类型为系列 1 数据块组中的 105,在 5.0 - 5.0.2 中,块类型为系列 1 数据块组中的 117。服务器信息数据块在主机服务器块和完整主机服务器数据块中的列表中传输。有关详细信息,请参阅主机服务器数据块 4.10.0+和完整主机服务器数据块 4.10.0+。
服务器信息块类型 (105 | 117) (Server Information Block Type (105 | 117)) |
||||||||||||||||||||||||||||||||
服务器信息数据块中的字节总数,包括服务器信息块类型和长度字段的八个字节,服务器 ID 的四个字节,供应商名称块类型和长度的八个字节,供应商名称的另外四个字节,版本字符串块类型和长度的八个字节,版本字符串的另外四个字节,以及上次使用时间、源类型以及源 ID 字段的各四个字节。 |
||
子服务器数据,如子服务器数据块中所记录。 |
完整服务器信息数据块传输在主机上检测到的服务器的相关信息,包括服务器的应用协议、供应商和版本及其关联子服务器的列表。对于每个子服务器,完整子服务器数据块包含其信息(请参阅完整子服务器数据块)。完整服务器信息数据块的块类型为系列 1 数据块组中的 106。
包含服务器的子服务器的完整子服务器数据块。有关此数据块的说明,请参阅完整子服务器数据块。 |
一般扫描结果数据块包含扫描结果,并在扫描结果数据块 5.2+中使用。一般扫描结果数据块的块类型为系列 1 数据块组中的 108。
一般扫描结果数据块类型 (108) (Generic Scan Results Data Block Type (108)) |
||||||||||||||||||||||||||||||||
扫描结果子服务器(未格式化)字符串...(Scan Result Sub-Server (unformatted) String...) |
||||||||||||||||||||||||||||||||
扫描漏洞数据块对漏洞进行说明,在扫描结果数据块中使用,扫描结果数据块在添加扫描结果事件(事件类型 1002,子类型 11)中使用。有关详细信息,请参阅扫描结果数据块 5.2+和添加扫描结果消息。扫描漏洞数据块的块类型为系列 1 数据块组中的 109。
Bugtraq 标识号列表的列表数据块中的字节数,包括字符串块类型和长度的八个字节,加上包含 Bugtraq ID 的整数数据块中的字节数。 |
||
包含零个或多个形成 Bugtraq 标识号列表的整数 (INT32) 数据块。有关这些数据块的详细信息,请参阅整数 (INT32) 数据块。 |
||
包含零个或多个形成 CVE 标识号列表的字符串信息数据块。有关这些数据块的详细信息,请参阅字符串信息数据块。 |
用于版本 5.0+ 的完整主机客户端应用数据块对客户端应用以及附加关联 Web 应用和漏洞列表进行说明。完整主机客户端应用数据块在完整主机配置文件数据块(类型 111)中使用。其块类型为系列 1 数据块组中的 112。
下图显示用于 5.0+ 的完整主机客户端应用数据块的基本结构:
完整主机客户端应用块类型 (112) (Full Host Client Application Block Type (112)) |
||||||||||||||||||||||||||||||||
用于 5.0+ 的主机客户端应用数据块对客户端应用进行说明,并在新客户端应用事件(事件类型 1000,子类型 7)、客户端应用超时事件(事件类型 1001子类型 20)以及客户端应用更新事件(事件类型 1001,子类型 32)中使用。用于 4.10.2+ 的主机客户端应用数据块的块类型为系列 1 数据块组中的 122。
封装 Web 应用数据块数最多可以是列表块长度中的最大字节数。请参阅用于 5.0+ 的 Web 应用数据块了解有关封装数据块的信息(块类型 123)。 |
用户漏洞数据块对漏洞进行说明,并在用户漏洞更改数据块中使用。用户漏洞更改数据块在用户设置有效漏洞事件和用户设置无效漏洞事件中使用。用于 5.0+ 的用户漏洞数据块的块类型为系列 1 数据块组中的 124。它替代块类型有关用户漏洞更改数据块的详细信息,请参阅用户漏洞更改数据块 4.7+。
用户输入的 IP 地址范围。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
受漏洞影响的服务器使用的协议的 IANA 协议号或 Ethertype。这对传输协议和网络层协议的处理方式不同。 |
||
操作系统指纹数据块的块类型为系列 1 数据块组中的 130。块包括指纹通用唯一标识符 (UUID) 以及指纹类型、指纹源类型和指纹源 ID。
操作系统指纹块类型 (130) (Operating System Fingerprint Block Type (130)) |
||||||||||||||||||||||||||||||||
采用八位组的指纹识别号,用作操作系统的唯一标识符。指纹 UUID 映射到漏洞数据库 (VDB) 中的操作系统名称、供应商和版本。 |
||
封装移动设备信息数据块数最多可以是列表块长度中的最大字节数。有关此数据块的说明,请参阅用于 5.1+ 的移动设备 信息数据块。 |
下图显示移动设备信息数据块的格式。该数据块包含上次到检测主机的时间、移动设备信息以及移动设备是否已越狱。移动设备信息数据块的块类型为系列 1 数据块组中的 131。
移动设备信息块类型 (131) (Mobile Device Information Block Type (131)) |
||||||||||||||||||||||||||||||||
下表对 5.1+ 返回的移动设备信息数据块的字段进行了说明。
移动设备信息块类型 (131) (Mobile Device Information Block Type (131)) |
||
下图显示主机配置文件数据块的格式。该数据块也不包含主机临界值,但包含 VLAN 在线状态指示器。此外,数据块还可以传输主机的 NetBIOS 名称。主机配置文件数据块的块类型为系列 1 数据块组中的 139。数据块现在支持 IPv6 地址,且已添加客户端应用数据块。
下表对 5.2+ 返回的主机配置文件数据块的字段进行了说明。
操作系统指纹(服务器指纹)数据块 (Operating System Fingerprint (Server Fingerprint) Data Blocks) * |
包含用服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(客户端指纹)数据块 (Operating System Fingerprint (Client Fingerprint) Data Blocks) * |
包含用客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(SMB 指纹)数据块 (Operating System Fingerprint (SMB Fingerprint) Data Blocks) * |
包含用 SMB 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(DHCP 指纹)数据块 (Operating System Fingerprint (DHCP Fingerprint) Data Blocks) * |
包含用 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(移动)数据块 (Operating System Fingerprint (Mobile) Data Blocks) * |
包含用移动设备指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(IPv6 服务器)数据块 (Operating System Fingerprint (IPv6 Server) Data Blocks) * |
包含用 IPv6 服务器指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(IPv6 客户端)数据块 (Operating System Fingerprint (IPv6 Client) Data Blocks) * |
包含用 IPv6 客户端指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(IPv6 DHCP 指纹)数据块 (Operating System Fingerprint (IPv6 DHCP Fingerprint) Data Blocks) * |
包含用 IPv6 DHCP 指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
操作系统指纹(用户代理指纹)数据块 (Operating System Fingerprint (User Agent Fingerprint) Data Blocks) * |
包含用用户代理指纹识别的主机上的操作系统相关信息的操作系统指纹数据块。有关此数据块的说明,请参阅操作系统指纹数据块 5.1+。 |
|
描述 TCP 服务器的主机服务器数据块。有关此数据块的说明,请参阅主机服务器数据块 4.10.0+。 |
||
描述 UDP 服务器的主机服务器数据块。有关此数据块的说明,请参阅主机服务器数据块 4.10.0+。 |
||
描述网络协议的协议数据块。有关此数据块的说明,请参阅协议数据块。 |
||
描述传输协议的协议数据块。有关此数据块的说明,请参阅协议数据块。 |
||
描述主机 MAC 地址的主机 MAC 地址数据块。有关此数据块的说明,请参阅主机 MAC 地址 4.9+。 |
||
客户端应用数据块列表。有关此数据块的说明,请参阅完整主机客户端应用数据块 5.0+。 |
||
用户产品数据块传输从第三方应用导入的主机输入数据,包括第三方应用字符串映射。此数据块在扫描结果数据块 5.2+和用户服务器和操作系统消息中使用。在版本 4.7 - 4.10.1 中,用户产品数据块的块类型为系列 1 数据块组中的 65;在版本 4.10.2 - 5.0.x 中,块类型为 118;在版本 5.1+ 中,块类型为系列 1 数据块组中的 134。块类型 65 与 118 的结构相同。
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。 |
||
在第三方操作系统映射到 Cisco Secure Firewall 系统 操作系统定义时指定的第三方操作系统的供应商的标识符。 |
||
在第三方操作系统字符串映射到 Cisco Secure Firewall 系统操作系统定义时指定的第三方操作系统字符串的产品标识字符串。 |
||
启动包含用户输入中的第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统定义的主版本号的字符串数据块。值始终为 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统定义的次版本号的字符串数据块。值始终为 |
||
启动包含用户输入中的第三方操作系统字符串映射到的 Cisco Secure Firewall 系统 操作系统定义的修订号的字符串数据块。值始终为 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统 操作系统定义的最新主版本的字符串数据块。值始终为 |
||
用户输入中的第三方操作系统字符串映射到的 Cisco Secure Firewall 系统 操作系统定义的一系列主版本号中的最新版本号。 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统 操作系统定义的最新次版本的字符串数据块。值始终为 |
||
用户输入中的第三方操作系统字符串映射到的 Cisco Secure Firewall 系统 操作系统定义的一系列次版本号中的最新版本号。 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统定义的最新修订号的字符串数据块。值始终为 |
||
用户输入中的第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统定义的一系列修订号中的最新修订号。 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统的内部版本号的字符串数据块。值始终为 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统的修补版本号的字符串数据块。值始终为 |
||
启动包含第三方操作系统字符串映射到的 Cisco Secure Firewall 系统操作系统的扩展版本号的字符串数据块。值始终为 |
||
启动由传送有关应用到特定 IP 地址范围中指定主机的修复的用户输入数据的修复列表数据块组成的通用列表数据块。值始终为 |
||
包含应用到主机的修复的相关信息的修复列表数据块。有关此数据块的说明,请参阅修复列表数据块。 |
用户数据块在用户事件消息中出现。它们是系列 1 数据块的子集。有关系列 1 数据块的通用格式的信息,请参阅了解发现(系列 1)块。
下表列出了可能在用户事件消息中出现的用户数据块。数据块按数据块类型列出。当前版本数据块是最新版本。当前版本的 Cisco Secure Firewall 系统支持旧数据块,但不产生旧数据块。
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用于 5.0 - 5.0.2 的用户登录信息数据块。5.0 中引入的后继块类型的结构与块类型 73 的结构相同,但字段中的数据不同。 |
|||
包含用户帐户信息中的更改。有关详细信息,请参阅用户帐户更新消息数据块。 |
|||
包含系统检测到的用户信息中的更改。有关详细信息,请参阅用于 5.x 的用户信息数据块。版本 6.0 中引入的后继块的块类型为 158。 |
|||
包含系统检测到的用户信息中的更改。有关详细信息,请参阅用于 5.x 的用户信息数据块。替代块类型 75。它被块类型 158 替代。 |
|||
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用于 5.0 - 5.0.2 的用户登录信息数据块。与块 73 的不同在于“协议”(Protocol) 字段的内容,该字段存储在事件中检测到的应用协议 ID 的版本 5.0+ 应用 ID。版本 5.1 中引入的后继块的块类型为 127。 |
|||
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用户登录信息数据块 5.1 - 5.4.x。它替代块类型 121。版本 6.0 中引入的后继块的块类型为 159。 |
|||
包含有关危害的信息。有关详细信息,请参阅用于 5.3+ 的 IOC 状态数据块。 |
|||
包含系统检测到的用户信息中的更改。有关详细信息,请参阅用于 6.0+ 的用户信息数据块。替代块类型 120。 |
|||
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用户登录信息数据块 6.0.x。它替代块类型 127。 |
|||
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用户登录信息数据块 6.1.x。它替代块类型 159。 它被块类型 167 替代。 |
|||
包含系统检测到的有关 VPN 会话的信息。有关详细信息,请参阅用于 6.2+ 的 VPN 会话数据块。 |
|||
包含系统检测到的用户登录信息中的更改。有关详细信息,请参阅用户登录信息数据块 6.2+。它替代块类型 165。 |
用户帐户更新消息数据块的块类型为系列 1 数据块组中的 74。
用户帐户更新消息块类型 (74) (User Account Update Message Block Type (74)) |
||||||||||||||||||||||||||||||||
用户帐户更新消息数据块中的字节总数,包括用户帐户更新消息块类型和长度字段的八个字节,加上随后的用户帐户更新消息数据中的字节数。 |
||
用户信息数据块在用户修改消息中使用,传送检测到、删除或丢弃的用户的信息。有关详细信息,请参阅用户修改消息
在版本 6.0+ 中,用户信息数据块的块类型为系列 1 数据块组中的 158。它具有新终端配置文件、安全情报和 IPv6 字段。
在版本 4.7-4.10.x 中,用户信息数据块的块类型为系列 1 数据块组中的 75,在版本 5.x 中,块类型为系列 1 数据块组中的 120。有关详细信息,请参阅用于 5.x 的用户信息数据块。
用于 6.2+ 的 VPN 会话数据块的块类型为系列 1 数据块组中的 166。该数据块描述 VPN 会话信息。
VPN 会话数据块中的字节数,包括 VPN 会话数据块类型和长度的八个字节,加上随后的“VPN 会话”数据字段中的字节数。 |
||
用户登录信息数据块在用户信息更新消息中使用,传送检测到的用户的登录信息变更。有关详细信息,请参阅用户信息更新消息块。
在版本 6.2+ 中,用户登录信息数据块的块类型为系列 1 数据块组中的 167。它的一些新字段用于支持 VPN。它替代块类型 165。用户登录信息数据块 6.1.x有关详细信息,请参阅。
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。 |
||
报告者字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上“报告者”(Reported By) 字段中的字节数。 |
||
在下表中,“数据块状态”(Data Block Status) 字段指示该块是当前版本(最新版本)还是旧版本(在较旧的版本中使用,但仍可以通过 eStreamer 请求)。
访问控制规则元数据消息用其将策略 UUID 和规则 ID 值映射到描述性字符串。请参阅访问控制规则数据块。 |
|||
访问控制规则元数据消息用其将访问控制规则原因映射到描述性字符串。请参阅访问控制策略规则原因数据块。 |
|||
用于存储安全情报信息。请参阅安全情报类别数据块 5.1+。 |
|||
用户记录元数据消息用其提供用户 ID 号码、在其上检测到用户的协议以及用户名。请参阅用户数据块。 |
|||
访问控制规则元数据消息用其将访问控制规则原因映射到描述性字符串。请参阅访问控制规则原因数据块 6.0+。 |
eStreamer 服务使用访问控制规则元数据消息中的访问控制规则数据块将策略 UUID 和规则 ID 组合映射到描述性字符串。访问控制规则数据块的块类型为系列 2 数据块组中的 15。
eStreamer 服务使用访问控制规则原因元数据消息中的访问控制规则原因数据块将访问控制原因映射到描述性字符串。访问控制规则原因数据块的块类型为系列 2 数据块组中的 59。它替代了块类型 21。
访问控制规则原因块类型 (59) (Access Control Rule Reason Block Type (59)) |
||||||||||||||||||||||||||||||||
eStreamer 服务使用访问控制规则元数据消息中的安全情报类别数据块流传输安全情报信息。安全情报类别数据块的块类型为系列 2 数据块组中的 22。
安全情报类别块类型 (22) (Security Intelligence Category Block Type (22)) |
||||||||||||||||||||||||||||||||
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“安全情报列表名称”(Security Intelligence Name) 字段中的字节数。 |
||