发现事件的元数据
您可以通过元数据版本号请求元数据。有关与您的 Cisco Secure Firewall 系统的版本对应的元数据版本,请参阅了解元数据。有关 eStreamer 如何流传输元数据记录的重要信息,请参阅元数据传输。
有关主机发现和用户事件记录的各种元数据记录类型的结构的信息,请参阅:
有关入侵和关联事件的元数据记录,请参阅入侵事件和元数据记录类型。
指纹记录
eStreamer 服务可传输用于指纹记录中的事件的指纹元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送指纹元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
54
,表示指纹记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (54) (Record Type (54))
|
|
记录长度 (Record Length)
|
指纹 UUID (Fingerprint UUID)
|
指纹 UUID (Fingerprint UUID)
|
指纹 UUID (Fingerprint UUID)(续)
|
指纹 UUID (Fingerprint UUID)(续)
|
指纹 UUID (Fingerprint UUID)(续)
|
|
操作系统名称长度 (OS Name Length)
|
|
操作系统名称...(OS Name...)
|
|
操作系统供应商长度 (OS Vendor Length)
|
|
操作系统供应商...(OS Vendor...)
|
|
操作系统版本长度 (OS Version Length)
|
|
操作系统版本...(OS Version...)
|
下表对指纹记录中的字段进行了说明。
表 4-2 指纹记录字段
|
|
|
指纹 UUID (Fingerprint UUID)
|
uint8[16]
|
充当操作系统的唯一标识符的指纹 ID 号码。 此字段是此记录的唯一密钥。
|
操作系统名称长度 (OS Name Length)
|
uint32
|
操作系统名称中包含的字节数。
|
操作系统名称 (OS Name)
|
字符串
|
指纹操作系统的名称。
|
操作系统供应商长度 (OS Vendor Length)
|
uint32
|
操作系统供应商名称中包含的字节数。
|
操作系统供应商 (OS Vendor)
|
字符串
|
指纹操作系统供应商的名称。
|
操作系统版本长度 (OS Version Length)
|
uint32
|
操作系统版本中包含的字节数。
|
操作系统版本 (OS Version)
|
字符串
|
指纹操作系统的版本。
|
客户端应用记录
eStreamer 服务可传输用于客户端应用记录中的事件的客户端应用元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送客户端应用元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
55
,表示客户端应用记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (55) (Record Type (55))
|
|
记录长度 (Record Length)
|
|
应用 ID (Application ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对客户端应用记录中的字段进行了说明。
表 4-3 客户端应用记录字段
|
|
|
应用 ID (Application ID)
|
uint32
|
客户端应用的应用 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
名称中包含的字节数。
|
名称 (Name)
|
字符串
|
客户端应用名称。
|
漏洞记录
eStreamer 服务可传输包含漏洞记录中的事件的漏洞信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”
(Message Length) 字段后面)的值为
57
,表示漏洞记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (57) (Record Type (57))
|
|
记录长度 (Record Length)
|
|
漏洞 ID (Vulnerability ID)
|
|
影响 (Impact)
|
|
攻击 (Exploits)
|
远程 (Remote)
|
录入日期长度 (Entry Date Length)
|
|
录入日期长度 (Entry Date Length)(续)
|
录入日期...(Entry Date...)
|
|
发布日期长度 (Published Date Length)
|
|
发布日期...(Published Date...)
|
|
修改日期长度 (Modified Date Length)
|
|
修改日期...(Modified Date...)
|
|
标题长度 (Title Length)
|
|
标题...(Title...)
|
|
简短说明长度 (Short Description Length)
|
|
简短说明...(Short Description...)
|
|
说明长度 (Description Length)
|
|
说明... (Description...)
|
|
技术说明长度 (Technical Description Length)
|
|
技术说明...(Technical Description...)
|
|
解决方案长度 (Solution Length)
|
|
解决方案...(Solution...)
|
下表对漏洞记录中的字段进行了说明。
表 4-4 漏洞记录字段
|
|
|
漏洞 ID (Vulnerability ID)
|
uint32
|
漏洞 ID 号码。 此字段是此记录的唯一密钥。
|
影响 (Impact)
|
uint32
|
漏洞影响,与通过入侵数据、主机发现事件和漏洞评估的关联确定的影响级别对应。其值可能为
1
至
10
,其中
10
表示其严重程度最高。漏洞的影响级别由 Bugtraq 条目编写者确定。
|
攻击 (Exploits)
|
uint8
|
指示是否存在已知的对漏洞的攻击。可能的值包括:
|
远程 (Remote)
|
uint8
|
指示漏洞是否会通过网络被利用。可能的值包括:
-
0
- 是
-
1
- 否
-
空白 - 受远程攻击的可能性未知
|
录入日期长度 (Entry Date Length)
|
uint32
|
录入日期字段的长度。
|
录入日期 (Entry Date)
|
字符串
|
在数据库中输入漏洞时的日期。
|
发布日期长度 (Published Date Length)
|
uint32
|
发布日期字段的长度。
|
发布日期 (Published Date)
|
字符串
|
发布漏洞的日期。
|
修改日期长度 (Modified Date Length)
|
uint32
|
修改日期字段的长度。
|
修改日期 (Modified Date)
|
字符串
|
最近修改漏洞的日期(如果适用)。
|
标题长度 (Title Length)
|
uint32
|
标题字段的长度。
|
职位
|
字符串
|
漏洞的标题。
|
简短说明长度 (Short Description Length)
|
uint32
|
简短说明字段的长度。
|
简短描述 (Short Description)
|
字符串
|
对漏洞的概述。
|
说明长度 (Description Length)
|
uint32
|
说明字段的长度。
|
说明 (Description)
|
字符串
|
对漏洞的一般说明。
|
技术说明长度 (Technical Description Length)
|
uint32
|
技术说明字段的长度。
|
技术说明 (Technical Description)
|
字符串
|
对漏洞的技术说明。
|
解决方案长度 (Solution Length)
|
uint32
|
解决方案字段的长度。
|
解决方案 (Solution)
|
字符串
|
对漏洞的解决方案。
|
临界点记录
eStreamer 服务可传输包含临界点记录中的事件的主机临界点信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送临界点信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
58
,表示临界点记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (58) (Record Type (58))
|
|
记录长度 (Record Length)
|
|
临界点 ID (Criticality ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对临界点记录中的字段进行了说明。
表 4-5 临界点记录字段
|
|
|
临界点 ID (Criticality ID)
|
uint32
|
临界点 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
临界水平中包含的字节数。
|
名称 (Name)
|
字符串
|
临界水平。
|
网络协议记录
eStreamer 服务可传输包含网络协议记录中的事件的网络协议信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送网络协议信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为 59,表示网络协议记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (59) (Record Type (59))
|
|
记录长度 (Record Length)
|
|
网络协议 ID (Network Protocol ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对网络协议记录中的字段进行了说明。
表 4-6 网络协议记录字段
|
|
|
网络协议 ID (Network Protocol ID)
|
uint32
|
网络协议 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
网络协议名称中包含的字节数。
|
名称 (Name)
|
字符串
|
网络协议的名称。
|
属性记录
eStreamer 服务可传输包含属性记录中的事件的属性信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送属性信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
60
,表示属性记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (60) (Record Type (60))
|
|
记录长度 (Record Length)
|
|
属性 ID (Attribute ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对属性记录中的字段进行了说明。
表 4-7 属性记录字段
|
|
|
属性 ID (Attribute ID)
|
uint32
|
属性 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
属性名称中包含的字节数。
|
名称 (Name)
|
字符串
|
属性的名称。
|
扫描类型记录
eStreamer 服务可传输包含扫描类型记录中的事件的扫描类型信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送扫描类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
61
,表示扫描类型记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (61) (Record Type (61))
|
|
记录长度 (Record Length)
|
|
扫描类型 ID (Scan Type ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对扫描类型记录中的字段进行了说明。
表 4-8 扫描类型记录字段
|
|
|
扫描类型 ID (Scan Type ID)
|
uint32
|
扫描类型 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
扫描类型名称中包含的字节数。
|
名称 (Name)
|
字符串
|
扫描类型的名称。
|
服务记录
eStreamer 服务可传输包含服务记录中事件的服务信息的元数据,格式如下所示。服务应用协议的应用 ID 提供对元数据的交叉引用。(当设置其中一个元数据标志(请求消息的“请求标志”
(Request Flags) 字段中的位 1、14、15 或 20)时,发送服务信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
63
,表示服务记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (63) (Record Type (63))
|
|
记录长度 (Record Length)
|
|
应用 ID (Application ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表介绍服务记录中的字段。
表 4-9 服务记录字段
|
|
|
应用 ID (Application ID)
|
uint32
|
应用协议的应用 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
服务器名称中包含的字节数。
|
名称 (Name)
|
字符串
|
应用协议的名称。对于应用 ID 65535,名称为
unknown
。
|
源类型记录
eStreamer 服务可传输包含源类型记录中的事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
90
,表示源类型记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (90) (Record Type (90))
|
|
记录长度 (Record Length)
|
|
源类型 ID (Source Type ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对源类型记录中的字段进行了说明。
表 4-10 源类型记录字段
|
|
|
源类型 ID (Source Type ID)
|
uint32
|
源类型的标识号。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
源类型名称中包含的字节数。
|
名称 (Name)
|
字符串
|
源类型的名称。
|
源应用记录
eStreamer 服务可传输包含源应用记录中的主机发现事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源应用信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
91
,表示源应用记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (91) (Record Type (91))
|
|
记录长度 (Record Length)
|
|
源应用 ID (Source Application ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对源应用记录中的字段进行了说明。
表 4-11 源应用记录字段
|
|
|
源应用 ID (Source Application ID)
|
uint32
|
源应用的 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
源应用名称中包含的字节数。
|
名称 (Name)
|
字符串
|
源应用的名称。
|
源检测器记录
eStreamer 服务可传输包含源类型记录中的主机发现事件的源应用相关信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源类型信息。请参阅请求标志。)请注意,“记录类型”
(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
96
,表示源检测器记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (96) (Record Type (96))
|
|
记录长度 (Record Length)
|
|
源检测器 ID (Source Detector
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对源检测器记录中的字段进行了说明。
表 4-12 源检测器记录字段
|
|
|
源检测器 ID (Source Detector ID)
|
uint32
|
源检测器的 ID 字符串。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
源类型名称中包含的字节数。
|
名称 (Name)
|
字符串
|
源检测器的名称。
|
第三方扫描仪漏洞记录
eStreamer 服务可传输包含第三方扫描仪漏洞记录中事件的第三方漏洞信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
106
,表示第三方扫描仪漏洞记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (106) (Record Type (106))
|
|
记录长度 (Record Length)
|
|
漏洞 ID (Vulnerability ID)
|
|
扫描仪类型 (Scanner Type)
|
|
标题长度 (Title Length)
|
|
标题...(Title...)
|
|
说明长度 (Description Length)
|
|
说明... (Description...)
|
|
CVE ID 长度 (CVE ID Length)
|
|
CVE ID...
|
|
BugTraq 长度 (BugTraq Length)
|
|
BugTraq ID...
|
下表对漏洞记录中的字段进行了说明。
表 4-13 第三方扫描仪漏洞记录字段
|
|
|
漏洞 ID (Vulnerability ID)
|
uint32
|
第三方漏洞 ID 号码。 此字段与扫描仪类型一起构成此记录的唯一密钥。
|
扫描仪类型 (Scanner Type)
|
uint32
|
第三方扫描仪类型。 此字段与漏洞 ID 一起构成此记录的唯一密钥。
|
标题长度 (Title Length)
|
uint32
|
标题字段的长度。
|
职位
|
字符串
|
漏洞的标题。
|
说明长度 (Description Length)
|
uint32
|
说明字段的长度。
|
说明 (Description)
|
字符串
|
对漏洞的一般说明。
|
CVE ID 长度 (CVE ID Length)
|
uint32
|
CVE ID 字段的长度。
|
CVE ID
|
字符串
|
漏洞的通用漏洞披露 (CVE) ID 号码。
|
BugTraq ID 长度 (BugTraq ID Length)
|
uint32
|
BugTraq ID 字段的长度。
|
BugTraq ID
|
字符串
|
漏洞的 BugTraq ID 号码。
|
用户记录
eStreamer 服务可传输包含用户记录中的系统检测到的用户的相关信息的元数据,格式如下所示。(当设置版本 4 元数据和策略事件请求标志(分别为请求消息的“请求标志”(Request Flags) 字段中的位 20 和位 22)时,发送用户信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
98
,表示用户记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (98) (Record Type (98))
|
|
记录长度 (Record Length)
|
|
用户数据块类型 (57) (User Data Block Type (57))
|
|
用户数据块长度 (User Data Block Length)
|
|
用户 ID
|
|
协议 (Protocol)
|
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
用户名...(Username...)
|
下表对用户记录中的字段进行了说明。
表 4-14 用户记录字段
|
|
|
用户数据块类型 (User Data Block Type)
|
uint32
|
启动用户数据块。值始终为
57
。块类型为系列 2 数据块。
|
用户数据块长度 (User Data Block Length)
|
uint32
|
数据块的长度。包括数据字节数加上两个数据块报头字段中的
|
用户 ID
|
uint32
|
用户的唯一标识符。 此字段是此记录的唯一密钥。
|
协议 (Protocol)
|
uint32
|
用于检测或报告用户的协议。可能的值包括:
-
165
- FTP
-
426
- SIP
-
547
- AOL 即时通信工具
-
683
- IMAP
-
710
- LDAP
-
767
- NTP
-
773
- Oracle 数据库
-
788
- POP3
-
1755
- MDNS
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含用户名的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
用户名字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“用户名”(Username) 字段中的字节数。
|
用户名 (Username)
|
字符串
|
用户的名称
|
Web 应用记录
系统可检测来自网站的 HTTP 流量的内容(如适用)。主机发现事件的 Web 应用元数据可能包括特定类型的内容(例如,WMV 或 QuickTime)。
eStreamer 服务可传输用于 Web 应用记录中的事件的 Web 应用元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送 Web 应用元数据。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
109
,表示 Web 应用记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (109) (Record Type (109))
|
|
记录长度 (Record Length)
|
|
应用 ID (Application ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对 Web 应用记录中的字段进行了说明。
表 4-15 Web 应用记录字段
|
|
|
应用 ID (Application ID)
|
uint32
|
Web 应用的应用 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
名称中包含的字节数。
|
名称 (Name)
|
字符串
|
Web 应用内容名称。
|
入侵策略名称记录
eStreamer 服务可传输包含入侵策略名称记录中连接事件的入侵策略名称信息,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的版本 4 元数据位 20)时,发送入侵策略名称信息。请参阅请求标志。)请注意,入侵策略名称记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
118
,表示入侵策略名称记录。它包含一个 UUID 字符串数据块,该数据块的块类型为系列 2 数据块组中的 14。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (118) (Record Type (118))
|
|
记录长度 (Record Length)
|
|
入侵策略名称数据块 (14) (Intrusion Policy Name Data Block (14))
|
|
入侵策略名称数据块长度 (Intrusion Policy Name Data Block Length)
|
|
入侵策略 UUID (Intrusion Policy UUID)
|
|
入侵策略 UUID (Intrusion Policy UUID)(续)
|
|
入侵策略 UUID (Intrusion Policy UUID)(续)
|
|
入侵策略 UUID (Intrusion Policy UUID)(续)
|
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
入侵策略名称...(Intrusion Policy Name...)
|
下表对入侵策略名称数据块中的字段进行了说明。
表 4-16 入侵策略名称数据块字段
|
|
|
入侵策略名称数据块类型 (Intrusion Policy Name Data Block Type)
|
uint32
|
启动入侵策略名称数据块。值始终为
14
。块类型为系列 2 数据块。
|
入侵策略名称数据块长度 (Intrusion Policy Name Data Block Length)
|
uint32
|
数据块的长度。包括数据字节数加上两个数据块报头字段中的
|
入侵策略 UUID (Intrusion Policy UUID)
|
uint8[16]
|
与连接事件相关的入侵策略的唯一标识符。 此字段是此记录的唯一密钥。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含入侵策略名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
入侵策略名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上入侵策略名称中的字节数。
|
入侵策略名称 (Intrusion Policy Name)
|
字符串
|
入侵策略名称。
|
访问控制规则操作记录元数据
eStreamer 服务可传输包含与访问控制规则操作记录中已触发的访问控制规则相关的操作的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送访问控制规则操作信息。请参阅请求标志。)请注意,访问控制规则操作记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
120
,表示访问控制规则操作记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (120) (Record Type (120))
|
|
记录长度 (Record Length)
|
|
访问控制规则操作 ID (Access Control Rule Action ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对访问控制规则操作记录中的字段进行了说明。
表 4-17 访问控制规则操作记录字段
|
|
|
访问控制规则操作 ID (Access Control Rule Action ID)
|
uint32
|
访问控制规则操作的 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
名称中包含的字节数。
|
名称 (Name)
|
字符串
|
防火墙规则操作名称。
可能的值包括:
-
1
-“待处理”
-
2
-“允许”
-
3
-“信任”
-
4
-“阻止”
-
5
-“阻止并重置”
-
6
-“监控”
-
7
-“交互式阻止”
-
8
-“交互式阻止并重置”
-
14
-“快速路径”
-
22
-“找不到域”
-
23
-“Sinkhole”
|
URL 类别记录元数据
eStreamer 服务可传输包含与 URL 类别记录的连接日志中的 URL 相关的类别名称的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送 URL 类别信息。请参阅请求标志。)请注意,记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
121
,表示 URL 类别记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (121) (Record Type (121))
|
|
记录长度 (Record Length)
|
|
URL 类别 ID (URL Category ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对 URL 类别记录中的字段进行了说明。
表 4-18 URL 类别记录字段
|
|
|
URL 类别 ID (URL Category ID)
|
uint32
|
URL 类别的 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
名称中包含的字节数。
|
名称 (Name)
|
字符串
|
URL 类别名称。
|
URL 信誉记录元数据
eStreamer 服务可传输包含与 URL 信誉记录的连接日志中的 URL 相关的信誉(即风险水平)的元数据,格式如下所示。(当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送 URL 信誉信息。请参阅请求标志。)请注意,URL 信誉元数据记录字段(出现在“消息长度”(Message Length) 字段后面)的值为
122
,表示 URL 信誉元数据记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (122) (Record Type (122))
|
|
记录长度 (Record Length)
|
|
URL 信誉 ID (URL Reputation ID)
|
|
名称长度 (Name Length)
|
|
名称...(Name...)
|
下表对 URL 信誉记录中的字段进行了说明。
表 4-19 URL 信誉记录字段
|
|
|
URL 信誉 ID (URL Reputation ID)
|
uint32
|
URL 信誉的 ID 号码。 此字段是此记录的唯一密钥。
|
名称长度 (Name Length)
|
uint32
|
名称中包含的字节数。
|
名称 (Name)
|
字符串
|
URL 信誉名称。
|
访问控制规则原因元数据
eStreamer 服务可传输包含访问控制规则原因记录中访问控制规则触发入侵事件或连接事件的原因相关信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送访问控制规则原因元数据。请参阅请求标志。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
124
,表示访问控制规则原因记录。它包含访问控制规则原因块(如访问控制规则原因数据块 6.0+中所记录)。访问控制规则原因数据块的块类型为系列 2 中的 59。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (124) (Record Type (124))
|
|
记录长度 (Record Length)
|
|
访问控制规则原因块类型 (59) (Access Control Rule Reason Block Type (59))
|
|
访问控制规则块长度 (Access Control Rule Block Length)
|
|
访问控制规则原因 (Access Control Rule Reason)
|
|
字符串块类型 (0) (String Block Type (0))。
|
|
字符串块长度 (String Block Length)。
|
|
说明...(Description...)
|
下表对访问控制规则 ID 数据块中的字段进行了说明。
表 4-20 访问控制规则原因元数据字段
|
|
|
访问控制规则原因块类型 (Access Control Rule Reason Block Type)
|
uint32
|
启动访问控制规则原因块。值始终为
59
。此数据块为系列 2 数据块。
|
访问控制规则原因块长度 (Access Control Rule
|
uint32
|
访问控制规则原因块中的字节总数,包括访问控制规则原因块类型和长度字段的八个字节,加上随后的数据的字节数。
|
访问控制规则原因 (Access Control Rule Reason)
|
uint32
|
访问控制规则记录连接的原因。 此字段是此记录的唯一密钥。
触发事件的规则的原因编号。
规则原因是一个可以在其中设置多个位的二进制位图。规则可能有多种原因。位值如下:
-
1
- IP 阻止
-
2
- IP 监控
-
4
- 用户绕行
-
8
- 文件监控
-
16
- 文件阻止
-
32
- 入侵监控
-
64
- 入侵阻止
-
128
- 阻止继续传输文件
-
256
— 允许继续传输文件
-
512
- 文件自定义检测
-
1024
- SSL 阻止
-
2048
- DNS 阻止
-
4096
- DNS 监控
-
8192
- URL 阻止
-
16384
- URL 监控
-
32768
- 内容限制
-
65536
- 智能应用绕行
-
131072
- WSA 威胁
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与访问控制规则原因相关的描述性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上说明 (Description) 字段中的字节数。
|
说明 (Description)
|
字符串
|
对访问控制规则原因的说明。
|
访问控制策略元数据
eStreamer服务在访问控制策略元数据记录内传输包含有关触发入侵事件或连接事件的访问控制策略信息的元数据,其格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送访问控制规则策略元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
145
,表示访问控制策略元数据记录。它包含访问控制策略元数据块(如访问控制策略元数据块 6.0+中所记录)。访问控制策略元数据块的块类型为系列
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (145) (Record Type (161))
|
|
记录长度 (Record Length)
|
|
访问控制策略元数据块类型 (64) (Access Control Policy Metadata Block Type (64))
|
|
访问控制策略元数据块长度 (Access Control Policy Metadata Block Length)
|
访问控制策略
UUID
|
访问控制策略 UUID (Access Control Policy UUID)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
|
传感器 ID (Sensor ID)
|
策略名称
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
策略名称...
|
下表对访问控制策略数据块中的字段进行了说明。
表 4-21 访问控制策略元数据字段
|
|
|
访问控制策略元数据块类型 (Access Control Policy Metadata Block Type)
|
uint32
|
启动访问控制策略元数据块。值始终为
64
。此数据块为系列 2 数据块。
|
访问控制策略元数据块长度 (Access Control Policy Metadata Block Length)
|
uint32
|
访问控制策略元数据块中的字节总数,包括访问控制策略元数据块类型和长度字段的八个字节,加上随后的数据的字节数。
|
访问控制策略 UUID (Access Control Policy UUID)
|
uint8[16]
|
访问控制策略的 UUID。此字段是此记录的唯一密钥。
|
传感器 ID (Sensor ID)
|
uint32
|
与访问控制策略关联的传感器的 ID 号码。此字段是此记录的唯一密钥。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与访问控制策略关联的描述性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“名称”(Name) 字段中的字节数。
|
名称 (Name)
|
字符串
|
访问控制策略的名称。
|
预过滤器策略元数据
eStreamer 服务可传输包含预过滤器策略相关信息的元数据(此策略会触发预过滤器策略元数据记录中的入侵事件或连接事件),格式如下所示当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送预过滤器策略元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
146
,表示预过滤器策略元数据记录。它包含访问控制策略元数据块(如访问控制策略元数据块 6.0+中所记录)。访问控制策略元数据块的块类型为系列
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (146) (Record Type (161))
|
|
记录长度 (Record Length)
|
|
访问控制策略元数据块类型 (64) (Access Control Policy Metadata Block Type (64))
|
|
访问控制策略元数据块长度 (Access Control Policy Metadata Block Length)
|
访问控制策略
UUID
|
访问控制策略 UUID (Access Control Policy UUID)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
|
传感器 ID (Sensor ID)
|
策略名称
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
策略名称...
|
下表对预过滤器策略元数据块中的字段进行了说明。
表 4-22 预过滤器策略元数据字段
|
|
|
预过滤器策略块类型 (Prefilter Policy Block Type)
|
uint32
|
启动预过滤器策略块。值始终为
64
。此数据块为系列 2 数据块。
|
预过滤器策略块长度 (Prefilter Policy Block Length)
|
uint32
|
预过滤器策略块中的字节总数,包括预过滤器策略块类型和长度字段的八个字节,加上随后的数据字节数。
|
访问控制策略 UUID (Access Control Policy UUID)
|
uint8[16]
|
访问控制策略的 UUID。此字段与传感器 ID 一起构成此记录的唯一密钥。
|
传感器 ID (Sensor ID)
|
uint32
|
与访问控制策略关联的传感器的 ID 号码。此字段与访问控制策略 UUID 一起构成此记录的唯一密钥。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与预过滤器策略关联的描述性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“名称”(Name) 字段中的字节数。
|
名称 (Name)
|
字符串
|
预过滤器策略的名称。
|
隧道或预过滤器规则元数据
eStreamer 服务可传输包含预过滤器规则原因相关信息的元数据(此策略会触发预过滤器规则原因记录中的入侵事件或连接事件),格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”字段中的位 20)时,发送隧道或预过滤器规则原因元数据。请参阅请求标志。请注意,“记录类型”字段(出现在“消息长度”字段后面)的值为
147
,表示隧道或预过滤器规则原因记录。
由于它们的内容相同,因此它包含访问控制规则原因块(如访问控制规则数据块中所记录)。访问控制规则原因数据块的块类型为系列 2 中的 59。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (147) (Record Type (161))
|
|
记录长度 (Record Length)
|
|
隧道或预过滤器规则元数据块类型 (15) (Tunnel or Prefilter Rule Metadata Block Type (15))
|
|
隧道或预过滤器规则元数据块长度 (Tunnel or Prefilter Rule Metadata Block Length)
|
|
隧道或预过滤器规则 ID (Tunnel or Prefilter Rule ID)
|
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
名称...(Name...)
|
下表对隧道或预过滤器规则元数据块中的字段进行了说明。
表 4-23 隧道或预过滤器规则原因元数据字段
|
|
|
隧道或预过滤器规则块类型 (Tunnel or Prefilter Rule Block Type)
|
uint32
|
启动访问控制规则块。值始终为
15
。请注意,除了访问控制规则,此块还用于隧道和预过滤器规则。
|
隧道或预过滤器规则块长度 (Tunnel or Prefilter Rule Block Length)
|
uint32
|
隧道或预过滤器规则块中的字节总数,包括隧道或预过滤器块类型和长度字段的八个字节,加上随后的数据字节数。
|
隧道或预过滤器规则 ID (Tunnel or Prefilter Rule ID)
|
uint32
|
隧道或预过滤器规则的内部 思科 标识符。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与隧道或预过滤器规则 UUID 以及隧道或预过滤器规则 ID 关联的描述性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和信头字段的八个字节,加上“名称”(Name) 字段中的字节数。
|
名称 (Name)
|
字符串
|
描述性名称。
|
安全情报类别元数据
eStreamer 服务可传输包含安全情报类别记录中的安全情报类别相关信息的元数据,格式如下所示。当设置版本 4 元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 20)时,发送安全情报类别元数据。请参阅请求标志。请注意,“记录类型”(Record Type) 字段(出现在“消息长度”(Message Length) 字段后面)的值为
280
,表示安全情报类别记录。它包含安全情报类别数据块(如安全情报类别数据块 5.1+中所记录)。安全情报数据块的块类型为系列 2 中的 22。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (280) (Record Type (280))
|
|
记录长度 (Record Length)
|
|
安全情报类别块类型 (22) (Security Intelligence Category Block Type (22))
|
|
安全情报类别块长度 (Security Intelligence Category Block Length)
|
|
安全情报列表 ID (Security Intelligence List ID)
|
|
访问控制策略 UUID (Access Control Policy UUID)
|
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
|
访问控制策略 UUID (Access Control Policy UUID)(续)
|
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
安全情报列表名称...(Security Intelligence Name...)
|
下表对安全情报类别记录中的字段进行了说明。
表 4-24 安全情报类别元数据字段
|
|
|
安全情报类别块类型 (Security Intelligence Category Block Type)
|
uint32
|
启动安全情报类别数据块。值始终为
22
。此数据块为系列 2 数据块。
|
安全情报类别块长度 (Security Intelligence Category Block Length)
|
uint32
|
安全情报类别块中的字节总数,包括安全情报类别块类型和长度字段的八个字节,加上随后的数据字节数。
|
安全情报列表 ID (Security Intelligence List ID)
|
uint32
|
连接触发的 IP 阻止列表或允许列表的 ID。 此字段与访问控制策略
|
访问控制策略 UUID (Access Control Policy UUID)
|
uint8[16]
|
为安全情报配置的访问控制策略的 UUID。 此字段与安全情报列表 ID 一起构成此记录的唯一密钥。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与安全情报列表相关的描述性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“安全情报列表名称”(Security Intelligence Name) 字段中的字节数。
|
安全情报列表名称 (Security Intelligence Name)
|
字符串
|
连接触发的 IP 类别阻止列表或允许列表的名称。
|
安全情报源/目标记录
eStreamer服务可传输包含安全情报源/目标记录中安全情报检测到的 IP 地址是源 IP 地址还是目标 IP 地址这一信息的元数据,格式如下所示。(当设置其中一个元数据标志(请求消息的“请求标志”(Request Flags) 字段中的位 1、14、15 或 20)时,发送源/目标 IP 信息。请参阅请求标志。)请注意,“记录类型”(Record Type) 字段(出现在“消息长度”
(Message Length) 字段后面)的值为
281
,表示安全情报源/目标记录。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (281) (Record Type (281))
|
|
记录长度 (Record Length)
|
|
安全情报源/目标 ID (Security Intelligence Source/Destination ID)
|
|
安全情报源/目标长度 (Security Intelligence Source/Destination Length)
|
|
安全情报源/目标...(Security Intelligence Source/Destination...)
|
下表对安全情报源/目标记录中的字段进行了说明。
表 4-25 安全情报源/目标记录字段
|
|
|
安全情报源/目标 ID (Security Intelligence Source/ Destination ID)
|
uint32
|
安全情报源/目标 ID 号码。 此字段是此记录的唯一密钥。
|
安全情报源/目标长度 (Security Intelligence Source/ Destination Length)
|
uint32
|
安全情报源/目标中包含的字节数。
|
安全情报源/目标 (Security Intelligence Source/ Destination)
|
字符串
|
检测到的 IP 地址是源 IP 地址还是目标 IP 地址。
|
用于 5.3+ 的 IOC 状态数据块
IOC 状态数据块提供有关危害表现 (IOC) 的信息。块类型为系列 1 中的 150。主机跟踪器用该数据块存储有关主机存在的危害的信息。下图显示 IOC 状态数据块的结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
IOC 状态块类型 (150) (IOC State Block Type (150))
|
|
IOC 状态块长度 (IOC State Block Length)
|
|
IOC ID 号码 (IOC ID Number)
|
|
禁用 (Disabled)
|
首次查看时间 (First Seen)
|
|
首次查看时间 (First Seen)(续)
|
首次事件 ID (First Event ID)
|
首次事件 ID (First Event ID)(续)
|
首次设备 ID (First 设备 ID)
|
|
首次设备 ID (First 设备 ID)(续)
|
首次实例 ID (First Instance ID)
|
首次连接时间 (First Connection Time)
|
首次连接时间 (First Connection Time)(续)
|
首次计数器 (First Counter)
|
|
首次计数器 (First Counter)(续)
|
上次查看时间 (Last Seen)
|
|
上次查看时间 (Last Seen)(续)
|
上次事件 ID (Last Event ID)
|
|
上次事件 ID (Last Event ID)(续)
|
上次设备 ID (Last 设备 ID)
|
|
上次设备 ID (Last 设备 ID)(续)
|
上次实例 ID (Last Instance ID)
|
上次连接时间 (Last Connection Time)
|
|
上次连接时间 (Last Connection Time)(续)
|
上次计数器 (Last Counter)
|
|
上次计数器 (Last Counter)(续)
|
|
下表对 IOC 状态数据块的组件进行了说明。
。
表 4-26 IOC 状态数据块字段
|
|
|
IOC 状态数据块类型 (IOC State Data Block Type)
|
uint32
|
启动 IOC 状态数据块。值始终为
150
。
|
IOC 状态数据块长度 (IOC State Data Block Length)
|
uint32
|
IOC 状态数据块中的字节总数,包括 IOC 状态数据块类型和长度字段的八个字节,加上随后的数据字节数。
|
IOC ID 号码 (IOC ID Number)
|
uint32
|
威胁的唯一 ID 编号。
|
禁用 (Disabled)
|
uint8
|
指示是否已在主机上禁用该危害:
|
首次查看时间 (First Seen)
|
uint32
|
首次查看到此危害的 Unix 时间戳。
|
首次事件 ID (First Event ID)
|
uint32
|
首次在其上查看到此危害的事件的 ID 号码。
|
首次设备 ID (First 设备 ID)
|
uint32
|
首次检测到 IOC 的传感器的 ID。
|
首次实例 ID (First Instance ID)
|
uint16
|
首次检测到此危害的受管设备上 Snort 实例的数字 ID。
|
首次连接时间 (First Connection Time)
|
uint32
|
首次查看到此危害的连接的 Unix 时间戳。
|
首次计数器 (First Counter)
|
uint16
|
上次在其上查看到此危害的连接的计数器。
用于区分同时出现的多个连接。
|
上次查看时间 (Last Seen)
|
uint32
|
上次查看到此危害的 Unix 时间戳。
|
上次事件 ID (Last Event ID)
|
uint32
|
上次在其上查看到此危害的事件的 ID 号码。
|
上次设备 ID (Last 设备 ID)
|
uint32
|
最近检测到 IOC 的传感器的 ID。
|
上次实例 ID (Last Instance ID)
|
uint16
|
上次检测到此危害的受管设备上 Snort 实例的数字 ID。
|
上次连接时间 (Last Connection Time)
|
uint32
|
上次在其上看到此危害的连接的 Unix 时间戳。
|
上次计数器 (Last Counter)
|
uint16
|
上次在其上查看到此危害的连接的计数器。
用于区分同时出现的多个连接。
|
用于 5.3+ 的 IOC 名称数据块
此数据块提供危害表现 (IOC) 的类别和事件类型。此数据块的记录类型为系列 2 中的 161,块类型为系列 2 中的 39。它作为任何具有 IOC 信息的事件的元数据显示。这些包括恶意软件事件、文件事件和入侵事件。
下图显示 IOC 名称数据块的结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (161) (Record Type (161))
|
|
记录长度 (Record Length)
|
|
IOC 名称块类型 (39) (IOC Name Block Type (39))
|
|
IOC 名称块长度 (IOC Name Block Length)
|
|
IOC ID 号码 (IOC ID Number)
|
类别
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
类别...(Category...)
|
事件类型 (Event Type)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
事件类型...(Event Type...)
|
下表对 IOC 名称数据块中的字段进行了说明。
表 4-27 IOC 名称数据块字段
|
|
|
IOC 名称数据块类型 (IOC Name Data Block Type)
|
uint32
|
启动 IOC 名称数据块。值始终为
39
。
|
IOC 名称数据块长度 (IOC Name Data Block Length)
|
uint32
|
IOC 名称数据块中的字节总数,包括 IOC 名称数据块类型和长度字段的八个字节,加上随后的数据字节数。
|
IOC ID 号码 (IOC ID Number)
|
uint32
|
威胁的唯一 ID 编号。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与危害相关的类别的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“类别”(Category) 字段中的字节数。
|
类别
|
字符串
|
威胁的类别。可能的值包括:
-
CnC Connected
-
Exploit Kit
-
High Impact Attack
-
Low Impact Attack
-
Malware Detected
-
Malware Executed
-
Dropper Infection
-
Java Compromise
-
Word Compromise
-
Adobe Reader Compromise
-
Excel Compromise
-
PowerPoint Compromise
-
QuickTime Compromise
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含与危害相关的事件类型的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
名称字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上“事件类型”(Event Type) 字段中的字节数。
|
事件类型 (Event Type)
|
字符串
|
威胁的事件类型。可能的值包括:
-
Adobe Reader launched shell
-
Dropper Infection Detected by 面向终端的 AMP
-
Excel Compromise Detected by 面向终端的 AMP
-
Excel launched shell
-
Impact 1 Intrusion Event - attempted-admin
-
Impact 1 Intrusion Event - attempted-user
-
Impact 1 Intrusion Event - successful-admin
-
Impact 1 Intrusion Event - successful-user
-
Impact 1 Intrusion Event - web-application-attack
-
Impact 2 Intrusion Event - attempted-admin
-
Impact 2 Intrusion Event - attempted-user
-
Impact 2 Intrusion Event - successful-admin
-
Impact 2 Intrusion Event - successful-user
-
Impact 2 Intrusion Event - web-application-attack
-
Intrusion Event - exploit-kit
-
Intrusion Event - malware-backdoor
-
Intrusion Event - malware-cnc
-
Java Compromise Detected by 面向终端的 AMP
-
Java launched shell
-
PDF Compromise Detected by 面向终端的 AMP
-
PowerPoint Compromise Detected by 面向终端的 AMP
-
PowerPoint launched shell
-
QuickTime Compromise Detected by 面向终端的 AMP
-
QuickTime launched shell
-
Security Intelligence Event - CnC
-
Security Intelligence Event - DNS CnC
-
Security Intelligence Event - DNS Malware
-
Security Intelligence Event - DNS Phishing
-
Security Intelligence Event - Sinkhole CnC
-
Security Intelligence Event - Sinkhole Malware
-
Security Intelligence Event - Sinkhole Phishing
-
Security Intelligence Event - URL CnC
-
Security Intelligence Event - URL Malware
-
Security Intelligence Event - URL Phishing
-
Suspected Botnet Detected by 面向终端的 AMP
-
Threat Detected by 面向终端的 AMP - Executed
-
Threat Detected by 面向终端的 AMP - Not Executed
-
Threat Detected in File Transfer
-
Word Compromise Detected by 面向终端的 AMP
-
Word launched shell
|
发现事件报头 5.2+
发现和连接事件消息包含发现事件报头。它传送事件的类型和子类型、事件发生的时间、出现该事件的设备以及消息中事件数据的结构。报头后面是实际主机发现、用户或连接事件数据。按事件类型划分的主机发现结构中介绍了与不同事件类型/子类型值相关的结构。此报头具有 IPv6 支持,并否决发现事件报头 5.0 - 5.1.1.x。
发现事件报头的事件类型和事件子类型字段用于识别传输的事件消息的结构。一旦确定事件数据块的结构,您的程序即可对消息进行适当解析。
下图中的阴影行举例说明了发现事件报头的格式。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
报头版本 (1) (Header Version (1))
|
消息类型 (4) (Message Type (4))
|
|
消息长度 (Message Length)
|
|
Netmap ID
|
记录类型 (Record Type)
|
|
记录长度 (Record Length)
|
|
eStreamer 服务器时间戳 (eStreamer Server Timestamp)
(在事件中,只有当位 23 已设置时)
|
|
留作未来使用 (Reserved for Future Use)(在事件中,只有当位 23 已设置时)
|
发现事件报头 (Discovery Event Header)
|
设备 ID (设备 ID)
|
旧版 IP 地址 (Legacy IP Address)
|
MAC 地址
|
MAC 地址 (MAC Address)(续)
|
具有 IPv6 (Has IPv6)
|
留作未来使用 (Reserved for future use)
|
事件秒 (Event Second)
|
事件微秒 (Event Microsecond)
|
事件类型 (Event Type)
|
事件子类型
|
文件编号 (File Number)(仅限内部使用)
|
|
文件位置 (File Position)(仅限内部使用)
|
|
IPv6 地址 (IPv6 Address)
|
IPv6 地址 (IPv6 Address)(续)
|
IPv6 地址 (IPv6 Address)(续)
|
IPv6 地址 (IPv6 Address)(续)
|
下表对发现事件报头进行了说明。
表 4-28 发现事件报头字段
|
|
|
设备 ID
|
uint32
|
生成发现事件的设备的 ID 号码。您可以通过请求版本 3 和版本 4 元数据获取设备的元数据。有关详细信息,请参阅受管设备记录元数据。
|
旧版 IP 地址 (Legacy IP Address)
|
uint32
|
保留此字段,但不再填充。IPv4 地址存储在 IPv6 地址字段中。有关详细信息,请参阅IP 地址。
|
MAC 地址 (MAC Address)
|
uint8[6]
|
事件所涉及主机的 MAC 地址。
|
具有 IPv6 (Has IPv6)
|
uint8
|
指示主机具有 IPv6 地址的标志。
|
留作未来使用 (Reserved for future use)
|
uint8
|
留作未来使用 (Reserved for future use)
|
事件秒 (Event Second)
|
uint32
|
系统生成事件的 UNIX 时间戳(自 1970/01/01 起经过的秒数)。
|
事件微秒 (Event Microsecond)
|
uint32
|
系统生成事件的微秒(一秒的百万分之一)增量。
|
事件类型 (Event Type)
|
uint32
|
事件类型(新事件为
1000
,变更事件为
1001
,用户输入事件为
1002
,完整主机配置文件为
1050
)。有关可用事件类型列表,请参阅按事件类型划分的主机发现结构。
|
事件子类型 (Event Subtype)
|
uint32
|
事件子类型。有关可用事件子类型列表,请参阅按事件类型划分的主机发现结构。
|
文件编号 (File Number)
|
byte[4]
|
串行文件编号。此字段供思科内部使用,可以忽略。
|
文件位置 (File Position)
|
byte[4]
|
事件在串行文件中的位置。此字段供思科内部使用,可以忽略。
|
IPv6 地址 (IPv6 Address)
|
uin8[16]
|
IPv6 地址。若设置了“具有 IPv6”(Has IPv6) 标志,则此字段存在且可使用。
|
发现与连接事件类型和子类型
“事件类型”(Event Type) 和“事件子类型”(Event Subtype) 字段中的值对主机发现或用户数据消息中包含的事件进行识别和分类。它们也识别消息中的数据的结构。
下表列出了发现事件与连接事件的事件类型和事件子类型。
表 4-29 按类型和子类型划分的发现与连接事件
|
|
|
新主机
|
1000
|
1
|
新 TCP 服务器
|
1000
|
2
|
新网络协议
|
1000
|
3
|
新传输协议
|
1000
|
4
|
新 IP 到 IP 流量
|
1000
|
5
|
新 UDP 服务器
|
1000
|
6
|
新客户端应用
|
1000
|
7
|
新操作系统
|
1000
|
8
|
新 IPv6 到 IPv6 流量
|
1000
|
9
|
主机 IP 地址已更改
|
1001
|
1
|
操作系统信息更新
|
1001
|
2
|
主机 IP 地址已重用
|
1001
|
3
|
漏洞更改
|
1001
|
4
|
跳数更改
|
1001
|
5
|
TCP 服务器信息更新
|
1001
|
6
|
主机超时
|
1001
|
7
|
TCP 端口已关闭
|
1001
|
8
|
UDP 端口已关闭
|
1001
|
9
|
UDP 服务器信息更新
|
1001
|
10
|
TCP 端口超时
|
1001
|
11
|
UDP 端口超时
|
1001
|
12
|
MAC 信息更改
|
1001
|
13
|
为主机检测的其他 MAC
|
1001
|
14
|
主机上次查看时间
|
1001
|
15
|
识别为路由器/网桥的主机
|
1001
|
16
|
连接统计信息
|
1001
|
17
|
VLAN 标记信息更新
|
1001
|
18
|
已删除主机:已达主机限制
|
1001
|
19
|
客户端应用超时
|
1001
|
20
|
NetBIOS 名称更改
|
1001
|
21
|
NetBIOS 域更改
|
1001
|
22
|
已丢弃主机:已达主机限制
|
1001
|
23
|
横幅更新
|
1001
|
24
|
TCP 服务器置信度更新
|
1001
|
25
|
UDP 服务器置信度更新
|
1001
|
26
|
身份冲突
|
1001
|
29
|
身份超时
|
1001
|
30
|
辅助主机更新
|
1001
|
31
|
客户端应用更新
|
1001
|
32
|
用户设置有效漏洞(旧版本)
|
1002
|
1
|
用户设置无效漏洞(旧版本)
|
1002
|
2
|
用户删除地址(旧版本)
|
1002
|
3
|
用户删除服务器(旧版本)
|
1002
|
4
|
用户设置主机临界点
|
1002
|
5
|
主机属性添加
|
1002
|
6
|
主机属性更新
|
1002
|
7
|
主机属性删除
|
1002
|
8
|
主机属性设置值(旧版本)
|
1002
|
9
|
主机属性删除值(旧版本)
|
1002
|
10
|
添加扫描结果
|
1002
|
11
|
用户设置漏洞限定条件
|
1002
|
12
|
用户策略控制
|
1002
|
13
|
删除协议
|
1002
|
14
|
删除客户端应用
|
1002
|
15
|
用户设置操作系统
|
1002
|
16
|
用户帐户查看
|
1002
|
17
|
用户帐户更新
|
1002
|
18
|
用户设置服务器
|
1002
|
19
|
用户删除地址(当前版本)
|
1002
|
20
|
用户删除服务器(当前版本)
|
1002
|
21
|
用户设置有效漏洞(当前版本)
|
1002
|
22
|
用户设置无效漏洞(当前版本)
|
1002
|
23
|
用户主机临界点
|
1002
|
24
|
主机属性设置值(当前版本)
|
1002
|
25
|
主机属性删除值(当前版本)
|
1002
|
26
|
用户添加主机
|
1002
|
27
|
用户添加服务器
|
1002
|
28
|
用户添加客户端应用
|
1002
|
29
|
用户添加协议
|
1002
|
30
|
重新加载应用
|
1002
|
31
|
帐户删除
|
1002
|
32
|
连接统计信息
|
1003
|
1
|
连接区块
|
1003
|
2
|
新用户身份
|
1004
|
1
|
用户登录
|
1004
|
2
|
删除用户身份
|
1004
|
3
|
已丢弃用户身份:已达到用户限制
|
1004
|
4
|
用户登录失败
|
1004
|
5
|
VPN 用户登录
|
1004
|
8
|
VPN 用户注销
|
1004
|
9
|
主机 IOC 设置类型
|
1008
|
1
|
完整主机配置文件
|
1050
|
不适用
|
提示 有关用于每个事件类型/子类型的数据结构的信息,请参阅
按事件类型划分的主机发现结构。
按事件类型划分的主机发现结构
eStreamer 根据发现事件报头中指示的事件类型构建主机发现事件消息。以下子节对每个事件类型的结构进行了概括性说明:
以下章节中的数据块图描绘了主机发现事件消息中返回的不同记录数据块。
新主机消息与主机上次查看时间消息
新主机消息与主机上次查看时间事件消息具有标准发现事件报头和主机配置文件数据块(如用于 5.2+ 的主机配置文件数据块中所记录)。主机配置文件数据块的块类型为系列 1 中的 139。
请注意,主机上次查看时间消息仅包含在发现检测策略中设置的更新间隔期间更改的主机上服务器的服务器信息。换句话说,只有自系统上次报告信息起已经更改的服务器才会包含到主机上次查看时间消息中。
注释 主机配置文件数据块因创建该消息的系统版本而异。有关主机配置文件数据块的旧版本的信息,请参阅
旧版主机数据结构。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
主机配置文件数据块 (Host Profile Data Block)
|
|
|
服务器消息
以下 TCP 和 UDP 服务器事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟服务器数据块(如主机服务器数据块 4.10.0+中所记录,系列 1 中的块类型 103):
-
新 TCP 服务器
-
新 UDP 服务器
-
TCP 服务器信息更新
-
UDP 服务器信息更新
-
TCP 服务器置信度更新
-
UDP 服务器置信度更新
注释 服务器数据块因创建该消息的系统版本而异。有关服务器数据块的旧版本的信息,请参阅
了解旧版数据结构。
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
服务器数据块 (Server Data Block)
|
|
|
新网络协议消息
新网络协议事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个用于网络协议的两字节字段(使用下表中描述的协议值)。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
网络协议 (Network Protocol)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
新传输协议消息
新传输协议事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录,系列 1 中的块类型 4),以及一个用于传输协议号的单字节字段(使用下表中描述的值)。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
传输协议 (Transport Protocol)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
客户端应用消息
新客户端应用、客户端应用更新以及客户端应用超时事件具有相同格式,且都包含一个标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个客户端应用数据块(请参阅用于 5.0+ 的主机客户端应用数据块,系列 1 中的块类型 122)。发现事件报头具有不同的记录类型、事件类型和事件子类型,这取决于传输的事件。
注释 客户端应用数据块因创建该消息的系统版本而异。有关客户端应用数据块的旧版本的信息,请参阅
了解旧版数据结构。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
客户端应用数据块 (Client Application Data Block)
|
IP 地址更改消息
以下主机发现消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和两种不同的形式与结构,一种 IP 地址为四个字节,另一种 IP 地址为 16 个字节。
在以下情况下,IP 地址(采用 IP 地址八位组)为四个字节:
-
新 IPv4 到 IPv4 流量
-
主机 IP 地址已更改(当 RNA 事件版本低于 10 时)
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
IP 地址 (IP Addresses)
|
在以下情况下,IP 地址为 16 个字节:
-
新 IPv6 到 IPv6 流量
-
主机 IP 地址已更改(当 RNA 事件版本为 10 时)
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
IP 地址 (IP Address)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
操作系统更新消息
操作系统信息更新事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟操作系统数据块(如操作系统数据块 3.5+中所记录,系列1 中的块类型 53)。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
操作系统数据块 (Operating System Data Block)
|
IP 地址已重用和主机超时/已删除主机消息
以下主机事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),且无其他数据:
-
主机 IP 地址已重用
-
主机超时
-
已删除主机:已达主机限制
-
已丢弃主机:已达主机限制
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
跳数更改消息
跳数更改事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个用于跳数计数的单字节字段。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
跳数 (Hops)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TCP 和 UDP 端口已关闭/超时消息
TCP 和 UDP 端口已关闭和端口超时事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个用于端口号的两字节字段。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
端口 (Port)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MAC 地址消息
MAC 信息更改和检测到主机的其他 MAC 消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),1 个字节用于 TTL 值,6 个字节用于 MAC 地址,1 个字节用于指示通过 ARP/DHCP 流量检测的 MAC 地址是否为实际 MAC 地址。
注释 如果您从运行版本 4.9.x 的系统收到 MAC 地址消息,则必须检查该 MAC 地址数据块的长度并进行相应解码。如果该数据块的长度为8 个字节(加报头共 16 个字节),请参阅
MAC 地址消息。如果该数据块的长度为 12 个字节(加报头共 20 个字节),请参阅
主机 MAC 地址 4.9+。
请注意,MAC 地址数据块报头
不
用于 MAC 信息更改和检测到主机的其他 MAC 消息。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
TTL
|
|
|
MAC 地址
|
ARP/DHCP
|
识别为路由器/网桥的主机消息
识别为路由器/网桥的主机事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用于与主机类型匹配的值的四字节字段:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
主机类型 (Host Type)
|
VLAN 标签信息更新消息
VLAN 标签信息更新事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟 VLAN 数据块(如VLAN 数据块中所记录)。VLAN 数据块的块类型为系列 1 数据块组中的 14。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
VLAN 数据块 (VLAN Data Block)
|
更改 NetBIOS 名称消息
更改 NetBIOS 名称事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个字符串信息数据块(如字符串信息数据块中所记录)。字符串信息数据块的块类型为系列1 中的 35。
注释 目前,Cisco Secure Firewall 系统不生成更改 NetBIOS 域事件。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
字符串信息数据块 (String Information Data Block)
|
更新横幅消息
更新横幅事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟一个服务器横幅数据块(如服务器横幅数据块中所记录)。服务器横幅数据块的块类型为系列1 中的 37。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
服务器横幅数据块 (Server Banner Data Block)
|
策略控制消息
策略控制消息事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟策略控制消息数据块。策略控制消息数据块的格式因系统版本而异。有关当前版本的策略控制消息数据块格式的信息,请参阅策略引擎控制消息数据块。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
策略控制消息数据块 (Policy Control Message Data Block)
|
连接统计信息数据消息
连接统计信息事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟连接统计信息数据块。连接统计信息数据块的每个版本的文档都包含使用该数据块的系统版本。有关用于版本 6.1+ 的连接统计信息数据块格式的信息,请参阅连接统计信息数据块 7.1+。
注释 连接统计信息数据块因创建该消息的系统版本而异。有关旧版本的信息,请参阅
了解旧版数据结构中的连接统计信息数据块。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
连接统计信息数据块 (Connection Statistics Data Block)
|
连接区块消息
连接区块事件具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟连接区块数据块。格式因系统版本而异。有关当前版本的连接区块数据块格式的信息,请参阅用于 6.1+ 的连接区块数据块。连接区块数据块的块类型为系列 1 中的 136。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
连接区块数据块 (Connection Chunk Data Block)
|
用于版本 4.6.1+ 的用户设置漏洞消息
用户设置有效漏洞、用户设置无效漏洞以及用户漏洞限定条件消息使用相同的数据格式:标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户漏洞更改数据块(请参阅用户漏洞更改数据块 4.7+,系列 1 中的块类型 80)。它们通过记录类型、事件类型和事件子类型进行区分。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
用户漏洞更改数据块 (User Vulnerability Change Data Block)
|
用户添加和删除主机消息
以下主机输入事件消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户主机数据块(请参阅用户主机数据块 4.7+,系列 1 中的块类型 78):
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
用户主机数据块 (User Hosts Data Block)
|
用户删除服务器消息
用户删除服务器消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户服务器列表数据块(请参阅用户服务器列表数据块)。用户服务器列表数据块的块类型为系列 1 中的 77。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
用户服务器列表数据块 (User Server List Data Block)
|
用户设置主机临界点消息
用户设置主机临界点消息具有标准发现事件报头(请参阅发现事件报头 5.2+),后跟用户临界点更改数据块(请参阅用户临界点更改数据块 4.7+)。用户临界点更改数据块的块类型为系列 1 中的 81。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
|
|
用户临界点更改数据块 (User Criticality Change Data Block)
|
属性消息
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟属性定义数据块(如用于 4.7+ 的属性定义数据块中所记录,系列 1 中的块类型 55):
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
属性定义数据块 (Attribute Definition Data Block)
|
|
|
属性值消息
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户属性值数据块(如用户属性值数据块 4.7+中所记录,系列 1 中的块类型 82):
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户属性值数据块 (User Attribute Value Data Block)
|
|
|
用户服务器和操作系统消息
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),接着是用户产品数据块(如用户产品数据块 5.1+中所记录,系列 1 中的块类型 60):
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户产品数据块 (User Product Data Block)
|
|
|
用户协议消息
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户协议列表数据块(如用户协议列表数据块 4.7+中所记录,系列 1 中的块类型 83):
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户协议列表数据块 (User Protocol List Data Block)
|
|
|
用户客户端应用消息
以下事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟用户客户端应用列表数据块(如用户客户端应用列表数据块中所记录,系列 1 中的块类型 60):
这些事件都使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户客户端应用列表数据块 (User Client Application List Data Block)
|
|
|
添加扫描结果消息
添加扫描结果事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟扫描结果数据块(如扫描结果数据块 5.2+中所记录)。扫描结果数据块的块类型为系列 1 中的 142。
此事件使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
扫描结果数据块 (Scan Result Data Block)
|
|
|
新操作系统消息
新操作系统事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟操作系统指纹数据块(如操作系统指纹数据块 5.1+中所记录)。
此事件使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
操作系统指纹数据块 (Operating System Fingerprint Data Block)
|
|
|
身份冲突和身份超时系统消息
身份冲突和身份超时事件消息都具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟身份数据块(如身份数据块中所记录)。身份数据块的块类型为系列 1 中的 94。当指纹源身份中存在冲突或超时时,系统生成这些消息。
此事件使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
身份数据块 (Identity Data Block)
|
|
|
主机 IOC 设置消息
主机 IOC 设置消息具有标准发现事件报头(如发现事件报头 5.2+中所记录),后跟整数数据块(如整数 (INT32) 数据块中所记录)。此整数数据块包含主机的 IOC 设置的 ID 号码。
此事件使用以下格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
整数数据块 (Integer Data Block)
|
|
|
按事件类型划分的用户数据结构
eStreamer 根据发现事件报头中指示的事件类型构建用户事件消息。以下子节对每个事件类型的高级结构进行了说明:
用户修改消息
当通过系统检测发现以下任何事件时,系统会发送用户修改消息:
-
删除新用户(新用户身份事件 - 事件类型 1004,子类型 1)
-
删除用户(删除用户身份事件 - 事件类型 1004,子类型 3)
-
丢弃用户(已丢弃用户身份:已达用户限制事件 - 事件类型 1004,子类型 4)
用户修改事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和用户信息数据块(如用于 6.0+ 的用户信息数据块中所记录)。用户信息数据块的块类型为系列 1 中的 120。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户信息数据块 (User Information Data Block)
|
|
|
用户信息更新消息块
当系统检测到用户的登录出现变更(用户登录事件 - 事件类型 1004,子类型 2)时,系统会发送用户信息更新消息。当用户登录失败(失败的用户登录事件 - 事件类型 1004,子类型 5)、VPN 用户登录(VPN 用户登录事件 - 事件类型 1004,子类型 8)或 VPN 用户注销(VPN 用户注销事件 - 事件类型 1004,子类型 9)时,也会使用此块。
用户信息更新事件消息具有标准发现事件报头(如发现事件报头 5.2+中所记录)和用户登录信息数据块(如用户登录信息数据块 6.2+中所记录)。用户登录信息数据块的块类型为系列 1 中的 121。
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
发现事件报头 (Discovery Event Header)
|
|
用户登录信息数据块 (User Login Information Data Block)
|
|
|
主机发现和连接数据块
有关主机发现和连接事件中的块类型列表,请参阅表 4-30。表 4-86对用户事件中的块类型进行了说明。这些都是系列1 数据块。
下表中的每个条目都包含一个到定义数据块的子节的链接。表中指出了每个块类型的状态(当前版本或旧版本)。当前版本数据块是最新版本。旧数据块是用于产品的较旧版本的数据块,但仍然可以向 eStreamer 请求其消息格式。
表 4-30 主机发现和连接数据块类型
|
|
|
|
0
|
字符串
|
当前
|
包含字符串数据。有关详细信息,请参阅字符串数据块。
|
1
|
子服务器
|
当前
|
包含在服务器上检测到的子服务器的相关信息。有关详细信息,请参阅子服务器数据块。
|
4
|
协议 (Protocol)
|
当前
|
包含协议数据。有关详细信息,请参阅协议数据块。
|
7
|
整数数据
|
当前
|
包含整数(数字)数据。有关详细信息,请参阅整数 (INT32) 数据块。
|
10
|
BLOB
|
当前
|
包含一个原始二进制数据块,专门用于横幅。有关详细信息,请参阅BLOB 数据块。
|
11
|
列表
|
当前
|
包含其他数据块列表。有关详细信息,请参阅列表数据块。
|
14
|
VLAN
|
当前
|
包含 VLAN 信息。有关详细信息,请参阅VLAN 数据块。
|
20
|
入侵影响警报
|
当前
|
包含入侵影响警报信息。入侵影响警报事件的报头与其他数据块略有不同。有关详细信息,请参阅入侵影响警报数据 5.3+。
|
31
|
通用列表
|
当前
|
包含通用列表信息,例如用来将块(如客户端应用块)列表封装到主机配置文件块中。有关详细信息,请参阅通用列表块。
|
35
|
字符串信息
|
当前
|
包含字符串信息。例如,在扫描漏洞数据块中使用时,字符串信息数据块包含 CVE 标识号数据。请参阅字符串信息数据块。
|
37
|
服务器横幅
|
当前
|
包含服务器横幅数据。有关详细信息,请参阅服务器横幅数据块。
|
38
|
属性地址
|
传统
|
包含主机属性地址(如较早版本的产品中所记录)。后继块为 146。
|
39
|
属性列表项
|
当前
|
包含主机属性列表项值。有关详细信息,请参阅属性列表项数据块。
|
42
|
主机客户端应用
|
传统
|
包含用于新客户端应用事件的客户端应用信息(如较早版本的产品中所记录)。
|
47
|
完整主机配置文件
|
传统
|
包含完整主机配置文件信息(如较早版本的产品中所记录)。
|
48
|
属性值
|
当前
|
包含属性标识号和主机属性值。有关详细信息,请参阅属性值数据块。
|
51
|
完整子服务器
|
当前
|
包含在服务器上检测到的子服务器的相关信息。在完整服务器信息块和完整主机配置文件中引用。包含每个子服务器的漏洞信息。有关详细信息,请参阅完整子服务器数据块。
|
53
|
操作系统
|
当前
|
包含用于版本 3.5+ 的操作系统信息。有关详细信息,请参阅操作系统数据块 3.5+。
|
54
|
策略引擎控制消息
|
当前
|
包含有关用户策略控制更改的信息。有关详细信息,请参阅策略引擎控制消息数据块。
|
55
|
属性定义
|
当前
|
包含有关属性定义的信息。有关详细信息,请参阅用于 4.7+ 的属性定义数据块。
|
56
|
连接统计信息
|
传统
|
包含有关 4.7 - 4.9.0 中连接统计信息事件的信息(如较早版本的产品中所记录)。
|
57
|
用户协议
|
当前
|
包含用户输入的协议信息。有关详细信息,请参阅用户协议数据块。
|
59
|
用户客户端应用
|
传统
|
包含用户输入的客户端应用数据。有关详细信息,请参阅用于 5.0 - 5.1 的用户客户端应用数据块。被块 138 替代。
|
60
|
用户客户端应用列表
|
当前
|
包含用户客户端应用数据块的列表。有关详细信息,请参阅用户客户端应用列表数据块。
|
61
|
IP 范围规格
|
传统
|
包含 IP 地址范围规格。有关详细信息,请参阅用于 5.0 - 5.1.1.x 的 IP 范围规格数据块。被块 141 替代。
|
62
|
属性规格
|
当前
|
包含属性名称和值。有关详细信息,请参阅属性规格数据块。
|
63
|
MAC 地址规格
|
当前
|
包含 MAC 地址范围规格。有关详细信息,请参阅MAC 地址规格数据块。
|
64
|
IP 地址规格
|
当前
|
包含 IP 和 MAC 地址规格块列表。有关详细信息,请参阅地址规格数据块。
|
65
|
用户产品
|
传统
|
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用于 5.0.x 的用户产品数据块。5.0 中引入的后继块类型 118 的结构与块类型 65 的结构相同。
|
66
|
连接区块
|
传统
|
包含连接区块信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。5.0 中引入的后继块类型 119 的结构与块类型 66 的结构相同。
|
67
|
修复列表
|
当前
|
包含适用于主机的修复。有关详细信息,请参阅修复列表数据块。
|
71
|
一般扫描结果
|
传统
|
包含 Nmap 扫描的结果(如较早版本的产品中所记录)。
|
72
|
扫描结果
|
传统
|
包含第三方扫描的结果(如较早版本的产品中所记录)。
|
76
|
用户服务器
|
当前
|
包含用户输入事件的服务器信息。有关详细信息,请参阅用户服务器数据块。
|
77
|
用户服务器列表
|
当前
|
包含用户服务器块列表。有关详细信息,请参阅用户服务器列表数据块。
|
78
|
用户主机
|
当前
|
包含用户主机输入事件的主机范围的相关信息。有关详细信息,请参阅用户主机数据块 4.7+。
|
79
|
用户漏洞
|
传统
|
包含一个或多个主机的漏洞相关信息(如较早版本的产品中所记录)。版本 5.0 中引入的后继块的块类型为 124。
|
80
|
用户主机漏洞更改
|
当前
|
包含停用或激活的漏洞的列表。有关详细信息,请参阅用户漏洞更改数据块 4.7+。
|
81
|
用户临界点
|
当前
|
包含一个或多个主机的临界点更改相关信息。有关详细信息,请参阅用户临界点更改数据块 4.7+。
|
82
|
用户属性值
|
当前
|
包含一个或多个主机的属性值更改。有关详细信息,请参阅用户属性值数据块 4.7+。
|
83
|
用户协议列表
|
当前
|
包含一个或多个主机的协议列表。有关详细信息,请参阅用户协议列表数据块 4.7+。
|
85
|
漏洞列表
|
当前
|
包含适用于主机的漏洞。有关详细信息,请参阅主机漏洞数据块 4.9.0+。
|
86
|
扫描漏洞
|
传统
|
包含有关扫描检测到的漏洞的信息(如较早版本的产品中所记录)。
|
87
|
操作系统指纹
|
传统
|
包含操作系统指纹列表。有关详细信息,请参阅用于 5.0 - 5.0.2 的操作系统指纹数据块。版本 5.1 中引入的后继块的块类型为 130。
|
88
|
服务器信息
|
传统
|
包含服务器指纹中使用的服务器信息(如较早版本的产品中所记录)。
|
89
|
主服务器
|
传统
|
包含主机的服务器信息(如较早版本的产品中所记录)。
|
90
|
完整主机服务器
|
传统
|
包含主机的服务器信息(如较早版本的产品中所记录)。
|
91
|
主机配置文件
|
传统
|
包含主机的配置文件信息。有关详细信息,请参阅用于 5.2+ 的主机配置文件数据块。版本 5.1 中引入的后继块的块类型为 132。
|
92
|
完整主机配置文件
|
传统
|
包含完整主机配置文件信息(如较早版本的产品中所记录)。替代数据块 47。
|
94
|
身份数据
|
当前
|
包含主机的身份数据。有关详细信息,请参阅身份数据块。
|
95
|
主机 MAC 地址
|
当前
|
包含主机的 MAC 地址信息。有关详细信息,请参阅主机 MAC 地址 4.9+。
|
96
|
辅助主机更新
|
当前
|
包含辅助辅助主机更新报告的 MAC 地址信息列表。
|
97
|
Web 应用程序
|
传统
|
包含 Web 应用数据列表(如较早版本的产品中所记录)。版本 5.0 中引入的后继块的块类型为 123。
|
98
|
主服务器
|
传统
|
包含主机的服务器信息(如较早版本的产品中所记录)。
|
99
|
完整主机服务器
|
传统
|
包含主机的服务器信息(如较早版本的产品中所记录)。
|
100
|
主机客户端应用
|
传统
|
包含用于新客户端应用事件的客户端应用信息(如较早版本的产品中所记录)。5.0 中引入的后继块类型 122 的结构与块类型 100 的结构相同。
|
101
|
连接统计信息
|
传统
|
包含有关 4.9.1+ 中连接统计信息事件的信息(如较早版本的产品中所记录)。
|
102
|
扫描结果
|
传统
|
包含漏洞的相关信息,且在”添加扫描结果“事件中使用。请参阅扫描结果数据块 5.0 - 5.1.1.x。
|
103
|
主服务器
|
当前
|
包含主机的服务器信息。有关详细信息,请参阅主机服务器数据块 4.10.0+。
|
104
|
完整主机服务器
|
当前
|
包含主机的服务器信息。有关详细信息,请参阅完整主机服务器数据块 4.10.0+。
|
105
|
服务器信息
|
传统
|
包含服务器指纹中使用的服务器信息。有关详细信息,请参阅用于 4.10.x、5.0 - 5.0.2 的服务器信息数据块。5.0 中引入的后继块类型 117 的结构与块类型 105 的结构相同。
|
106
|
完整服务器信息
|
当前
|
包含在主机上检测到的服务器的相关信息。有关详细信息,请参阅完整服务器信息数据块。
|
108
|
一般扫描结果
|
当前
|
包含 Nmap 扫描的结果。有关详细信息,请参阅用于 4.10.0+ 的一般扫描结果数据块。
|
109
|
扫描漏洞
|
当前
|
包含有关第三方扫描检测到的漏洞的信息。请参阅用于 4.10.0+ 的扫描漏洞数据块。
|
111
|
完整主机配置文件
|
传统
|
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.0 - 5.0.2。替代数据块 92。
|
112
|
完整主机客户端应用
|
当前
|
包含用于新客户端应用事件的客户端应用信息,且包含漏洞列表。有关详细信息,请参阅完整主机客户端应用数据块 5.0+。
|
115
|
连接统计信息
|
传统
|
包含 5.0 - 5.0.2 中连接统计信息事件的信息。有关详细信息,请参阅连接统计信息数据块 5.0 - 5.0.2。版本 5.1 中引入的后继块的块类型为 126。
|
117
|
服务器信息
|
当前
|
包含服务器指纹中使用的服务器信息。有关详细信息,请参阅用于 4.10.x、5.0 - 5.0.2 的服务器信息数据块。
|
118
|
用户产品
|
传统
|
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用于 5.0.x 的用户产品数据块。先趋块类型 65(在 5.0 中替代)的结构与此块类型的结构相同。版本 5.1 中引入的后继块的块类型为 132。
|
119
|
连接区块
|
传统
|
包含用于版本 4.10.1 - 5.1 的连接区块信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。后继块为 136。
|
122
|
主机客户端应用
|
当前
|
包含用于版本 5.0+ 的新客户端应用事件的客户端应用信息。有关详细信息,请参阅用于 5.0+ 的主机客户端应用数据块。它替代块类型100。
|
123
|
Web 应用程序
|
当前
|
包含用于版本 5.0+ 的 Web 应用数据。有关详细信息,请参阅用于 5.0+ 的 Web 应用数据块。它替代块类型97。
|
124
|
用户漏洞
|
当前
|
包含一个或多个主机的漏洞相关信息。请参阅用户漏洞数据块 5.0+。它替代块类型 79。
|
125
|
连接统计信息
|
传统
|
包含有关 4.10.2 中连接统计信息事件的信息(如较早版本的产品中所记录)。版本 5.1 中引入的后继块的块类型为 115。
|
126
|
连接统计信息
|
传统
|
包含 5.1 中连接统计信息事件的信息。有关详细信息,请参阅连接统计信息数据块 5.1。它替代块类型 115。此块类型被块类型 137 替代。
|
130
|
操作系统指纹
|
当前
|
包含操作系统指纹列表。有关详细信息,请参阅操作系统指纹数据块 5.1+。它替代块类型87。
|
131
|
移动设备信息
|
当前
|
包含检测到的移动设备的硬件的相关信息。有关详细信息,请参阅用于 5.1+ 的移动设备 信息数据块。
|
132 个
|
主机配置文件
|
传统
|
包含主机的配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.2.x。它替代块类型 91。被块 139 替代。
|
134
|
用户产品
|
当前
|
包含从第三方应用导入的主机输入数据,包括第三方应用字符串映射。有关详细信息,请参阅用户产品数据块 5.1+。这替代先趋块类型 118。
|
135
|
完整主机配置文件
|
传统
|
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.1.1。替代数据块 111。
|
136
|
连接区块
|
当前
|
包含连接区块信息。有关详细信息,请参阅用于 6.1+ 的连接区块数据块。替代块 119。
|
137
|
连接统计信息
|
传统
|
包含 5.1.1 中连接事件的信息。有关详细信息,请参阅用于 5.0 - 5.1 的连接区块数据块。它替代块类型 126。它被块类型 144 替代。
|
138
|
用户客户端应用
|
当前
|
包含用户输入的客户端应用数据。有关详细信息,请参阅用于 5.1.1+ 的用户客户端应用数据块。它替代块类型 。
|
139
|
主机配置文件
|
当前
|
包含主机的配置文件信息。有关详细信息,请参阅用于 5.2+ 的主机配置文件数据块。它替代块类型 132。
|
140
|
完整主机配置文件
|
传统
|
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.3+。替代数据块 135。
|
141
|
IP 范围规格
|
当前
|
包含 IP 地址范围规格。有关详细信息,请参阅用于 5.2+ 的 IP 地址范围数据块。它替代块 61。
|
142
|
扫描结果
|
当前
|
包含漏洞的相关信息,且在添加扫描结果事件中使用。请参阅扫描结果数据块 5.2+。它替代块 102。
|
143
|
主机 IP
|
当前
|
包含主机的 IP 地址和上次查看时间信息。有关详细信息,请参阅主机 IP 地址数据块。
|
144 个
|
连接统计信息
|
传统
|
包含 5.2.x 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.2.x。它替代块类型 137。
|
146
|
属性地址
|
当前
|
包含 5.2+ 的主机属性地址。有关详细信息,请参阅属性地址数据块 5.2+。它替代块类型 38。
|
148
|
用户 IOC 更改
|
当前
|
包含有关用户 IOC 更改的信息。有关详细信息,请参阅用户 IOC 更改数据块 5.3+。
|
149
|
完整主机配置文件
|
当前
|
包含完整主机配置文件信息。有关详细信息,请参阅完整主机配置文件数据块 5.3+。替代数据块 135。
|
152
|
连接统计信息
|
传统
|
包含 5.3+ 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.3。它替代块类型 144。
|
154 种
|
连接统计信息
|
传统
|
包含 5.3 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.3.1。它替代块类型 152。
|
155
|
连接统计信息
|
传统
|
包含 5.4 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.4。它替代块类型 154。
|
157
|
连接统计信息
|
传统
|
包含 5.4.1 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 5.4.1。它替代块类型 155。
|
160
|
连接统计信息
|
传统
|
包含 5.4.1 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 6.0.x。它替代块类型 157。
|
163
|
连接统计信息
|
当前
|
包含 6.0+ 中连接事件的信息。有关详细信息,请参阅连接统计信息数据块 7.1+。它替代块类型 160。
|
字符串数据块
字符串数据块用于发送系列 1 块中的字符串数据。字符串数据块通常出现在其他系列 1 数据块中,用于描述操作系统或服务器名称等。
空字符串数据块(不包含任何字符串数据的字符串数据块)的块长度值为
8
,随后是零字节字符串数据。字符串值没有任何内容时返回空字符串数据块,可能出现这种情况的一个例子是,操作系统的供应商未知时操作系统数据块中的操作系统供应商字符字段。
字符串数据块的块类型为系列 1 数据块组中的 0。
注释 此数据块中返回的字符串不总是以空值终止(即不总是以 0 终止)。
下图显示字符串数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
字符串数据...(String Data...)
|
下表对字符串数据块的字段进行了说明。
表 4-31 字符串数据块字段
|
|
|
字符串块类型 (String Block Type)
|
uint32
|
启动字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
字符串数据块报头与字符串数据的总长度。
|
字符串数据 (String Data)
|
字符串
|
包含字符串数据,且可能在字符串结尾包含一个终止字符(空字节)。
|
BLOB 数据块
BLOB 数据块可用于传输二进制数据。例如,用于承载系统捕获的服务器横幅。BLOB 数据块的块类型为系列 1 数据块组中的 10。
下图显示 BLOB 数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
BLOB 块类型 (10) (BLOB Block Type (10))
|
|
BLOB 块长度 (BLOB Block Length)
|
|
BLOB 二进制数据...(BLOB Binary Data...)
|
下表对 BLOB 数据块的字段进行了说明。
表 4-32 BLOB 数据块字段
|
|
|
BLOB 块类型 (BLOB Block Type)
|
uint32
|
启动 BLOB 数据块。值始终为
10
。
|
BLOB 块长度 (BLOB Block Length)
|
uint32
|
BLOB 数据块中的字节数,包括 BLOB 块类型和长度字段的八个字节,加上随后的二进制数据的长度。
|
二进制数据 (Binary Data)
|
变量
|
包含二进制数据,通常是服务器横幅。
|
列表数据块
列表数据块用于封装系列 1 数据块列表。例如,如果正在传输 TCP 服务器列表,则包含数据的服务器数据块封装在列表数据块中。列表数据块的块类型为系列 1 数据块组中的 11。
下图显示列表数据块的基本格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
列表块类型 (11) (List Block Type (11))
|
|
列表块长度 (List Block Length)
|
|
封装数据块数...(Encapsulated Data Blocks...)
|
下表对列表数据块的字段进行了说明。
表 4-33 列表数据块字段
|
|
|
列表块类型 (List Block Type)
|
uint32
|
启动列表数据块。值始终为
11
。
|
列表块长度 (List Block Length)
|
uint32
|
列表块和封装数据中的字节数。例如,如果列表中包含三个子服务器数据块,则此处的值包含子服务器数据块中的字节数,加上列表块报头的八个字节。
|
封装数据块数 (Encapsulated Data Blocks)
|
变量
|
封装数据块数最多可以是列表块长度中的最大字节数。
|
通用列表块
通用列表数据块用于封装系列 1 数据块列表。例如,当在主机配置文件数据块中传输客户端应用信息时,客户端应用数据块列表封装在通用列表数据块中。通用列表数据块的块类型为系列 1 数据块组中的 31。
下图显示通用列表数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
通用列表块类型 (31) (Generic List Block Type (31))
|
|
通用列表块长度 (Generic List Block Length)
|
|
封装数据块数...(Encapsulated Data Blocks...)
|
下表对通用列表数据块的字段进行了说明。
表 4-34 通用列表数据块字段
|
|
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
封装数据块数 (Encapsulated Data Blocks)
|
变量
|
封装数据块数最多可以是列表块长度中的最大字节数。
|
子服务器数据块
子服务器数据块传输单个子服务器的相关信息,该服务器是同一主机上的其他服务器调用的服务器且具有相关漏洞。子服务器数据块的块类型为系列 1 数据块组中的 1。
下图显示子服务器数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
子服务器块类型 (1) (Sub-Server Block Type (1))
|
子服务器块长度 (Sub-Server Block Length)
|
子服务器
名称 (Name)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
子服务器名称...(Sub-Server Name...)
|
供应商
名称 (Name)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
供应商名称...(Vendor Name...)
|
版本
版本
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
版本...(Version...)
|
下表对子服务器数据块的字段进行了说明。
表 4-35 子服务器数据块字段
|
|
|
子服务器块类型 (Sub-Server Block Type)
|
uint32
|
启动子服务器数据块。值始终为
1
。
|
子服务器块长度 (Sub-Server Block Length)
|
uint32
|
子服务器数据块中的字节总数,包括子服务器块类型和长度字段的八个字节,加上随后的数据字节数。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
子服务器名称字符串数据块中的字节数,包括字符串块类型和长度字段,加上子服务器名称中的字节数。
|
子服务器名称 (Sub-Server Name)
|
字符串
|
子服务器的名称。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器供应商的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
供应商名称字符串数据块中的字节数,包括字符串块类型和长度字段,加上供应商名称中的字节数。
|
供应商名称 (Vendor Name)
|
字符串
|
子服务器供应商名称。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器版本的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
子服务器版本字符串数据块中的字节数,包括字符串块类型和长度字段,加上版本中的字节数。
|
版本
|
字符串
|
子服务器版本。
|
协议数据块
协议数据块定义协议。它是非常简单的数据块,只有块类型、块长度和识别协议的 IANA 协议号。协议数据块的块类型为系列 1 数据块组中的 4。
下图显示协议数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
协议块类型 (4) (Protocol Block Type (4))
|
|
协议块长度 (Protocol Block Length)
|
|
协议 (Protocol)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
下表对协议数据块的字段进行了说明。
表 4-36 协议数据块字段
|
|
|
协议块类型 (Protocol Block Type)
|
uint32
|
启动协议数据块。值始终为
4
。
|
协议块长度 (Protocol Block Length)
|
uint32
|
协议数据块中的字节数。值始终为
10
。
|
协议 (Protocol)
|
uint16
|
IANA 协议号或 Ethertype。这对传输协议和网络层协议的处理方式不同。
传输层协议由 IANA 协议号识别。例如:
网络层协议由 IEEE 注册权威机构 Ethertype 的十进制形式识别。例如:
|
整数 (INT32) 数据块
整数 (INT32) 数据块在列表数据块中使用,用于传输 32 位整数数据。
整数数据块的块类型为系列 1 数据块组中的 7。
下图显示整数数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
整数块类型 (7) (Integer Block Type (7))
|
|
整数块长度 (Integer Block Length)
|
|
整数 (Integer)
|
下表对整数数据块的字段进行了说明:
表 4-37 整数数据块字段
|
|
|
整数块类型 (Integer Block Type)
|
uint32
|
启动整数数据块。值始终为
7
。
|
整数块长度 (Integer Block Length)
|
uint32
|
整数数据块中的字节数。值始终为
12
。
|
整数 (Integer)
|
uint32
|
包含整数值。
|
VLAN 数据块
VLAN 数据块包含主机的 VLAN 标签信息。VLAN 数据块的块类型为系列 1 数据块组中的 14。下图显示 VLAN 数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
VLAN 块类型 (14) (VLAN Block Type (14))
|
|
VLAN 块长度 (VLAN Block Length)
|
|
VLAN 编号
|
VLAN 类型 (VLAN Type)
|
VLAN 优先级 (VLAN Priority)
|
下表对 VLAN 数据块的字段进行了说明。
表 4-38 VLAN 数据块字段
|
|
|
VLAN 块类型 (VLAN Block Type)
|
uint32
|
启动 VLAN 数据块。值始终为
14
。
|
VLAN 块长度 (VLAN Block Length)
|
uint32
|
VLAN 数据块中的字节数。值始终为
12
。
|
VLAN ID
|
uint16
|
包含表示主机所属 VLAN 的 VLAN 标识号。
|
VLAN 类型 (VLAN Type)
|
uint8
|
VLAN 标签中封装的数据包类型。
|
VLAN 优先级 (VLAN Priority)
|
uint8
|
VLAN 标签中包含的优先级值。
|
服务器横幅数据块
服务器横幅数据块提供有关主机上运行的服务器的横幅的信息。它包含服务器端口、协议以及横幅数据。服务器横幅数据块的块类型为系列 1 数据块组中的 37。
下图显示服务器横幅数据块的格式。
注释 下图中块类型字段旁边的星号 (*) 表示该消息可能包含零个或多个系列 1 数据块实例。
字节
|
0
|
1
|
2
|
3
|
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
|
服务器横幅块类型 (37) (Server Banner Block Type (37))
|
|
|
服务器横幅块长度 (Server Banner Block Length)
|
|
|
端口
|
协议
|
BLOB 块类型 (BLOB Block Type)
|
服务器横幅 (Blob)
|
|
BLOB 块类型 (10) (BLOB Block Type (10))(续)
|
BLOB 长度 (BLOB Length)
|
|
BLOB 长度 (BLOB Length)(续)
|
服务器横幅数据...(Server Banner Data...)
|
|
服务器横幅数据...(Server Banner Data...)(续)
|
下表对服务器横幅数据块的字段进行了说明。
表 4-39 服务器横幅数据块字段
|
|
|
服务器横幅块类型 (Server Banner Block Type)
|
uint32
|
启动服务器横幅数据块。值始终为
37
。
|
服务器横幅块长度 (Server Banner Block Length)
|
uint32
|
服务器横幅数据块中的字节总数,包括服务器横幅块类型和长度字段的八个字节,加上随后的数据字节数。
|
端口 (Port)
|
uint16
|
服务器在其上运行的端口的端口号。
|
协议 (Protocol)
|
uint8
|
服务器的协议号。
|
BLOB 块类型 (BLOB Block Type)
|
uint32
|
启动包含服务器横幅数据的 BLOB 数据块。值始终为
10
。
|
长度 (Length)
|
uint32
|
BLOB 数据块中的字节总数(通常是 264 个字节)。
|
横幅 (Banner)
|
字节[
n
]
|
服务器事件中涉及的数据包的前
n
个字节,其中
n
小于或等于 256。
|
字符串信息数据块
字符串信息数据块包含字符串数据。例如,字符串信息数据块用于传输扫描漏洞数据块中的通用漏洞披露 (CVE) 标识字符串。字符串信息数据块的块类型为系列 1 数据块组中的 35。
下图显示字符串信息数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
字符串信息块类型 (35) (String Information Block Type (35))
|
|
字符串信息块长度 (String Information Block Length)
|
CVE ID
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
值...(Value...)
|
下表对字符串信息数据块的字段进行了说明。
表 4-40 字符串信息数据块字段
|
|
|
字符串信息块类型 (String Information Block Type)
|
uint32
|
启动字符串信息数据块。值始终为
35
。
|
字符串信息块长度 (String Information Block Length)
|
uint32
|
字符串信息数据块报头与字符串信息数据的总长度。
|
字符串块类型 (String Block Type)
|
uint32
|
启动该值的字符串数据块。
|
字符串块长度 (String Block Length)
|
uint32
|
用于该值的字符串数据块中的字节数,包括字符串块类型和长度的八个字节,加上该值中的字节数。
|
值
|
字符串
|
在其中使用字符串信息数据块的漏洞数据块的通用漏洞披露 (CVE) 标识号的值。
|
属性地址数据块 5.2+
属性地址数据块包含一个属性列表项目,在属性定义数据块中使用。该数据块的块类型为系列 1 数据块组中的 146。
下图显示属性地址数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
属性地址块类型 (146) (Attribute Address Block Type (146))
|
|
属性地址块长度 (Attribute Address Block Length)
|
|
属性 ID (Attribute ID)
|
|
IP 地址 (IP Address)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
|
位
|
下表对属性地址数据块的字段进行了说明。
表 4-41 属性地址数据块 5.2+ 字段
|
|
|
属性地址块类型 (Attribute Address Block Type)
|
uint32
|
启动属性地址数据块。值始终为
146
。
|
属性地址块长度 (Attribute Address Block Length)
|
uint32
|
属性地址数据块中的字节数,包括属性地址块类型和长度字段的八个字节,加上随后的属性地址数据的字节数。
|
属性 ID (Attribute ID)
|
uint32
|
受影响属性的标识号(如适用)。
|
IP 地址 (IP Address)
|
uint8[16]
|
主机的 IP 地址(如果地址已自动分配)。此地址可以是 IPv4 或 IPv6。
|
位
|
uint32
|
如果已自动分配 IP 地址,则包含用于计算网络掩码的有效位。
|
用户 IOC 更改数据块 5.3+
用户 IOC 更改数据块包含有关用户进行的 IOC 更改的信息。它用于用户主机 IOC 删除、用户主机 IOC 启用和用户主机 IOC 禁用记录。该数据块的块类型为系列 1 数据块组中的 148。
下图显示用户 IOC 更改数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户 IOC 更改块类型 (148) (User IOC Change Block Type (148))
|
|
用户 ID
|
|
源类型
|
IP 地址 (IP Addresses)
范围
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 范围规格数据块 (IP Range Specification Data Blocks)*
|
|
IOC ID
|
|
目标 UID (Target UID)
|
下表对用户服务器数据块的字段进行了说明。
表 4-42 用户 IOC 更改数据块 5.3+ 字段
|
|
|
用户 IOC 更改块类型 (User IOC Change Block Type)
|
uint32
|
启动用户 IOC 更改数据块。此值始终为
148
。
|
用户 ID
|
uint32
|
进行 IOC 更改的用户的 ID 号码。
|
源类型
|
uint32
|
映射到数据源类型的数字:
-
0
如果客户端数据由 RNA 检测到
-
1
如果客户端数据由用户提供
-
2
如果客户端数据由第三方扫描仪检测到
-
3
如果客户端数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 IP 地址范围数据的 IP 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装
|
IP 范围规格数据块 (IP Range Specification Data Blocks) *
|
变量
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。
|
IOC ID
|
uint32
|
正在更改的 IOC 的 ID 号码。
|
目标 UID (Target UID)
|
unit32
|
未在 eStreamer 输出支持的事件中使用。
|
属性列表项数据块
属性列表项数据块包含一个属性列表项目,在属性定义数据块中使用。其块类型为系列 1 数据块组中的 39。
下图显示属性列表项数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
属性列表项块类型 (39) (Attribute List Item Block Type (39))
|
|
属性列表项块长度 (Attribute List Item Block
|
|
属性 ID (Attribute ID)
|
属性名称
(Attr Name)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
名称...(Name...)
|
下表对属性列表项数据块的字段进行了说明。
表 4-43 属性列表项数据块字段
|
|
|
属性列表项块类型 (Attribute List Item Block
|
uint32
|
启动属性列表项数据块。值始终为
39
。
|
属性列表项块长度 (Attribute List Item Block
|
uint32
|
属性列表项数据块中的字节数,包括属性列表项块类型和长度字段的八个字节,加上随后的属性列表项数据中的字节数。
|
属性 ID (Attribute ID)
|
uint32
|
受影响属性的标识号(如适用)。
|
字符串块类型 (String Block Type)
|
uint32
|
启动属性列表项名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
属性列表项名称字符串数据块中的字节数,包括字符串块类型和长度的八个字节,加上属性列表项名称中的字节数。
|
名称 (Name)
|
字符串
|
属性列表项名称。
|
属性值数据块
属性值数据块传输主机属性的属性标识号和值。完整主机配置文件数据块中的列表包含应用于事件中的主机的每个属性的属性值数据块。属性值数据块的块类型为系列 1 数据块组中的 48。
下图显示属性值数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
属性值块类型 (48) (Attribute Value Block Type (48))
|
属性值块长度 (Attribute Value Block Length)
|
|
属性 ID (Attribute ID)
|
属性类型 (Attribute Type)
|
|
属性整数值 (Attribute Integer Value)
|
字符串数据块 (0) (String Data Block (0))
|
|
字符串块长度 (String Block Length)
|
|
属性值字符串...(Attribute Value String...)
|
下表对属性值数据块的组件进行了说明。
表 4-44 属性值数据块字段
|
|
|
属性值块类型 (Attribute Value Block Type)
|
uint32
|
启动属性值数据块。值始终为
48
。
|
属性值块长度 (Attribute Value Block Length)
|
uint32
|
属性值数据块中的字节总数,包括属性值块类型和长度字段的八个字节,加上随后的属性块数据的字节数。
|
属性 ID (Attribute ID)
|
uint32
|
属性的标识号。
|
属性类型 (Attribute Type)
|
uint32
|
受影响属性的类型。可能的值包括:
-
0
- 值为文本的属性;这使用字符串数据
-
1
- 具有范围值的属性;这使用整数数据
-
2
- 具有可能值列表的属性;这使用整数数据
-
3
- 值为 URL 的属性;这使用字符串数据
-
4
- 值为二进制 BLOB 的属性;这使用字符串数据
|
属性整数值 (Attribute Integer Value)
|
uint32
|
属性的整数值(如适用)。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含属性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
字符串数据块中的字节数,包括字符串块类型和长度字段,加上属性名称中的字节数。
|
属性值 (Attribute Value)
|
字符串
|
属性的值。
|
完整子服务器数据块
完整子服务器数据块传输与在主机上检测到的服务器关联的子服务器的相关信息,并且包含子服务器的相关信息,如子服务器的供应商和版本以及主上子服务器的任何相关 VDB 和第三方漏洞。子服务器是具有自己的关联漏洞的服务器可加载模块。完整主机服务器数据块包含用于在主机上检测到的每个子服务器的完整子服务器数据块。完整子服务器数据块的块类型为系列 1 数据块组中的 51。
注释 下图中系列 1 数据块名称旁边的星号 (*) 表示可能会出现多个数据块实例。
下图显示完整子服务器数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
完整子服务器块类型 (51) (Full Sub-Server Block Type (51))
|
|
完整子服务器块长度 (Full Sub-Server Block Length)
|
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
子服务器名称字符串...(Sub-Server Name String...)
|
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
子服务器供应商名称字符串...(Sub-Server Vendor Name String...)
|
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
子服务器版本字符串...(Sub-Server Version String...)
|
|
通用列表块类型 (31) (Generic List Block Type (31))
|
|
通用列表块长度 (Generic List Block Length)
|
|
(VDB) 主机漏洞数据块 ((VDB) Host Vulnerability Data Blocks)*
|
|
通用列表块类型 (31) (Generic List Block Type (31))
|
|
通用列表块长度 (Generic List Block Length)
|
|
(第三方扫描)主机漏洞数据块 ((Third Party Scan) Host Vulnerability Data Blocks)*
|
下表对完整子服务器数据块的组件进行了说明。
表 4-45 完整子服务器数据块字段
|
|
|
完整子服务器块类型 (Full Sub-Server Block Type)
|
uint32
|
启动完整子服务器数据块。值始终为
51
。
|
完整子服务器块长度 (Full Sub-Server Block Length)
|
uint32
|
完整子服务器数据块中的字节总数,包括完整子服务器块类型和长度字段的八个字节,加上随后的完整子服务器数据中的字节数。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
子服务器名称字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上子服务器名称中的字节数。
|
子服务器名称 (Sub-Server Name)
|
字符串
|
子服务器名称。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器供应商名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
供应商名称字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上子服务器供应商名称中的字节数。
|
子服务器供应商名称 (Sub-Server Vendor Name)
|
字符串
|
子服务器供应商的名称。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含子服务器版本的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
子服务器版本字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上子服务器版本中的字节数。
|
子服务器版本 (Sub-Server Version)
|
字符串
|
子服务器版本。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 VDB 漏洞数据的主机漏洞数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装主机漏洞数据块。
|
VDB 主机漏洞数据块 (VDB Host Vulnerability Data Blocks) *
|
变量
|
包含思科识别的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送第三方扫描漏洞数据的主机漏洞数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装主机漏洞数据块。
|
第三方扫描主机漏洞数据块 (Third Party Scan Host Vulnerability Data Blocks) *
|
变量
|
包含第三方漏洞扫描仪识别的主机漏洞的相关信息的主机漏洞数据块。有关此数据块的说明,请参阅主机漏洞数据块 4.9.0+。
|
操作系统数据块 3.5+
用于版本 3.5+ 的操作系统数据块的块类型为系列 1 数据块组中的 53。该块包含指纹通用唯一标识符 (UUID)。下图显示 3.5+ 中操作系统数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
操作系统块类型 (53) (Operating System Block Type (53))
|
|
操作系统块长度 (Operating System Block Length)
|
|
置信 (Confidence)
|
操作系统指纹
UUID
|
指纹 UUID (Fingerprint UUID)
|
指纹 UUID (Fingerprint UUID)(续)
|
指纹 UUID (Fingerprint UUID)(续)
|
指纹 UUID (Fingerprint UUID)(续)
|
下表对 v3.5 操作系统数据块的字段进行了说明。
表 4-46 操作系统数据块 3.5+ 字段
|
|
|
操作系统数据块类型 (Operating System Data Block Type)
|
uint32
|
启动操作系统数据块。值始终为
53
。
|
操作系统数据块长度 (Operating System Data Block Length)
|
uint32
|
操作系统数据块中的字节数。此值应始终为
28
:块类型和长度字段的八个字节,加上置信度值的四个字节以及指纹 UUID 值的十六个字节。
|
置信 (Confidence)
|
uint32
|
置信度百分比值。
|
指纹 UUID (Fingerprint UUID)
|
uint8[16]
|
采用八位组的指纹识别号,用作操作系统的唯一标识符。在思科数据库中,指纹 UUID 向操作系统映射名称、供应商和版本。
|
策略引擎控制消息数据块
策略引擎控制消息数据块传输策略类型的控制消息内容。策略引擎控制消息数据块的块类型为系列 1 数据块组中的 54。
下图显示策略引擎控制消息数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
策略引擎控制消息块类型 (54) (Policy Engine Control Message Block Type (54))
|
|
策略引擎控制消息块长度 (Policy Engine Control Message Block Length)
|
|
类型 (Type)
|
可控性
消息 (Message)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
控制消息...(Control Message...)
|
下表对策略引擎控制消息数据块的组件进行了说明。
表 4-47 策略引擎控制消息数据块字段
|
|
|
策略引擎控制消息块类型 (Policy Engine Control Message Block Type)
|
uint32
|
启动策略引擎控制消息数据块。值始终为
54
。
|
策略引擎控制消息长度 (Policy Engine Control Message Length)
|
uint32
|
策略引擎控制消息数据块中的字节总数,包括策略引擎控制块类型和长度字段的八个字节,加上随后的策略引擎控制数据的字节数。
|
类型 (Type)
|
uint32
|
指示事件策略的类型。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含控制消息的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
控制消息字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上控制消息中的字节数。
|
控制消息 (Control Message)
|
uint32
|
策略引擎发出的控制消息。
|
用于 4.7+ 的属性定义数据块
属性定义数据块包含属性创建、更改或删除事件中的属性定义,在主机属性添加事件(事件类型 1002,子类型 6)、主机属性更新事件(事件类型 1002子类型 7)以及主机属性删除事件(事件类型 1002,子类型 8)中使用。其块类型为系列 1 数据块组中的 55。
有关这些事件的详细信息,请参阅属性消息。
下图显示属性定义数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
|
属性定义块类型 (55) (Attribute Definition Block Type (55))
|
|
|
属性定义块长度 (Attribute Definition Block Length)
|
|
|
源 ID (Source ID)
|
|
|
UUID
|
|
|
UUID(续)
|
|
|
UUID(续)
|
|
|
UUID(续)
|
|
|
ID
|
|
名称 (Name)
|
字符串块类型 (0) (String Block Type (0))
|
|
字符串块长度 (String Block Length)
|
|
名称...(Name...)
|
|
|
属性类型 (Attribute Type)
|
|
|
属性类别 (Attribute Category)
|
|
|
整数范围的起始值 (Starting Value for Integer Range)
|
|
|
整数范围的结束值 (Ending Value for Integer Range)
|
|
|
自动分配的 IP 地址标志 (Auto-Assigned IP Address Flag)
|
|
|
属性列表项块类型 (39) (Attribute List Item Block Type (39))
|
属性
列表项列表 (List of Attribute List Items)
|
|
属性列表项块长度 (Attribute List Item Block
|
列表项 (List Item)
|
列表块类型 (11) (List Block Type (11))
|
列表块长度 (List Block Length)
|
属性列表项...(Attribute List Items...)
|
|
属性地址块类型 (38) (Attribute Address Block Type (38))
|
属性
地址
|
|
属性地址块长度 (Attribute Address Block Length)
|
地址列表 (Address List)
|
列表块类型 (11) (List Block Type (11))
|
列表块长度 (List Block Length)
|
属性地址列表...(Attribute Address List...)
|
下表对属性定义数据块的字段进行了说明。
表 4-48 属性定义数据块字段
|
|
|
属性定义块类型 (Attribute Definition Block Type)
|
uint32
|
启动属性定义数据块。值始终为
55
。
|
属性定义块长度 (Attribute Definition Block Length)
|
uint32
|
属性定义数据块中的字节数,包括属性定义块类型和长度字段的八个字节,加上随后的属性定义数据的字节数。
|
源 ID (Source ID)
|
uint32
|
映射到属性数据源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
UUID
|
uint8[16]
|
充当受影响属性的唯一标识符的 ID 号码。
|
属性 ID (Attribute ID)
|
uint32
|
受影响属性的标识号(如适用)。
|
字符串块类型 (String Block Type)
|
uint32
|
启动属性定义名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
属性定义名称字符串数据块中的字节数,包括字符串块类型和长度的八个字节,加上属性定义名称中的字节数。
|
名称 (Name)
|
字符串
|
属性定义名称。
|
属性类型 (Attribute Type)
|
uint32
|
属性的类型。可能的值包括:
-
0
- 值为文本的属性;这使用字符串数据
-
1
- 具有范围值的属性;这使用整数数据
-
2
- 具有可能值列表的属性;这使用整数数据
-
3
- 值为 URL 的属性;这使用字符串数据
-
4
- 值为二进制 BLOB 的属性;这使用字符串数据
|
属性类别 (Attribute Category)
|
uint32
|
属性类别。
|
范围的起始值 (Starting Value for Range)
|
uint32
|
定义属性的整数范围中的第一个整数。
|
范围的结束值 (Ending Value for Range)
|
uint32
|
定义属性的整数范围中的最后一个整数。
|
自动分配的 IP 地址标志 (Auto-Assigned IP Address Flag)
|
uint32
|
表示 IP 地址是否是根据属性自动分配的标志。
|
列表块类型 (List Block Type)
|
uint32
|
启动由传送属性列表项的属性列表项数据块组成的列表数据块。值始终为
11
。
|
列表块长度 (List Block Length)
|
uint32
|
列表中的字节数。此字节数包括列表块类型和长度字段的八个字节,加上所有封装属性列表项数据块。
此字段后面是零个或多个属性列表项数据块。
|
属性列表项块类型 (Attribute List Item Block
|
uint32
|
启动第一个属性列表项数据块。此数据块后面可以跟随最大长度为列表块长度字段中定义的限值的其他属性列表项数据块。
|
属性列表项块长度 (Attribute List Item Block
|
uint32
|
属性列表项字符串数据块中的字节数,包括块类型和报头字段的八个字节,加上属性列表项中的字节数。
|
属性列表项 (Attribute List Item)
|
变量
|
属性列表项数据,如属性列表项数据块中所记录。
|
列表块类型 (List Block Type)
|
uint32
|
启动由传输带该属性的主机的 IP 地址的属性地址数据块组成的列表数据块。值始终为
11
。
|
列表块长度 (List Block Length)
|
uint32
|
列表中的字节数。此字节数包括列表块类型和长度字段的八个字节,加上所有封装属性地址数据块。
此字段后面是零个或多个属性地址数据块。
|
属性地址块类型 (Attribute Address Block Type)
|
uint32
|
启动第一个属性地址数据块。此数据块后面可以跟随最大长度为列表块长度字段中定义的限值的其他属性地址数据块。
|
属性地址块长度 (Attribute Address Block Length)
|
uint32
|
属性地址数据块中的字节数,包括块类型和报头字段的八个字节,加上属性地址中的字节数。
|
属性地址 (Attribute Address)
|
变量
|
属性地址数据,如属性地址数据块 5.2+中所记录。
|
用户协议数据块
用户协议数据块用于包含已添加协议、协议类型以及具有该协议的主机的 IP 地址和 MAC 地址范围列表的相关信息。用户协议数据块的块类型为系列 1 数据块组中的 57。
下图显示用户协议数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户协议块类型 (57) (User Protocol Block Type (57))
|
|
用户协议块长度 (User Protocol Block Length)
|
IP 地址 (IP Addresses)
范围
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 范围规格数据块 (IP Range Specification Data Blocks)*
|
MAC 地址
范围
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
MAC 范围规格数据块...(MAC Range Specification Data Blocks...)
|
|
协议类型 (Protocol Type)
|
协议 (Protocol)
|
|
下表对用户协议数据块的字段进行了说明。
表 4-49 用户协议数据块字段
|
|
|
用户协议块类型 (User Protocol Block Type)
|
uint32
|
启动用户协议数据块。值始终为
57
。
|
用户协议块长度 (User Protocol Block Length)
|
uint32
|
用户协议数据块中的字节总数,包括用户协议块类型和长度字段的八个字节,加上随后的用户协议数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 IP 地址范围数据的 IP 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装
|
IP 范围规格数据块 (IP Range Specification Data Blocks) *
|
变量
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 MAC 地址范围数据的 MAC 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装 MAC 范围规格数据块。
|
MAC 范围规格数据块 (MAC Range Specification Data Blocks) *
|
变量
|
包含用于用户输入的 MAC 地址范围相关信息的 MAC 范围规格数据块。有关此数据块的说明,请参阅MAC 地址规格数据块。
|
协议类型 (Protocol Type)
|
uint8
|
指示协议的类型。对于 IP 等网络层协议,协议为
0
,对于 TCP 或 UDP 等传输层协议,协议为
1
。
|
协议 (Protocol)
|
uint16
|
启动用于数据块中包含的数据的协议。
|
用于 5.1.1+ 的用户客户端应用数据块
用户客户端应用数据块包含客户端应用数据来源、添加数据的用户的标识号以及 IP 地址范围数据块列表的相关信息。版本 7.2 中添加的负载 ID 指定与记录相关的应用实例。用户客户端应用数据块的块类型为系列 1 数据块组中的 138。它取代块类型 59。
下图显示用户客户端应用数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户客户端应用块类型 (138) (User Client Application Block Type (138))
|
|
用户客户端应用块长度 (User Client Application Block Length)
|
IP 范围
规范
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 范围规格数据块 (IP Range Specification Data Blocks)*
|
|
应用协议 ID (Application Protocol ID)
|
|
客户端应用 ID (Client Application ID)
|
版本
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
版本...(Version...)
|
|
负载类型 (Payload Type)
|
|
Web 应用 ID (Web Application ID)
|
下表对用户客户端应用数据块的字段进行了说明。
表 4-50 用户客户端应用数据块字段
|
|
|
用户客户端应用块类型 (User Client Application Block Type)
|
uint32
|
启动用户客户端应用数据块。值始终为
138
。
|
用户客户端应用块长度 (User Client Application Block Length)
|
uint32
|
用户客户端应用数据块中的字节总数,包括用户客户端应用块类型和长度字段的八个字节,加上随后的用户客户端应用数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 IP 地址范围数据的 IP 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装
|
IP 范围规格数据块 (IP Range Specification Datalocks) *
|
变量
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。
|
应用协议 ID (Application Protocol ID)
|
uint32
|
应用协议的内部标识号(如适用)。
|
客户端应用 ID (Client Application ID)
|
uint32
|
被检测客户端应用的内部标识号(如适用)。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含客户端应用版本的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
客户端应用版本字符串数据块中的字节数,包括字符串块类型和长度字段,加上版本中的字节数。
|
版本
|
字符串
|
客户端应用版本。
|
负载类型 (Payload Type)
|
uint32
|
包括此字段以向后兼容。值始终为
0
。
|
Web 应用 ID (Web Application ID)
|
uint32
|
Web 应用(如适用)的内部标别号。
|
用户客户端应用列表数据块
用户客户端应用列表数据块包含客户端应用数据来源、添加数据的用户的标识号以及客户端应用块列表的相关信息。用户客户端列表应用数据块的块类型为系列 1 数据块组中的 60。
下图显示用户客户端应用列表数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户客户端应用块类型 (60) (User Client Application Block Type (60))
|
|
用户客户端应用块长度 (User Client Application Block Length)
|
|
源类型 (Source Type)
|
|
源 ID (Source ID)
|
用户客户端
应用列表
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
用户客户端应用列表数据块...(User Client Application List Data Blocks...)
|
下表对用户客户端应用列表数据块的字段进行了说明。
表 4-51 用户客户端应用列表数据块字段
|
|
|
用户客户端应用列表块类型 (User Client Application List Block Type)
|
uint32
|
启动用户客户端应用列表数据块。值始终为
60
。
|
用户客户端应用列表块长度 (User Client Application List Block Length)
|
uint32
|
用户客户端应用列表数据块中的字节总数,包括用户客户端应用列表块类型和长度字段的八个字节,加上随后的用户客户端应用列表数据的字节数。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果客户端数据由 RNA 检测到
-
1
如果客户端数据由用户提供
-
2
如果客户端数据由第三方扫描仪检测到
-
3
如果客户端数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
源 ID (Source ID)
|
uint32
|
映射到添加受影响客户端应用的源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
用户客户端应用块 (User Client Application Blocks)
|
变量
|
封装用户客户端应用数据块数最多可以是列表块长度中的最大字节数。有关用户客户端应用数据块的详细信息,请参阅用于 5.1.1+ 的用户客户端应用数据块。
|
用于 5.2+ 的 IP 地址范围数据块
用于 5.2+ 的 IP 地址范围数据块传输一系列 IP 地址。IP 地址范围数据块在用户协议、用户客户端应用、地址规格、用户产品、用户服务器、用户主机、用户漏洞、用户临界点以及用户属性值数据块中使。IP 地址范围数据块的块类型为系列 1 数据块组中的 141。
下图显示 IP 地址范围数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
IP 地址范围块类型 (141) (IP Address Range Block Type (141))
|
IP 地址范围块长度 (IP Address Range Block Length)
|
|
IP 地址范围开始 (IP Address Range Start)
|
|
IP 地址范围开始 (IP Address Range Start)(续)
|
|
IP 地址范围开始 (IP Address Range Start)(续)
|
|
IP 地址范围开始 (IP Address Range Start)(续)
|
|
IP 地址范围结束 (IP Address Range End)
|
|
IP 地址范围结束 (IP Address Range End)(续)
|
|
IP 地址范围结束 (IP Address Range End)(续)
|
|
IP 地址范围结束 (IP Address Range End)(续)
|
下表对 IP 地址范围规格数据块的组件进行了说明。
表 4-52 IP 地址范围数据块字段
|
|
|
IP 地址范围块类型 (IP Address Range Block Type)
|
uint32
|
启动 IP 地址范围数据块。值始终为
61
。
|
IP 地址范围块长度 (IP Address Range Block Length)
|
uint32
|
IP 地址范围数据块中的字节总数,包括 IP 地址范围块类型和长度字段的八个字节,加上随后的 IP 地址范围数据的字节数。
|
IP 地址范围开始 (IP Address Range Start)
|
uint8[16]
|
IP 地址范围的开始 IP 地址。
|
IP 地址范围结束 (IP Address Range End)
|
uint8[16]
|
IP 地址范围的结束 IP 地址。
|
属性规格数据块
属性规格数据块传输属性名称和值。属性规格数据块的块类型为系列 1 数据块组中的 62。
下图显示属性规格数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
属性规格块类型 (62) (Attribute Specification Block Type (62))
|
属性
名称 (Name)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
属性名称...(Attribute Name...)
|
属性
值 (Attribute Value)
|
字符串块类型 (0) (String Block Type (0))
|
字符串块长度 (String Block Length)
|
属性值...(Attribute Value...)
|
下表对属性规格数据块的组件进行了说明。
表 4-53 属性规格数据块字段
|
|
|
属性规格块类型 (Attribute Specification Blockype)
|
uint32
|
启动属性规格数据块。值始终为 62。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含属性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
属性名称字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上属性名称中的字节数。
|
属性值 (Attribute Value)
|
uint32
|
属性的值。
|
字符串块类型 (String Block Type)
|
uint32
|
启动包含属性名称的字符串数据块。值始终为
0
。
|
字符串块长度 (String Block Length)
|
uint32
|
属性名称字符串数据块中的字节数,包括块类型和长度字段的八个字节,加上属性名称中的字节数。
|
属性名称 (Attribute Name)
|
uint32
|
属性的名称。
|
主机 IP 地址数据块
主机 IP 地址数据块传输单个 IP 地址。该 IP 地址可能是 IPv4 或 IPv6 地址。主机 IP 地址数据块在用户协议、地址规格以及用户主机数据块中使用。主机 IP 数据块的块类型为系列 1 数据块组中的 143。
下图显示主机 IP 地址数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
主机 IP 地址规格块类型 (143) (Host IP Address Specification Block Type (143))
|
主机 IP 地址块长度 (Host IP Address Block Length)
|
|
IP 地址 (IP Address)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
|
IP 地址 (IP Address)(续)
|
|
上次查看时间 (Last Seen)
|
下表对主机 IP 地址数据块的组件进行了说明。
表 4-54 主机 IP 地址数据块字段
|
|
|
主机 IP 地址块类型 (Host IP Address Block Type)
|
uint32
|
启动主机 IP 地址数据块。值始终为
143
。
|
主机 IP 块长度 (Host IP Block Length)
|
uint32
|
主机 IP 地址数据块中的字节总数,包括主机 IP 块类型和长度字段的八个字节,加上随后的主机 IP 地址数据的字节数。
|
IP 地址 (IP Address)
|
uint8[16]
|
IP 地址。可能是 IPv4 或 IPv6。
|
上次查看时间 (Last Seen)
|
uint32
|
表示系统上次检测到 IP 地址的 UNIX 时间戳。
|
MAC 地址规格数据块
MAC 地址规格数据块传输单个 MAC 地址。MAC 地址规格数据块在用户协议、地址规格以及用户主机数据块中使用。MAC 地址规格数据块的块类型为系列 1 数据块组中的 63。
下图显示 MAC 地址规格数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
MAC 地址规格块类型 (63) (MAC Address Specification Block Type (63))
|
MAC 地址规格块长度 (MAC Address Specification Block Length)
|
|
MAC 块 1 (MAC Block 1)
|
MAC 块 2 (MAC Block 2)
|
MAC 块 3 (MAC Block 3)
|
MAC 块 4 (MAC Block 4)
|
|
MAC 块 5 (MAC Block 5)
|
MAC 块 6 (MAC Block 6)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
下表对 MAC 地址规格数据块的组件进行了说明。
表 4-55 MAC 地址规格数据块字段
|
|
|
MAC 地址规格块类型 (MAC Address Specification Block Type)
|
uint32
|
启动 MAC 地址规格数据块。值始终为
63
。
|
MAC 地址规格块长度 (MAC Address Specification Block Length)
|
uint32
|
MAC 地址规格数据块中的字节总数,包括 MAC 地址规格块类型和长度字段的八个字节,加上随后的 MAC 地址规格数据的字节数。
|
MAC 地址块 1 - 6 (MAC Address Blocks 1 - 6)
|
uint8
|
按顺序排列的 MAC 地址块。
|
地址规格数据块
地址规格数据块用于包含 IP 地址范围规格和 MAC 地址规格列表。地址规格数据块的块类型为系列 1 数据块组中的 64。
下图显示地址规格数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
地址规格数据块类型 (64) (Address Specification Data Block Type (64))
|
|
地址规格块长度 (Address Specification Block Length)
|
IP 地址 (IP Addresses)
范围
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...)
|
MAC
Address
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
MAC 地址规格数据块...(MAC Address Specification Data Blocks...)
|
下表对地址规格数据块的字段进行了说明。
表 4-56 地址规格数据块字段
|
|
|
地址规格数据块类型 (Address Specification Data Block Type)
|
uint32
|
启动地址规格数据块。值始终为
64
。
|
地址规格块长度 (Address Specification Block Length)
|
uint32
|
地址规格数据块中的字节总数,包括地址规格块类型和长度字段的八个字节,加上随后的地址规格数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
IP 地址范围规格数据块 (IP Address Range Specification Data
|
变量
|
封装 IP 地址范围规格数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用于 5.2+ 的 IP 地址范围数据块。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
MAC 地址规格数据块 (MAC Address Specification Data Blocks)
|
变量
|
封装 MAC 地址规格数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅MAC 地址规格数据块。
|
用于 6.1+ 的连接区块数据块
连接区块数据块传送连接数据。它存储五分钟内汇聚的连接日志数据。6.1+ 版本引入了新字段“原始客户端 IP 地址”。连接区块数据块的块类型为系列 1 数据块组中的 164。它替代块类型 136。
下图显示连接区块数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
连接区块块类型 (136) (Connection Chunk Block Type (136))
|
|
连接区块块长度 (Connection Chunk Block Length)
|
|
发起方 IP 地址 (Initiator IP Address)
|
|
响应方 IP 地址 (Responder IP Address)
|
|
原始客户端 IP 地址 (Original Client IP Address)
|
|
开始时间 (Start Time)
|
|
应用协议 (Application Protocol)
|
|
响应方端口 (Responder Port)
|
协议 (Protocol)
|
连接类型 (Connection Type)
|
|
NetFlow 检测器 IP 地址 (NetFlow Detector IP Address)
|
|
发送的数据包数 (Packets Sent)
发送的数据包数,续
|
|
|
接收的数据包数 (Packets Received)
接收的数据包数,续
|
|
|
发送的字节数 (Bytes Sent)
发送的字节数,续
|
|
|
接收的字节数 (Bytes Received)
接收的字节数,续
|
|
|
连接 (Connections)
|
下表对连接区块数据块的组件进行了说明。
表 4-57 连接区块数据块字段
|
|
|
连接区块块类型 (Connection Chunk Block Type)
|
uint32
|
启动连接区块数据块。值始终为
164
。
|
连接区块块长度 (Connection Chunk Block Length)
|
uint32
|
连接区块数据块中的字节总数,包括连接区块块类型和长度字段的八个字节,加上随后的连接区块数据中的字节数。
|
发起方 IP 地址 (Initiator IP Address)
|
uint8(4)
|
此类型连接的发起方的 IP 地址。与原始客户端 IP 地址和响应方 IP 地址一起使用,以识别相同连接。
|
响应方 IP 地址 (Responder IP Address)
|
uint8(4)
|
此类型连接的响应方的 IP 地址。与发起方 IP 地址和原始客户端 IP 地址一起使用,以识别相同连接。
|
原始客户端 IP 地址 (Original Client IP Address)
|
uint8(4)
|
位于发起请求的代理后面的主机的 IP 地址。与发起方 IP 地址和响应方 IP 地址一起使用,以识别相同连接。
|
开始时间 (Start Time)
|
uint32
|
连接区块的开始时间。
|
应用协议 (Application Protocol)
|
uint32
|
连接中使用的协议的标识号。
|
响应方端口 (Responder Port)
|
uint16
|
响应者在连接区块中使用的端口。
|
协议 (Protocol)
|
uint8
|
用于包含用户信息的数据包的协议。
|
连接类型 (Connection Type)
|
uint8
|
连接的类型。
|
NetFlow 检测器 IP 地址 (NetFlow Detector IP Address)
|
uint8[4]
|
检测到连接的 NetFlow 设备的 IP 地址,采用 IP 地址八位组。
|
发送的数据包数 (Packets Sent)
|
uint64
|
在连接区块中发送的数据包数。
|
接收的数据包数 (Packets Received)
|
uint64
|
在连接区块中接收的数据包数。
|
发送的字节数 (Bytes Sent)
|
uint64
|
在连接区块中发送的字节数。
|
接收的字节数 (Bytes Received)
|
uint64
|
在连接区块中接收的字节数。
|
连接
|
uint32
|
五分钟内的连接数。
|
修复列表数据块
修复列表数据块传输应用于主机的修复。用户产品数据块中包含应用于受影响主机的每个修复的修复列表数据块。修复列表数据块的块类型为系列 1 数据块组中的 67。
下图显示修复列表数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
修复列表块类型 (67) (Fix List Block Type (67))
|
修复列表块长度 (Fix List Block Length)
|
|
修复...(Fix...)
|
下表对修复列表数据块的组件进行了说明。
表 4-58 修复列表数据块字段
|
|
|
修复列表块类型 (Fix List Block Type)
|
uint32
|
启动修复列表数据块。值始终为
67
。
|
修复列表块长度 (Fix List Block Length)
|
uint32
|
修复列表数据块中的字节总数,包括修复列表块类型和长度字段的八个字节,加上随后的修复标识数据的字节数。
|
修复 ID (Fix ID)
|
uint32
|
修复的标识号。
|
用户服务器数据块
用户服务器数据块包含用户输入事件的服务器详细信息。用户服务器数据块的块类型为系列 1 数据块组中的 76。
下图显示用户服务器数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户服务器数据块类型 (76) (User Server Data Block Type (76))
|
|
用户服务器块长度 (User Server Block Length)
|
IP 范围
规范
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 地址范围规格数据块 (IP Address Range Specification Data Blocks)*
|
|
端口
|
协议
|
下表对用户服务器数据块的字段进行了说明。
表 4-59 用户服务器数据块字段
|
|
|
用户服务器数据块类型 (User Server Data Block Type)
|
uint32
|
启动用户服务器数据块。值始终为
76
。
|
用户服务器块长度 (User Server Block Length)
|
uint32
|
用户服务器数据块中的字节总数,包括用户服务器块类型和长度字段的八个字节,加上随后的用户服务器数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
IP 地址范围规格数据块 (IP Address Range Specification Data
|
变量
|
封装 IP 地址范围规格数据块数最多可以是列表块长度中的最大字节数。
|
端口 (Port)
|
uint16
|
服务器使用的端口。
|
协议 (Protocol)
|
uint16
|
IANA 协议号或 Ethertype。这对传输协议和网络层协议的处理方式不同。
传输层协议由 IANA 协议号识别。例如:
网络层协议由 IEEE 注册权威机构 Ethertype 的十进制形式识别。例如:
|
用户服务器列表数据块
用户服务器列表数据块包含用户输入事件的服务器数据块列表。用户服务器列表数据块的块类型为系列 1 数据块组中的 77。下图显示用户服务器列表数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户服务器列表数据块类型 (77) (User Server List Data Block Type (77))
|
|
用户服务器列表块长度 (User Server List Block Length)
|
|
源类型 (Source Type)
|
|
源 ID (Source ID)
|
用户
Server
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
用户服务器数据块 (User Server Data Block)*
|
下表对用户服务器列表数据块的字段进行了说明。
表 4-60 用户服务器列表数据块字段
|
|
|
用户服务器列表数据块类型 (User Server List Data Block Type)
|
uint32
|
启动用户服务器列表数据块。值始终为
77
。
|
用户服务器列表块长度 (User Server List Block Length)
|
uint32
|
用户服务器列表数据块中的字节总数,包括用户服务器列表块类型和长度字段的八个字节,加上随后的用户服务器列表数据的字节数。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果服务器数据由 RNA 检测到
-
1
如果服务器数据由用户提供
-
2
如果服务器数据由第三方扫描仪检测到
-
3
如果服务器数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
源 ID (Source ID)
|
uint32
|
映射到服务器数据源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
用户服务器数据块 (User Server Data Blocks)
|
变量
|
封装用户服务器数据块数最多可以是列表块长度中的最大字节数。
|
用户主机数据块 4.7+
用户主机数据块在用户添加和删除主机消息中使用,用于包含用户主机输入事件的主机范围以及用户和源身份的相关信息。用户主机数据块的块类型为系列 1 数据块组中的 78。
下图显示用户主机数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户主机块类型 (78) (User Hosts Block Type (78))
|
|
用户主机块长度 (User Hosts Block Length)
|
IP
范围
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 范围规格数据块 (IP Range Specification Data Blocks)*
|
MAC
范围
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
MAC 范围规格数据块...(MAC Range Specification Data Blocks...)
|
|
源 ID (Source ID)
|
|
源类型 (Source Type)
|
下表对用户主机数据块的字段进行了说明:
表 4-61 用户主机数据块字段
|
|
|
用户主机块类型 (User Hosts Block Type)
|
uint32
|
启动用户主机数据块。值始终为
78
。
|
用户主机块长度 (User Hosts Block Length)
|
uint32
|
用户主机数据块中的字节总数,包括用户主机块类型和长度字段的八个字节,加上随后的用户主机数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 IP 地址范围数据的 IP 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装
|
IP 范围规格数据块 (IP Range Specification Data Blocks) *
|
变量
|
包含用于用户输入的 IP 地址范围相关信息的 IP 范围规格数据块。有关此数据块的说明,请参阅用于 5.2+ 的 IP 地址范围数据块。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动由传送 MAC 地址范围数据的 MAC 范围规格数据块组成的通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表数据块中的字节数,包括列表报头以及所有封装 MAC 范围规格数据块。
|
MAC 范围规格数据块 (MAC Range Specification Data Blocks) *
|
变量
|
包含用于用户输入的 MAC 地址范围相关信息的 MAC 范围规格数据块。有关此数据块的说明,请参阅MAC 地址规格数据块。
|
源 ID (Source ID)
|
uint32
|
映射到添加或更新主机数据的源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果主机数据由 RNA 检测到
-
1
如果主机数据由用户提供
-
2
如果主机数据由第三方扫描仪检测到
-
3
如果主机数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
用户漏洞更改数据块 4.7+
用户漏洞更改数据块包含主机的停用漏洞列表、停用漏洞的用户的标识号、提供漏洞更改的源的相关信息以及临界点值。用户漏洞更改数据块的块类型为系列 1 数据块组中的 80。对之前用户漏洞更改数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储漏洞停用。此数据块在用户漏洞更改消息中使用,如用于版本 4.6.1+ 的用户设置漏洞消息中所记录。
下图显示用户漏洞更改数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户漏洞更改数据块类型 (80) (User Vulnerability Change Data Block Type (80))
|
|
用户漏洞更改块长度 (User Vulnerability Change Block Length)
|
|
源 ID (Source ID)
|
|
源类型 (Source Type)
|
漏洞攻击
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
用户漏洞数据块...(User Vulnerability Data Blocks...)*
|
下表对通用列表数据块的字段进行了说明。
表 4-62 用户漏洞更改数据块字段
|
|
|
用户漏洞更改数据块类型 (User Vulnerability Change Data Block Type)
|
uint32
|
启动用户漏洞更改数据块。值始终为
80
。
|
用户漏洞更改块长度 (User Vulnerability Change Block Length)
|
uint32
|
用户漏洞更改数据块中的字节总数,包括主机漏洞块类型和长度字段的八个字节,加上随后的主机漏洞数据的字节数。
|
源 ID (Source ID)
|
uint32
|
映射到更新或添加主机漏洞更改值的源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果主机漏洞数据由 RNA 检测到
-
1
如果主机漏洞数据由用户提供
-
2
如果主机漏洞数据由第三方扫描仪检测到
-
3
如果主机漏洞数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
类型 (Type)
|
uint32
|
漏洞的类型。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
用户漏洞数据块 (User Vulnerability Data Blocks)
|
变量
|
封装用户漏洞数据块数最多可以是列表块长度中的最大字节数。有关详细信息,请参阅用户漏洞数据块 5.0+。
|
用户临界点更改数据块 4.7+
用户临界点数据块用于包含主机临界点已更改的主机的 IP 地址范围规格列表、更新临界值的用户的标识号、提供临界值的源的相关信息以及临界值。用户临界点数据块的块类型为系列 1 数据块组中的 81。对之前用户临界点数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储 IP 地址。
用户临界点数据块在用户设置主机临界点消息中使用,如用户设置主机临界点消息中所记录。
下图显示用户临界点数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户临界点数据块类型 (81) (User Criticality Data Block Type (81))
|
|
用户临界点块长度 (User Criticality Block Length)
|
IP 地址 (IP Addresses)
范围块 (IP Address Range Blocks)
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...)
|
|
源 ID (Source ID)
|
|
源类型 (Source Type)
|
|
临界值...(Criticality Value...)
|
下表对用户临界点数据块的字段进行了说明。
表 4-63 用户临界点数据块字段
|
|
|
用户临界点数据块类型 (User Criticality Data Block Type)
|
uint32
|
启动用户临界点数据块。值始终为
81
。
|
用户临界点块长度 (User Criticality Block Length)
|
uint32
|
用户临界点数据块中的字节总数,包括用户临界点块类型和长度字段的八个字节,加上随后的用户临界点数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
IP 地址范围规格数据块 (IP Address Range Specification Data
|
变量
|
封装 IP 地址范围规格数据块数最多可以是列表块长度中的最大字节数。
|
源 ID (Source ID)
|
uint32
|
映射到更新或添加用户临界值的源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果用户临界值由 RNA 提供
-
1
如果用户临界值由用户提供
-
2
如果用户临界值由第三方扫描仪提供
-
3
如果用户临界值由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
临界值 (Criticality Value)
|
uint32
|
用户临界值。
|
用户属性值数据块 4.7+
用户属性值数据块包含指示属性值更改的主机的 IP 地址范围列表,连同添加属性值的用户的标识号,提供属性值的源的相关信息,以及包含属性值的 BLOB 数据块。用户属性值数据块的块类型为系列 1 数据块组中的 82。对之前用户属性值数据块的更改包括新源类型字段以及用通用列表数据块代替列表数据块来存储 IP 地址。
下图显示用户属性值数据块的结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户属性值数据块类型 (82) (User Attribute Value Data Block Type (82))
|
|
用户属性值块长度 (User Attribute Value Block Length)
|
IP 地址 (IP Addresses)
范围块 (IP Address Range Blocks)
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
IP 地址范围规格数据块...(IP Address Range Specification Data Blocks...)
|
|
源 ID (Source ID)
|
|
源类型 (Source Type)
|
|
属性 ID (Attribute ID)
|
值
|
BLOB 块类型 (10) (BLOB Block Type (10))
|
BLOB 块长度 (BLOB Block Length)
|
值...(Value...)
|
下表对用户属性值数据块的字段进行了说明。
表 4-64 用户属性值数据块字段
|
|
|
用户属性值数据块类型 (User Attribute Value Data Block Type)
|
uint32
|
启动用户属性值数据块。值始终为
82
。
|
用户属性值块长度 (User Attribute Value Block Length)
|
uint32
|
属性值数据块中的字节总数,包括用户属性值块类型和长度字段的八个字节,加上随后的用户属性值数据的字节数。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
IP 地址范围规格数据块 (IP Address Range Specification Data
|
变量
|
IP 地址范围规格数据块数(每个数据块都有一个开始 IP 地址和结束 IP 地址)最多可以是列表块长度中的最大字节数。
|
源 ID (Source ID)
|
uint32
|
映射到添加或更新属性数据的源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果用户属性值由 RNA 提供
-
1
如果用户属性值由用户提供
-
2
如果用户属性值由第三方扫描仪提供
-
3
如果用户属性值由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
属性 ID (Attribute ID)
|
uint32
|
更新的属性的标识号。
|
BLOB 块类型 (BLOB Block Type)
|
uint32
|
启动 BLOB 数据块。值始终为
10
。
|
BLOB 块长度 (BLOB Block Length)
|
uint32
|
BLOB 数据块中的字节数,包括 BLOB 块类型和长度字段的八个字节,加上随后的二进制数据的长度。
|
值
|
变量
|
包含用户属性值(二进制格式)。
|
用户协议列表数据块 4.7+
用户协议列表数据块用于包含协议数据源、添加数据的用户的标识号以及用户协议数据块列表的相关信息。用户协议列表数据块的块类型为系列 1 数据块组中的 83。有关用户协议数据块的详细信息,请参阅用户协议数据块。
用户协议列表数据块在用户协议消息中使用,如用户协议消息中所记录。
下图显示用户协议列表数据块的基本结构:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
用户协议列表块类型 (83) (User Protocol List Block Type (83))
|
|
用户协议列表块长度 (User Protocol List Block Length)
|
|
源类型 (Source Type)
|
|
源 ID (Source ID)
|
用户协议
代码块
|
通用列表块类型 (31) (Generic List Block Type (31))
|
通用列表块长度 (Generic List Block Length)
|
用户协议数据块...(User Protocol Data Blocks...)
|
下表对通用列表数据块的字段进行了说明。
表 4-65 用户协议列表数据块字段
|
|
|
用户协议列表块类型 (User Protocol List Block Type)
|
uint32
|
启动用户协议列表数据块。值始终为
83
。
|
用户协议列表块长度 (User Protocol List Block Length)
|
uint32
|
用户协议列表数据块中的字节总数,包括用户协议列表块类型和长度字段的八个字节,加上随后的用户协议列表数据的字节数。
|
源类型 (Source Type)
|
uint32
|
映射到数据源类型的数字:
-
0
如果协议数据由 RNA 提供
-
1
如果协议数据由用户提供
-
2
如果协议数据由第三方扫描仪提供
-
3
如果协议数据由命令行工具(如
nmimport.pl
)或主机输入 API 客户端提供
|
源 ID (Source ID)
|
uint32
|
映射到受影响协议源的标识号。根据源类型,这可能映射到 RNA、用户、扫描仪或第三方应用。
|
通用列表块类型 (Generic List Block
|
uint32
|
启动通用列表数据块。值始终为
31
。
|
通用列表块长度 (Generic List Block Length)
|
uint32
|
通用列表块和封装数据块中的字节数。此数字包括通用列表块报头字段的八个字节,加上所有封装数据块中的字节数。
|
用户协议数据块 (User Protocol Data Blocks)
|
变量
|
封装用户协议数据块数最多可以是列表块长度中的最大字节数。
|
主机漏洞数据块 4.9.0+
主机漏洞数据块传输应用于主机的漏洞。每个主机漏洞数据块描述一个事件中一个主机的一个漏洞。主机漏洞数据块在完整主机配置文件、完整主机服务器以及完整子服务器数据块中出现。主机漏洞数据块的块类型为系列 1 数据块组中的 85。
下图显示主机漏洞数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
20
|
21
|
22
|
23
|
24
|
25
|
26
|
27
|
28
|
29
|
30
|
31
|
|
主机漏洞块类型 (85) (Host Vulnerability Block Type (85))
|
主机漏洞块长度 (Host Vulnerability Block Length)
|
|
主机漏洞 ID (Host Vulnerability ID)
|
|
无效标志 (Invalid Flags)
|
类型 (Type)
|
|
类型 (Type)(续)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
下表对主机漏洞数据块的组件进行了说明。
表 4-66 主机漏洞数据块字段
|
|
|
主机漏洞块类型 (Host Vulnerability Block Type)
|
uint32
|
启动主机漏洞数据块。值始终为
85
。
|
主机漏洞块长度 (Host Vulnerability Block Length)
|
uint32
|
主机漏洞数据块中的字节总数,包括主机漏洞块类型和长度字段的八个字节,加上随后的主机漏洞数据的字节数。
|
主机漏洞 ID (Host Vulnerability ID)
|
uint32
|
漏洞的标识号。
|
无效标志 (Invalid Flags)
|
uint8
|
指示漏洞对于主机是否有效的一个值。
|
类型 (Type)
|
uint32
|
漏洞的类型。
|
身份数据块
身份数据块的块类型为系列 1 数据块组中的 94。身份数据块在身份冲突和身份超时消息中使用,表示操作系统或服务器指纹源的身份冲突或超时的时间。数据块描述已被识别为与活动的源身份冲突的报告身份(用户、扫描仪或应用)。有关详细信息,请参阅身份冲突和身份超时系统消息。
下图显示用于 4.9+ 的身份数据块的格式:
字节
|
0
|
1
|
2
|
3
|
位
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
|