主机perl教程
perl教程 时间:2021-04-05 阅读:(
)
思科系统公司www.
cisco.
com思科在全球设有200多个办事处.
有关地址、电话号码和传真号码信息,可查阅思科网站:www.
cisco.
com/go/officesFirepower系统主机输入API指南版本6.
02016年8月12日本手册中有关产品的规格和信息如有更改,恕不另行通知.
本手册中的所有声明、信息和建议均准确可靠,但我们不为其提供任何明示或暗示的担保.
用户必须承担使用产品的全部责任.
随附产品的软件许可和有限担保在随产品一起提供的信息包中提供,且构成本文的一部分.
如果您无法找到软件许可或有限担保,请与思科代表联系以获取副本.
思科所采用的TCP报头压缩是加州大学伯克莱分校(UCB)开发的一个程序的改版,是UCB的UNIX操作系统公共域版本的一部分.
保留所有权利.
版权所有1981,加州大学董事会.
无论在该手册中是否作出了其他担保,来自这些供应商的所有文档文件和软件都按"原样"提供且仍有可能存在缺陷.
思科和上述供应商不承诺所有明示或暗示的担保,包括(但不限于)对特定用途的适销性、适用性、非侵权性以及因交易、使用或商业惯例所衍生的担保.
在任何情况下,对于任何间接、特殊、连带发生或偶发的损坏,包括(但不限于)因使用或无法使用本手册而导致的任何利润损失或数据损失或损坏,思科及其供应商概不负责,即使思科及其供应商已获知此类损坏的可能性也不例外.
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标.
要查看思科商标列表,请转至此URL:www.
cisco.
com/go/trademarks.
文中提及的第三方商标为其相应所有者的财产.
"合作伙伴"一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系.
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码.
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用.
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用.
2015思科系统公司.
版权所有.
第章1-1Firepower系统主机输入API指南1了解主机输入Firepower管理中心提供一种从网络上的其他源导入数据来扩充受监控主机信息的工具.
使用主机输入API提交网络映射信息有两种方式:一种是在管理中心上运行nmimport工具,另一种是使用远程客户端.
在任一情况下,都需要在具有逗号分隔值(CSV格式)的文本文件中指定网络映射详细信息.
使用主机输入导入工具(第2-1页)提供一般说明,定义CSV文件格式,并介绍如何使用nmimport工具.
配置主机输入客户端(第3-1页)介绍如何使用主机导入客户端.
例如,如果是设置新的Firepower系统,则可能要确保资产管理软件中列出的所有计算机都存在于网络映射中.
您可以从资产管理应用导出主机数据,将结果格式化为适当格式化的文本文件,并使用主机输入导入工具来导入主机数据.
如果资产管理系统包括每台主机的操作系统信息,则可以设置资产管理系统的第三方产品映射,并将每个第三方操作系统标签映射到对应的思科标签.
可以在运行导入之前设置该映射,并且系统会将相应的思科操作系统定义与每台主机相关联.
将主机输入导入工具与Firepower管理中心结合使用要执行四个主要步骤:1.
如果要使用第三方主机数据执行影响关联,则可以使用管理中心Web界面配置第三方产品映射,以将服务、操作系统或修复定义映射到思科产品或修复定义.
2.
如果要导入第三方漏洞,则可以使用管理中心Web界面配置第三方漏洞映射,以将第三方漏洞标识字符串映射到思科漏洞ID.
请注意,您也可以在导入文件中执行此映射.
3.
从第三方应用导出数据并将其格式化为CSV文件,如使用主机输入导入工具(第2-1页)中所述.
4.
使用nmimport工具或主机输入客户端提交CSV文件.
必备条件要了解本指南中的信息,您应熟悉Firepower管理中心的特性和术语定义及其组件的功能(尤其是网络映射),以及系统生成的各种相关事件数据.
有关这些功能连同不熟悉或产品特定的术语定义的信息,可以从《Firepower管理中心配置指南》获取.
有关本指南中记录的数据字段的其他信息,也可以从该《配置指南》获取.
产品版本兼容性下表介绍各种主机输入功能所需的产品版本:表1-1产品版本兼容性功能产品版本主机输入功能Firepower管理中心版本4.
9+主机输入外部客户端功能Firepower管理中心版本5.
0+主机输入移动设备识别功能Firepower管理中心版本5.
1+1-2Firepower系统主机输入API指南第1章了解主机输入文档约定文档约定下表列出本书中用于介绍主机输入调用中所采用的各种数据字段格式的名称.
主机输入脚本资源以下介绍文档中说明的某些主题以及可查找详细信息的位置.
IPv6地址支持Firepower管理中心版本5.
2+多域支持Firepower管理中心版本6.
0+表1-1产品版本兼容性(续)功能产品版本表1-2密钥值数据类型约定数据类型说明uint无符号整数uint8无符号8位整数uint32无符号32位整数string包含字符数据的变长字节.
表3主机输入资源如需了解有关以下主题的更多信息…请在以下位置查找相关信息…主机输入导入工具使用主机输入导入工具(第2-1页)有关编写用于主机输入导入工具的导入文件的准则编写主机输入导入文件(第2-3页)要在导入文件中包含的特定主机输入函数的语法主机输入导入语法(第2-6页)运行主机输入导入工具运行主机输入导入(第2-25页)安装、配置和运行主机输入参考客户端使用主机输入参考客户端(第3-2页)第章2-1Firepower系统主机输入API指南2使用主机输入导入工具您可以通过创建导入文件并使用主机输入导入工具对其进行处理来将数据导入到网络映射.
有关详细信息,请参阅以下各节:编写主机输入导入文件(第2-3页)主机输入导入语法(第2-6页)运行主机输入导入(第2-25页)准备运行主机输入导入某些主机导入操作取决于您使用管理中心Web界面将第三方产品、修复及漏洞名称和ID映射到思科数据库中的定义所提供的产品映射信息.
根据计划导入的数据,在运行导入之前可能需要执行以下各节描述的配置步骤:创建第三方漏洞映射(第2-1页)创建第三方产品映射(第2-1页)创建第三方漏洞映射如果要导入数据(包括第三方漏洞)并将该数据用于影响关联,则在导入数据之前必须创建第三方漏洞映射集.
通过第三方映射集,系统可以将第三方漏洞ID转换为对应的思科漏洞ID.
如果在导入之前不映射第三方漏洞,则该漏洞不会映射到思科漏洞ID,并且无法用于影响关联.
可以通过两种方式创建映射集:使用管理中心Web界面或使用AddScanResult命令.
如果使用此命令导入扫描结果,请务必在网络发现策略中编辑输入源的源定义,以将身份源类型设置为"扫描程序"(Scanner).
可以在任何域级别创建第三方漏洞映射.
使用SetMap命令可指定要用于映射的映射名称.
必须在CSV文件或其父级之一中使用的网络映射上定义映射.
有关通过Web界面映射第三方漏洞的详细信息,请参阅《Firepower管理中心配置指南》.
有关SetMap和AddScanresult命令的详细信息,请参阅了解导入文件格式(第2-3页).
创建第三方产品映射将操作系统或服务器数据导入到主机时,您可以将第三方产品名称详细信息映射到思科产品定义.
可以通过管理中心Web界面创建第三方产品映射.
通过第三方产品映射集,系统可以将第三方供应商、产品和版本转换为对应的思科定义.
当设置包含服务器定义或操作系统定义的第三方产品映射时,如果使用API添加或设置第三方服务器或操作系统,那么之后在同一脚本中为其定义显示字符串即可.
如果使用第三方产品映射将第三方修复映射到思科修复定义,设置产品映射,然后使用第三方修复名称将修复添加到主机,则系统会将修复映射到相应的思科修复定义并停用由该修复处理的漏洞.
2-2Firepower系统主机输入API指南第2章使用主机输入导入工具准备运行主机输入导入要将第三方产品映射到思科产品定义,请执行以下操作:访问权限:管理员1.
依次选择策略(Policies)>应用检测器(ApplicationDetectors),然后点击用户第三方映射(UserThird-PartyMappings).
系统将显示"用户第三方映射"(UserThird-PartyMappings)页面.
2.
您有两种选择:要编辑现有映射集,请点击映射集旁边的编辑(Edit).
要创建新的映射集,请点击创建产品映射集(CreateProductMapSet).
系统将显示"编辑第三方产品映射"(EditThird-PartyProductMappings)页面.
3.
在映射集名称(MappingSetName)字段中,键入映射集的名称.
4.
在说明(Description)字段中键入说明.
5.
您有两种选择:要映射第三方产品,请点击添加产品映射(AddProductMap).
要编辑现有第三方产品映射,请点击映射集旁边的编辑(Edit).
系统将显示"添加产品映射"(AddProductMap)页面.
6.
在供应商字符串(VendorString)字段中,键入第三方产品使用的供应商字符串.
7.
在产品字符串(ProductString)字段中,键入第三方产品使用的产品字符串.
8.
在版本字符串(VersionString)字段中,键入第三方产品使用的版本字符串.
9.
在产品映射(ProductMappings)部分中,从以下列表中选择要用于漏洞映射的操作系统、产品和版本(如果适用):供应商产品主版本次版本修订版本内部版本补丁扩展例如,如果想要运行其名称包含第三方字符串的产品的主机使用RedHatLinux9中的漏洞,请选择Redhat,Inc.
作为供应商,RedhatLinux作为产品以及9作为版本.
10.
点击保存(Save).
在创建第三方产品映射后,可以使用SetOS、SetService或AddService命令导入数据.
请注意在导入数据之前的第三方产品名称详细信息和思科产品定义.
2-3Firepower系统主机输入API指南第2章使用主机输入导入工具编写主机输入导入文件要查找第三方和思科产品详细信息,请执行以下操作:访问权限:管理员1.
依次选择策略(Policies)>应用检测器(ApplicationDetectors).
系统将显示"应用检测器"(ApplicationDetectors)页面.
2.
选择用户第三方映射(UserThird-PartyMappings).
系统将显示"第三方产品映射"(Third-PartyProductMappings)页面.
3.
点击产品映射集的编辑图标().
系统将显示"编辑第三方产品映射"(EditThird-PartyProductMappings)页面.
4.
点击产品映射的编辑图标().
系统将显示"添加产品映射"(AddProductMap)弹出窗口.
请注意供应商字符串(VendorString)、产品字符串(ProductString)和版本字符串(VersionString)值.
有关映射第三方产品的详细信息,请参阅《Firepower管理中心配置指南》.
编写主机输入导入文件本章提供有关使用主机输入导入工具的导入命令来导入数据的语法的详细信息.
当编写导入文件时,请确保按照以下各节提供的说明进行操作:了解导入文件格式(第2-3页)设置域(第2-4页)设置源类型(第2-4页)设置源ID(第2-5页)设置第三方产品映射(第2-5页)了解导入文件格式一般而言,导入文件是一个文本文件,其中每行包含一个命令,并以逗号分隔值(CSV格式)指定命令参数.
必须将几个关键命令置于文件开头(如果文件中的操作要求如此).
这些关键命令在此处进行了说明,而所有其他命令则稍后将在主机输入导入语法(第2-6页)中说明.
注意:系统会丢弃导入文件中其无法解释的任何数据.
要在运行导入之前测试导入文件,请参阅在管理中心上测试导入(第2-24页).
主机输入导入文件必须以SetDomain(如果使用域)、SetSource和SetMap命令开头,以提供应用源名称和设置已导入的数据的第三方产品名称映射.
有关详细信息,请参阅了解导入文件格式(第2-3页).
在SetDomain、SetSource和SetMap命令之后,可以向文件中添加其他命令行.
每个命令行都包含单个命令以及该命令所需的参数,并通过硬回车结束.
请注意,仅在必须提供某些字段的信息才能确保主机输入成功并将有意义的数据添加到网络映射的情况下,这些字段才是必需的.
例如,可以向系统添加修复,而不提供与现有思科修复定义匹配的修复标识号或修复名称,并且不将第三方修复映射到思科修复.
有关可以包含的个别命令的语法的详细信息,请参阅以下各节:主机命令(第2-6页)服务器命令(第2-8页)2-4Firepower系统主机输入API指南第2章使用主机输入导入工具编写主机输入导入文件客户端应用命令(第2-11页)协议命令(第2-13页)软件包修复命令(第2-14页)主机属性命令(第2-15页)漏洞命令(第2-16页)设置第三方产品映射(第2-5页)要查看完整导入文件的示例和该文件各部分的说明,请参阅示例主机输入导入文件(第2-19页).
设置域如果系统已定义域,则您可能需要在导入文件开头指定目标域.
如果客户端证书和导入文件均不指定枝叶域,则运行导入将会失败并出现错误消息.
系统为每个枝叶域构建单独的网络映射.
在多域部署中,必须指定要添加网络映射数据的枝叶域.
如果您将使用主机输入客户端提交CSV命令,则可以为每个枝叶域创建单独的客户端证书.
当使用此类证书时,所有操作都将针对该证书的域.
在此情况下,没有理由在脚本中使用SetDomain命令.
如果旨在具有域的系统上使用nmimport工具,则导入文件必须以SetDomain命令开头.
如果SetDomain命令或证书未指定任何枝叶域,则导入将立即失败并出现错误消息,而不处理任何命令.
域名必须通过以空格-反斜杠-空格分隔每个域级别来完全限定,例如Global\Accounting或Global\Sales\East.
域名的大小写必须与域的定义方式完全相同.
要设置域,请执行以下操作:对于导入文件中的第一行,请使用以下语法:SetDomain,DomainName其中SetDomain是命令的名称,DomainName是要将已导入的数据添加到的完全限定枝叶域.
设置源类型在导入文件的开头,您必须识别计划导入的数据的源类型.
如果使用此命令导入扫描结果,请务必在网络发现策略中编辑输入源的源定义,以将身份源类型设置为"扫描程序"(Scanner).
要设置源类型,请执行以下操作:1.
使用以下语法向导入文件中添加一行:SetSourceType,Sourcetype其中SetSourceType是命令的名称,ourcetype是要添加或用于已导入的数据的源类型.
有效值为2(扫描程序)或3(应用).
如果不使用SetSourceType,则默认类型为3(应用).
2-5Firepower系统主机输入API指南第2章使用主机输入导入工具编写主机输入导入文件设置源ID在导入文件的开头,您必须设置计划导入的数据的源ID.
要设置源应用名称,请执行以下操作:1.
使用以下语法向导入文件中添加一行:SetSource,SourceID其中SetSource是命令的名称,SourceID是要显示为已导入的数据的源应用的标识字符串.
以下是SetSource命令的示例:#SetthecurrentSOURCE_IDandProductMapto"CustomUtility"SetSource,CustomUtility要在示例文件中的情景下查看这些命令,请参阅整个示例文件(第2-23页).
设置第三方产品映射如果您计划导入第三方操作系统、服务器或修复定义,则必须创建第三方名称的用户第三方产品映射.
可以使用此命令设置当前会话的当前第三方映射.
您使用管理中心Web界面在每个第三方供应商、产品和版本组合以及对应的思科产品定义之间设置可重复使用的映射来创建第三方映射.
如果设置第三方映射,然后添加或者设置主机操作系统或其中包括映射中含有的第三方应用名称的服务器数据,则系统会使用映射将思科产品定义和关联漏洞映射到发生输入的每个主机.
例如,可以创建名为"CustomUtility"的映射集,在其中按如下定义第三方字符串:供应商字符串-Microsoft产品字符串-Win7可以选择该映射集中的以下思科产品映射:供应商-Microsoft,Corp.
产品-Windows7补丁-SP3如果通过调用SetMap,CustomUtility来设置此产品映射,则其会将MicrosoftWin7映射到MicrosoftWindows7产品的VDB条目.
要设置第三方产品映射集,请执行以下操作:1.
使用以下语法向导入文件中添加一行:SetMap,Third-PartyProductMapName其中SetMap是命令的名称,Third-PartyProductMapName是要用于导入的第三方产品映射集的名称.
例如,可以将以下代码行置于SetSource命令后:SetMap,CustomUtility您还可以使用此命令切换到导入文件中的其他第三方产品映射.
2-6Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法主机输入导入语法在设置导入文件的源ID和产品映射后(如设置源ID(第2-5页)中所述),您可以向导入文件中添加行,以使用各种主机输入命令导入要添加到网络映射的特定数据.
每个导入命令调用都必须通过硬回车结束,并导入一个导入数据集.
有关完整导入文件的示例,请参阅示例主机输入导入文件(第2-19页).
有关可以使用的特定命令的详细信息,请参阅以下各节:主机命令(第2-6页)服务器命令(第2-8页)客户端应用命令(第2-11页)协议命令(第2-13页)软件包修复命令(第2-14页)主机属性命令(第2-15页)漏洞命令(第2-16页)扫描结果命令(第2-17页)主机命令您可以使用主机输入API添加和删除网络映射中的主机和设置主机的操作系统定义.
有关主机命令的详细信息,请参阅以下各节:AddHost(第2-6页)DeleteHost(第2-7页)SetOS(第2-7页)UnsetOS(第2-8页)AddHost您可以使用AddHost命令向网络映射中添加主机.
可以添加IP主机(具有IP地址和MAC地址[可选]的主机)或仅MAC主机(仅具有MAC地址的主机).
本例中添加的主机不会遭受普通主机超时.
如果网络映射已经包含具有指定IP地址或主MAC地址的主机,则AddHost命令将没有任何影响.
如果目标是将网络映射中主机的任何现有信息替换为新信息,则必须在AddHost之前使用DeleteHost命令.
使用以下语法:AddHost,ip_address,mac_address表1AddHost字段字段说明必需值ip_address指示已添加的主机的IP地址.
是(除非提供MAC地址)IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
mac_address指示已添加的主机的MAC地址.
是(除非提供IP地址)单个MAC地址.
2-7Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法DeleteHost您可以使用DeleteHost命令从网络映射中删除一个或多个主机.
可以通过指定主机的IP地址或MAC地址来删除IP主机(具有IP地址和MAC地址[可选]的主机).
要删除仅MAC主机(仅具有MAC地址的主机),请提供MAC地址:使用以下语法:DeleteHost,ip_address,mac_addressSetOS您可以使用SetOS命令指定所指定主机的操作系统的供应商、产品、版本和移动设备信息.
当导入操作系统信息时,将会设置供应商、产品、版本和移动设备信息的显示字符串.
您还可以将第三方供应商、产品和版本字符串映射到思科产品定义.
有关详细信息,请参阅创建第三方产品映射(第2-1页).
如果将第三方操作系统名称映射到思科定义,则思科数据库中该操作系统的漏洞对应于已导入第三方数据的主机.
如果已经使用管理中心Web界面创建第三方产品映射集,则可以使用SetMap命令将在该映射集中指定的值用于第三方应用字符串和对应的思科定义,如设置第三方产品映射(第2-5页)中所述.
主机配置文件中显示的操作系统身份由最高优先级的源设置.
可能的源具有以下优先级顺序:用户、扫描程序和应用(设置在网络发现策略中)、Firepower,然后是NetFlow.
请注意,如果新的优先级更高的操作系统身份具有的详细信息少于当前身份,则其不会覆盖当前操作系统身份.
如果为主机定义自定义操作系统,则管理中心Web界面会在事件视图的"源类型"(SourceType)字段或主机配置文件的基本主机信息中指示更改源.
使用以下语法:SetOS,ip_address,vendor_str,product_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extension,device_string,mobile,jailbroken或者,要在设置操作系统之前设置新的产品映射,请使用以下语法:SetMap,map_nameSetOS,ip_address,vendor_str,product_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extension,device_string,mobile,jailbroken有关设置第三方产品映射的详细信息,请参阅设置第三方产品映射(第2-5页).
表2DeleteHost字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是(除非提供MAC地址)单个IP地址.
mac_address指示一个或多个受影响主机的MAC地址列表.
是(除非提供IP地址)单个MAC地址.
表3SetOS字段字段说明必需允许的值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
vendor_str提供第三方应用使用的操作系统供应商显示名称.
否字符串product_str提供第三方应用使用的操作系统产品显示名称.
否字符串version_str提供第三方应用使用的操作系统版本显示名称.
否字符串2-8Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法UnsetOS您可以使用UnsetOS命令从指定主机中删除先前设置的操作系统定义.
它会重置操作系统定义,以使系统能够在将来跟踪对操作系统的更改.
使用以下语法:UnsetOS,ip_address其中ip_address是IP地址、CIDR块以及表示要重置操作系统身份的一个或多个主机的IP地址范围的逗号分隔列表.
服务器命令您可以使用服务器命令更新网络映射中主机的服务器信息.
有关详细信息,请参阅以下各节:AddService(第2-8页)SetService(第2-9页)UnsetService(第2-10页)DeleteService(第2-11页)客户端应用命令(第2-11页)AddService您可以使用AddService命令向网络映射中的现有主机添加服务器.
主机配置文件中显示的服务器身份由最高优先级的源设置.
可能的源具有以下优先级顺序:用户、扫描程序和应用(设置在网络发现策略中)、Firepower,然后是NetFlow.
请注意,如果新的优先级更高的服务器身份具有的详细信息少于当前身份,则其不会覆盖当前操作服务器身份.
使用以下语法:AddService,ip_address,port,proto,server,vendor_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extensionvendor_id提供要映射到的思科供应商定义.
否uint32product_id提供要映射到的思科产品定义.
否uint32major提供要映射到的思科主版本定义.
否uint32minor提供要映射到的思科次版本定义.
否uint32revision提供要映射到的思科修订字符串.
否uint32build提供要映射到的思科内部版本定义.
否字符串patch提供要映射到的思科补丁定义.
否字符串extension提供要映射到的思科扩展定义.
否字符串device_string提供检测到的移动设备硬件信息.
否字符串mobile指示操作系统是否是在移动设备上运行.
否uint8jailbroken指示移动设备操作系统是否已越狱.
否uint8表3SetOS字段(续)字段说明必需允许的值2-9Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法或者,要在添加服务器之前设置新的产品映射,请使用以下语法:SetMap,map_nameAddService,ip_address,port,proto,server,vendor_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extension有关设置第三方产品映射的详细信息,请参阅创建第三方产品映射(第2-1页)和设置第三方产品映射(第2-5页).
SetService您可以使用SetService命令指定所指定服务器的服务器协议、供应商、产品和版本.
可以使用服务密钥设置服务器的显示字符串.
通过在管理中心Web界面中映射第三方产品(请参阅创建第三方产品映射(第2-1页))或使用SetMap命令(请参阅设置第三方产品映射(第2-5页)),可以将第三方服务器数据与特定思科产品定义的漏洞信息相关联.
如果服务器协议尚不存在,则此调用会导致为字符串创建新的服务器身份.
如果指定的服务器先前不存在,则系统会进行创建.
主机配置文件中显示的服务器身份由最高优先级的源设置.
可能的源具有以下优先级顺序:用户、扫描程序和应用(设置在网络发现策略中)、Firepower,然后是NetFlow.
请注意,如果新的优先级更高的服务器身份具有的详细信息少于当前身份,则其不会覆盖当前服务器身份.
如果为主机定义第三方服务器定义,则Firepower管理中心Web界面会在事件的"服务器"(Servers)表视图的"源类型"(SourceType)字段或主机配置文件的"服务器"(Servers)部分中指示更改源.
表4AddService字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port将此字段与ip_address和proto字段结合使用,以指定要在应添加服务器的主机上添加的服务器.
是范围在1到65535之间的整数.
proto将此字段与ip_address和port字段结合使用,以指定要在应添加服务器的主机上添加的服务器.
是字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
server思科数据库中服务器的名称或ID.
否要识别服务器,必须包含service_name或service_id的值.
如果两个字段的值均未提供,则服务器将列为unknown.
如果提供服务器名称,则系统会查找服务器ID.
如果服务器名称不存在任何ID,则系统会创建ID.
vendor_str提供第三方应用使用的服务器供应商显示名称.
否字符串product_str提供第三方应用使用的服务器产品显示名称.
否字符串version_str提供第三方应用使用的服务器版本显示名称.
否字符串vendor_id提供思科供应商定义.
否uint32product_id提供思科产品定义.
否uint32major提供思科主版本定义.
否uint32minor提供思科次版本定义.
否uint32revision提供思科修订字符串.
否uint32build提供要映射到的思科内部版本定义.
否字符串patch提供要映射到的思科补丁定义.
否字符串extension提供要映射到的思科扩展定义.
否字符串2-10Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法注:如果特定主机的网络映射中存储的服务器数量超过100,则会忽略新的服务器信息,直至从主机中删除服务器.
使用以下语法:SetService,ip_address,port,proto,server,vendor_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extension或者,要在设置服务器之前设置新的产品映射,请使用以下语法:SetMap,map_nameSetService,ip_address,port,proto,server,vendor_str,version_str,vendor_id,product_id,major,minor,revision,build,patch,extension有关设置第三方产品映射的详细信息,请参阅设置第三方产品映射(第2-5页).
UnsetService您可以使用UnsetService命令从指定主机中删除用户添加的服务器定义.
UnsetService不删除通过Firepower检测到的任何服务器定义.
注:如果特定主机的网络映射中存储的服务器数量超过100,则会忽略新的服务器信息,直至从主机中删除服务器.
表5SetService字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port将此字段与ip_address和proto字段结合使用,以指定要在应设置服务器的主机上设置的服务器.
是范围在1到65535之间的整数.
proto将此字段与ip_address和port字段结合使用,以指定要在应设置服务器的主机上设置的服务器.
是字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
server思科数据库中服务器的名称或ID.
否要识别服务器,必须包含service_name或service_id的值.
如果两个字段的值均未提供,则服务器将列为unknown.
如果提供服务器名称,则系统会查找服务器ID.
如果服务器名称不存在任何ID,则系统会创建ID.
vendor_str提供第三方应用使用的服务器供应商显示名称.
否字符串product_str提供第三方应用使用的服务器产品显示名称.
否字符串version_str提供第三方应用使用的服务器版本显示名称.
否字符串vendor_id提供思科供应商定义.
否uint32product_id提供思科产品定义.
否uint32major提供思科主版本定义.
否uint32minor提供思科次版本定义.
否uint32revision提供思科修订字符串.
否uint32build提供要映射到的思科内部版本定义.
否字符串patch提供要映射到的思科补丁定义.
否字符串extension提供要映射到的思科扩展定义.
否字符串2-11Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法使用以下语法:UnsetService,ip_address,port,protoDeleteService您可以使用DeleteService命令从指定主机中删除服务器.
您还必须指定要删除的服务器的端口和协议.
使用以下语法:DeleteService,ip_address,port,proto客户端应用命令您可以使用客户端应用命令修改网络映射中主机的客户端应用数据.
有关详细信息,请参阅以下各节:AddClientApp(第2-11页)DeleteClientApp(第2-12页)DeleteClientAppPayload(第2-12页)AddClientApp您可以使用AddClientApp命令将客户端应用添加到网络映射中的现有主机.
如果客户端应用名称在思科数据库中尚不存在,则系统会为客户端应用创建新条目.
主机配置文件中显示的客户端应用身份由最高优先级的源设置.
可能的源具有以下优先级顺序:用户、扫描程序和应用(设置在网络发现策略中)、Firepower,然后是NetFlow.
请注意,如果新的优先级更高的客户端应用身份具有的详细信息少于当前身份,则其不会覆盖当前客户端应用身份.
使用以下语法:AddClientApp,ip_address,app_name,app_type,version表6UnsetService字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port将此字段与ip_address和proto字段结合使用,以指定要在应删除服务器的主机上删除的服务器.
是范围在1到65535之间的整数.
proto将此字段与ip_address和port结合使用,以指定要在应删除服务器的主机上删除的服务器.
是字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
表7DeleteService字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port将此字段与ip_address和proto结合使用,以指定要在应删除服务器的主机上删除的服务器.
是范围在1到65535之间的整数.
proto将此字段与ip_address和port字段结合使用,以指定要在应删除服务器的主机上删除的服务器.
是字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
2-12Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法DeleteClientApp您可以使用DeleteClientApp命令从指定主机中删除客户端应用.
使用以下语法:DeleteClientApp,ip_address,app_name,app_type,versionDeleteClientAppPayload您可以使用DeleteClientAppPayload命令从指定主机中删除Web应用.
使用以下语法:DeleteClientAppPayload,ip_address,app_name,app_type,version,payload_type,payload_id表8AddClientApp字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
app_name指示客户端应用名称.
是包含字母数字字符或空格的字符串.
对于现有应用,对应于数据库中的ID值.
系统会查找ID以确认其是否与现有客户端应用ID匹配.
如果不匹配,则创建新ID.
app_type不建议使用此字段.
否空值.
version指示应用版本.
否包含字母数字字符或空格的字符串.
表9DeleteClientApp字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
app_name指示客户端应用名称.
是包含字母数字字符或空格的字符串.
对于现有应用,对应于数据库中的ID值.
系统会查找ID以确认其是否与现有客户端应用ID匹配.
如果不匹配,则创建新ID.
app_type不建议使用此字段.
否空值.
version指示应用版本.
否包含字母数字字符或空格的字符串.
表10DeleteClientAppPayload字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
app_name指示客户端应用名称.
是包含字母数字字符或空格的字符串.
对于现有应用,对应于数据库中的ID值.
系统会查找ID以确认其是否与现有客户端应用ID匹配.
如果不匹配,则创建新ID.
app_type不建议使用此字段.
否空值.
version指示应用版本.
否包含字母数字字符或空格的字符串.
2-13Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法协议命令您可以使用协议命令更新网络映射中主机的协议信息.
有关详细信息,请参阅以下各节:DeleteProtocol(第2-13页)AddProtocol(第2-13页)DeleteProtocol您可以使用DeleteProtocol命令从指定的IP或MAC主机中删除协议.
使用以下语法:DeleteProtocol,ip_address,mac_address,proto,typeAddProtocol您可以使用AddProtocol命令将网络协议或传输协议添加到网络映射中的现有主机.
您可以提供协议ID、存在于管理中心上/etc/protocols文件中的传输协议名称或网络协议值(第A-1页)中的网络协议名称.
注:不能将传输协议添加到仅MAC主机.
使用以下语法:AddProtocol,ip_address,mac_address,proto,typepayload_type指示Web应用类别.
是数字0.
对于现有应用,对应于数据库中的ID值.
系统会查找类型,以确认其是否与现有Web应用类型匹配.
如果不匹配,则创建新类型.
payload_id指示Web应用名称.
是包含字母数字字符或空格的字符串.
对于现有应用,对应于数据库中的ID值.
系统会查找ID,以确认其是否与现有Web应用ID匹配.
如果不匹配,则创建新ID.
表10DeleteClientAppPayload字段(续)字段说明必需值表11DeleteProtocol字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是(除非提供MAC地址)IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
mac_address指示一个或多个受影响主机的MAC地址列表.
是(除非提供IP地址)带有或不带分隔冒号的MAC地址字符串列表.
proto指示要删除的协议的标识字符串或名称.
是包含字母数字字符或空格的有效协议名称.
对于传输协议("xport"),/etc/protocols文件中所列的协议可接受.
对于网络协议("net"),请参阅网络协议值(第A-1页).
type指示要删除的协议的类型.
是"xport"或"net"2-14Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法软件包修复命令您可以使用软件包修复命令应用或删除进行导入的枝叶域的网络映射中主机的修复.
有关详细信息,请参阅以下各节:AddFix(第2-14页)RemoveFix(第2-15页)AddFix您可以使用AddFix命令将修复映射到指定的主机或服务器.
可以使用思科漏洞数据库(VDB)中的修复ID或者使用通过管理中心Web界面映射到VDB中的修复的第三方修复来映射修复.
将修复应用到主机或服务器时,将会调整系统的漏洞映射,并且已修复的漏洞在Web界面中标记为"无效"(Invalid)且不会用于影响评估.
但请注意,如果所应用的修复不适用于操作系统或服务器身份,则该修复没有任何作用.
使用以下语法:AddFix,ip_address,port,proto,fix_id表12AddProtocol字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是(除非提供MAC地址)IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
mac_address指示一个或多个受影响主机的MAC地址列表.
是(除非提供IP地址)带有或不带分隔冒号的MAC地址字符串列表.
proto指示要添加的协议的标识字符串或名称.
是包含字母数字字符或空格的有效协议名称.
对于传输协议("xport"),/etc/protocols文件中所列的协议可接受.
对于网络协议("net"),请参阅网络协议值(第A-1页).
type指示要添加的协议的类型.
是"xport"或"net"表13AddFix字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port通过proto字段,识别发生导入的主机上的修复所影响的服务器.
是(如果修复适用于服务器)范围在1到65535之间的整数.
proto通过port字段,识别发生导入的主机上的修复所影响的服务器.
否字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
fix_id指示修复的标识字符串.
是思科修复标识号,或者通过在调用AddFix命令之前调用SetMap命令来使用的第三方产品映射中定义的修复名称.
有关详细信息,请参阅设置第三方产品映射(第2-5页).
2-15Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法RemoveFix您可以使用RemoveFix命令从指定的主机或服务器中删除修复映射.
当删除修复时,将会相应地更新漏洞映射.
使用以下语法:RemoveFix,ip_address,port,proto,fix_id主机属性命令您可以使用主机输入导入工具设置进行导入的枝叶域的网络映射的属性值.
有关详细信息,请参阅以下各节:AddHostAttribute(第2-15页)DeleteHostAttribute(第2-15页)SetAttributeValue(第2-15页)DeleteAttributeValue(第2-16页)AddHostAttribute您可以使用AddHostAttribute命令添加文本或URL属性.
请注意,添加主机属性不会添加该属性的值.
有关设置属性值的详细信息,请参阅下面SetAttributeValue(第2-15页).
使用以下语法:AddHostAttribute,attributename,attributetype其中attributename是属性的名称(包含字母数字字符和空格),attributetype是属性的类型(text或URL).
DeleteHostAttribute您可以使用DeleteHostAttribute命令删除属性.
使用以下语法:DeleteHostAttribute,attributename其中attributename是属性的名称.
(有效名称包含字母数字字符和空格.
)SetAttributeValue您可以使用SetAttributeValue命令将现有属性的值设置为指定主机的指定值.
此命令可以设置用户定义的主机属性和Criticality属性的值.
可以使用此命令通过将"criticality"用作属性ID来设置主机临界性.
表14RemoveFix字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port通过proto字段,识别发生导入的主机上的修复所影响的服务器.
是(如果修复适用于服务器)范围在1到65535之间的整数.
proto通过port字段,识别发生导入的主机上的修复所影响的服务器.
否字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
fix指示修复的标识字符串.
是思科修复名称,或者通过在调用AddFix命令之前调用SetMap命令来使用的第三方产品映射中定义的修复名称.
有关详细信息,请参阅设置第三方产品映射(第2-5页).
2-16Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法使用以下语法:SetAttributeValue,ip_address,attribute,valueDeleteAttributeValue您可以使用DeleteAttributeValue命令删除主机的属性值.
使用以下语法:DeleteAttributeValue,ip_address,attribute,value漏洞命令您可以使用漏洞命令更新主机上漏洞的状态.
有关详细信息,请参阅以下各节:SetInvalidVulns(第2-16页)SetValidVulns(第2-17页)SetInvalidVulns您可以使用SetInvalidVulns命令停用主机或主机组上的漏洞.
为使命令调用生效,漏洞必须在主机上存在并设置为有效.
使用以下语法:SetInvalidVulns,ip_address,port,proto,type,vuln_id表15SetAttributeValue字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
attribute指示主机属性名称.
是包含字母数字字符或空格的有效属性名称.
value指示主机属性值.
是包含字母数字字符或空格的命名属性的有效属性值.
如果为列表属性传入值,则该值必须是该列表属性的现有命名值.
表16DeleteAttributeValue字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
id指示主机属性名称.
是包含字母数字字符或空格的有效属性名称.
value指示主机属性值.
是包含字母数字字符或空格的命名属性的有效属性值.
如果为列表属性传入值,则该值必须是该列表属性的现有命名值.
表17SetInvalidVulns字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port通过proto字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果修复适用于服务器)范围在1到65535之间的整数.
2-17Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法SetValidVulns您可以使用SetValidVulns命令激活主机或主机组上的漏洞.
将漏洞设置为对于主机有效后,管理中心就会向事件分配红色影响,即使事件中的SID映射到有效漏洞也如此.
为使命令调用生效,漏洞必须在主机上存在并设置为无效.
使用以下语法:SetValidVulns,ip_address,port,proto,type,vuln_id扫描结果命令您可以使用主机输入导入工具将扫描结果添加到管理中心以及将添加的结果刷新到数据库.
在添加扫描结果时,可以将结果中的第三方漏洞映射到CVE或BugTraq漏洞.
有关详细信息,请参阅以下各节:AddScanResult命令(第2-17页)ScanFlush命令(第2-18页)ScanUpdate命令(第2-19页)DeleteScanResult命令(第2-19页)AddScanResult命令您可以使用AddScanResult命令从第三方漏洞扫描程序添加扫描结果,并将每个漏洞映射到BugTraq或CVEID.
如果使用此命令导入扫描结果,请务必在网络发现策略中编辑输入源的源定义,以将身份源类型设置为"扫描程序"(Scanner).
proto通过port字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果修复适用于服务器)字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
vuln_id指示漏洞的漏洞ID.
是有效的思科漏洞ID或映射的第三方漏洞ID.
对于第三方漏洞,请注意必须映射第三方漏洞ID并引用vuln_type字段中设置的漏洞映射集.
有关详细信息,请参阅创建第三方漏洞映射(第2-1页).
表17SetInvalidVulns字段(续)字段说明必需值表18SetValidVulns字段字段说明必需值ip_address指示包含一个或多个受影响主机的一个或多个IP地址的字符串.
是IP地址、CIDR掩码范围、IP-IP范围或此类值的带引号的逗号分隔列表.
port通过proto字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果修复适用于服务器)范围在1到65535之间的整数.
proto通过port字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果修复适用于服务器)字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
vuln_id指示漏洞的漏洞ID.
是有效的思科漏洞ID或映射的第三方漏洞ID.
对于第三方漏洞,请注意必须映射第三方漏洞ID并引用vuln_type字段中设置的漏洞映射集.
有关详细信息,请参阅创建第三方漏洞映射(第2-1页).
2-18Firepower系统主机输入API指南第2章使用主机输入导入工具主机输入导入语法使用以下语法:AddScanResult,ipaddr,scanner_id,vuln_id,port,protocol,name,description,cve_ids,bugtraq_ids注:结果的添加方式取决于使用ScanUpdate还是ScanFlush命令.
有关详细信息,请参阅ScanFlush命令(第2-18页)和ScanUpdate命令(第2-19页).
ScanFlush命令使用AddScanResult将扫描结果添加到管理中心后,必须使用ScanUpdate或ScanFlush命令来使AddScanResult命令在管理中心上运行,从而将扫描结果上传到数据库.
ScanFlush命令无需任何参数,并且只要要在导入文件中将数据上传到数据库,即可使用该命令.
如果使用ScanFlush命令,则其会从主机中删除任何现有扫描结果并仅添加新结果.
表19AddScanResult字段字段说明必需允许的值ipaddr指示已扫描的一个或多个主机的IP地址.
是单个IP地址.
scanner_id指示已获取扫描结果的扫描程序的扫描程序ID.
是'scanner_id'其中scanner_id是指示扫描程序(即添加的漏洞数据源)的名称的字符串.
要从先前使用的扫描程序添加扫描结果,请指示已添加结果的管理中心上系统策略中所列的特定扫描程序名称.
从新的扫描程序ID添加结果会将该扫描程序添加到系统策略.
默认情况下,新的扫描程序添加为最低优先级.
如果要更改扫描程序的优先级,则可以在系统策略中执行此操作.
有关详细信息,请参阅《Firepower管理中心配置指南》.
vuln_id指示漏洞的漏洞ID.
是有效的思科漏洞ID或映射的第三方漏洞ID.
如果此字段、端口、协议、bugtraq_ids和cve_ids为空,则这是通用扫描结果.
port通过proto字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果漏洞适用于服务器)范围在1到65535之间的整数.
proto通过port字段,识别发生导入的主机上的漏洞所影响的服务器.
是(如果漏洞适用于服务器)字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
name正在导入的漏洞的名称.
否用单引号引起来的字符串;例如:'UsingNetBIOStoretrieveinfofromaWindowshost'description正在导入的漏洞的说明.
否用单引号引起来的字符串;例如:'Thefollowing2NetBIOSnameshavebeengathered.
.
.
'cve_idsCVE漏洞ID的空格分隔列表否有效的CVE漏洞ID;例如,'cve_ids:CVE2003-0988'.
如果此字段、端口、协议、vuln_id和bugtraq_ids为空,则这是通用扫描结果.
bugtraq_idsBugTraq漏洞ID的空格分隔列表否有效的BugTraq漏洞ID;例如,'bugtraq_ids:9506'.
如果此字段、端口、协议、vuln_id和cve_ids为空,则这是通用扫描结果.
2-19Firepower系统主机输入API指南第2章使用主机输入导入工具示例主机输入导入文件ScanUpdate命令使用AddScanResult将扫描结果添加到管理中心后,必须使用ScanUpdate或ScanFlush命令来使AddScanResult命令在管理中心上运行,从而将扫描结果上传到数据库.
ScanUpdate命令无需任何参数,并且只要要在导入文件中将数据上传到数据库,即可使用该命令.
如果使用ScanUpdate命令,则其不会从主机中删除现有扫描结果.
它将新扫描结果与现有扫描结果合并.
如果将ScanUpdate命令与DeleteScanResult命令结合使用,则会删除特定结果.
请注意,当导入完成时,即使ScanUpdate未显式包含在导入文件中,也会自动执行该命令,因为客户端连接关闭.
DeleteScanResult命令您可以将DeleteScanResult命令与ScanUpdate命令结合使用,以从特定主机中删除特定扫描结果.
如果提供可选参数的值,则会将结果限于与这些参数匹配的结果.
如果不提供可选参数的值,则会删除指定IP地址上的所有结果.
使用以下语法:DeleteScanResult,ipaddr,'scanner_id',vuln_id,port,protocol示例主机输入导入文件以下各节说明您可能如何构造导入文件以使用主机输入导入工具来导入数据.
以下各节按顺序显示文件的每个部分:示例:设置源域、源ID和产品映射(第2-20页)示例:添加主机(第2-20页)示例:向主机中添加协议(第2-20页)表20DeleteScanResult字段字段说明必需允许的值ipaddr指示已扫描的一个或多个主机的IP地址.
是单个IP地址.
scanner_id指示已获取扫描结果的扫描程序的扫描程序ID.
否'scanner_id'其中scanner_id是指示扫描程序(即添加的漏洞数据源)的名称的字符串.
要从先前使用的扫描程序添加扫描结果,请指示已添加结果的管理中心上系统策略中所列的特定扫描程序名称.
从新的扫描程序ID添加结果会将该扫描程序添加到系统策略.
默认情况下,新的扫描程序添加为最低优先级.
如果要更改扫描程序的优先级,则可以在系统策略中执行此操作.
有关详细信息,请参阅《Firepower管理中心配置指南》.
vuln_id指示漏洞的漏洞ID.
否有效的第三方漏洞ID.
port通过proto字段,识别发生导入的主机上的漏洞所影响的服务器.
否范围在1到65535之间的整数.
proto通过port字段,识别发生导入的主机上的漏洞所影响的服务器.
否字符串tcp或udp,或者相应的协议ID6(tcp)或17(udp).
2-20Firepower系统主机输入API指南第2章使用主机输入导入工具示例主机输入导入文件示例:向主机中添加服务器(第2-21页)示例:设置操作系统(第2-21页)示例:添加第三方漏洞(第2-22页)示例:设置主机临界性(第2-22页)示例:添加扫描结果(第2-22页)示例:在管理中心上运行命令(第2-23页)示例:向主机中添加客户端应用(第2-23页)示例:添加仅MAC主机(第2-23页)整个示例文件(第2-23页)示例:设置源域、源ID和产品映射示例脚本首先将执行调用,以设置要在导入中使用的域、源应用名称和产品映射:#SetthecurrentDOMAINtoGlobal\Sales\East#SetDomain,Global\Sales\East#SetthecurrentSOURCE_IDandProductMapto"AssetManagementApp"SetSource,AssetManagementAppSetMap,AssetManagementApp此源域提供其中将添加主机信息的域.
源ID值提供应用名称以供系统在由此导入造成的主机输入事件中使用.
如果您已查看使用此导入修改的主机的主机输入事件或主机配置文件,则"源类型"(SourceType)值将是Application:AssetManagementApp.
请注意,SetMap命令使用的名为"AssetManagementApp"的产品映射是使用管理中心Web界面创建的.
由于第三方产品映射是AssetManagementApp映射集,因此系统会使用该映射集中定义的产品映射或修复映射将导入文件中包含的命令中的任何第三方操作名称或服务器名称映射到思科定义,如示例:设置操作系统(第2-21页)中所示.
示例:添加主机在文件设置源应用名称和第三方产品映射后,将会执行用于导入数据的命令.
数据将添加到使用SetDomain命令或证书指定的枝叶域的网络映射中.
第一个导入命令是AddHost命令.
#AddanIPhostwithnoPrimaryMAC#AddHost,1.
2.
3.
4请注意,所添加的主机的IP地址是1.
2.
3.
4,并且没有为主机设置任何主MAC地址.
示例:向主机中添加协议导入文件中的下一个命令会将ospf协议添加到1.
2.
3.
4主机:#Addtheospfprotocoltothehost#AddProtocol,1.
2.
3.
4,,ospf,xport请注意,该协议的协议类型为xport.
2-21Firepower系统主机输入API指南第2章使用主机输入导入工具示例主机输入导入文件示例:向主机中添加服务器导入文件的下一个命令使用AddService命令将OpenSSH服务器添加到1.
2.
3.
4主机:#Addaserverforthehost#AddService,1.
2.
3.
4,22,tcp,ssh,OpenSSH,4.
1请注意,该命令将端口设置为22,将协议设置为tcp,将服务器类型设置为ssh,将供应商显示字符串设置为OpenSSH,并将版本显示字符串设置为4.
1.
示例:设置操作系统接下来,导入文件使用SetOS命令设置主机的操作系统值.
AssetManagementApp映射集包含产品映射,用于将第三方产品名称MicrosoftWin2K映射到MicrosoftWindows2000SP3的思科产品定义:导入文件中的命令如下:#SettheOS.
BecausetheMapissetto"AssetManagementApp"thesevaluesresolvetotheWindows2000SP3definition#SetOS,1.
2.
3.
4,Microsoft,Win2k请注意,SetOS命令行包含vendor_str和product_str字段的值,用于将操作系统显示名称设置为MicrosoftWin2K.
由于这些字段值与AssetManagementApp产品映射集中定义的供应商字符串(VendorString)和产品字符串(ProductString)设置匹配,因此系统会将第三方操作系统名称映射到思科MicrosoftWindows2000SP3产品定义.
2-22Firepower系统主机输入API指南第2章使用主机输入导入工具示例主机输入导入文件示例:添加第三方漏洞接下来,导入文件将第三方漏洞导入到1.
2.
3.
4主机.
此示例取决于使用管理中心Web界面创建的第三方漏洞映射集:导入文件中的命令将Vuln003漏洞设置为有效:#Addathird-partyvulnerability(fromthird-partyvulnerabilitymap"OtherVulnerabilitiesMapSet")tothehost#SetValidVuln,1.
2.
3.
4,,,OtherVulnerabilitiesMapSet,Vuln0003示例:设置主机临界性导入文件中的下一个命令使用SetAttributeValue命令将1.
2.
3.
4主机的临界性设置为"高"(High).
#Setthecriticalityofthehostto"High"#SetAttributeValue,1.
2.
3.
4,criticality,high请注意,属性名称设置为criticality,并且属性值设置为"high".
示例:添加扫描结果导入文件中的下一个命令集使用AddHost命令添加主机,然后使用AddScanResult命令从第三方扫描程序添加该主机的数据.
#AddIPhostforscanresultstofollow#AddHost,1.
2.
3.
5##AddthescanresultfromaQualysscannertothenetworkmap#AddScanResult,1.
2.
3.
5,"Qualys",82003,,,"ICMPTimestampRequest","ICMP(InternetControlandErrorMessageProtocol)isaprotocolencapsulatedinIPpackets.
Itsprincipalpurposeistoprovideaprotocollayerabletoinformgatewaysoftheinter-connectivityandaccessibilityofothergatewaysorhosts.
pingisawell-knownprogramfordeterminingifahostisupordown.
ItusesICMPechopackets.
ICMPtimestamppacketsareusedtosynchronizeclocksbetweenhosts.
","cve_ids:CVE-1999-0524","bugtraq_ids:"2-23Firepower系统主机输入API指南第2章使用主机输入导入工具示例主机输入导入文件示例:在管理中心上运行命令ScanFlush命令向管理中心表明其可以在ScanFlush行上运行已加入队列的命令.
ScanFlush示例:向主机中添加客户端应用然后,导入文件使用AddClientApp命令将名为BMCRemedy的客户端应用添加到1.
2.
3.
4主机.
#AddaClientApp#AddClientApp,1.
2.
3.
4,"BMCRemedy","AssetManager","0.
0"请注意,客户端应用ID设置为BMCRemedy,客户端应用类型设置为AssetManager,并且版本设置为0.
0.
示例:添加仅MAC主机最后,导入文件使用AddHost命令添加仅MAC主机.
#AddaMAC-onlyhost#AddHost,,01:02:03:04:05:06请注意,ip_address字段留空并改为提供MAC地址.
另请注意,虽然文件结尾没有ScanFlush命令,但在导入文件完成时,脚本中的剩余数据会发送到网络映射,因为会话断开连接.
整个示例文件以上各节中说明的完整导入文件如下所示:#ExampleimportfileforHostInputImportTool##SettheDOMAINto"Global\Sales\East"##SetthecurrentSOURCE_IDandProductMapto"AssetManagementApp"#SetDomain,Global\Sales\EastSetSource,AssetManagementAppSetMap,AssetManagementApp##AddanIPhostwithnoPrimaryMAC#AddHost,1.
2.
3.
4##Addtheospfprotocoltothehost#AddProtocol,1.
2.
3.
4,,ospf,xport##Addaserverforthehost#AddService,1.
2.
3.
4,22,tcp,ssh,OpenSSH,4.
1##SettheOS.
BecausetheMapissetto"AssetManagementApp"thesevaluesresolvetotheWindows2000SP3definition#SetOS,1.
2.
3.
4,Microsoft,Win2k#2-24Firepower系统主机输入API指南第2章使用主机输入导入工具在管理中心上测试导入#Addathird-partyvulnerability(fromthird-partymap"OtherVulnerabilitiesSet")tothehost#SetValidVuln,1.
2.
3.
4,,,OtherVulnerabilitiesSet,Vuln0003##Setthecriticalityofthehostto"High"#SetAttributeValue,1.
2.
3.
4,criticality,high##AddIPhostforscanresultstofollow#AddHost,1.
2.
3.
5##AddthescanresultfromaQualysscannertothenetworkmap#AddScanResult,1.
2.
3.
5,"Qualys",82003,,,"ICMPTimestampRequest","ICMP(InternetControlandErrorMessageProtocol)isaprotocolencapsulatedinIPpackets.
Itsprincipalpurposeistoprovideaprotocollayerabletoinformgatewaysoftheinter-connectivityandaccessibilityofothergatewaysorhosts.
pingisawell-knownprogramfordeterminingifahostisupordown.
ItusesICMPechopackets.
ICMPtimestamppacketsareusedtosynchronizeclocksbetweenhosts.
","cve_ids:CVE-1999-0524","bugtraq_ids:"##Sendthecommandsabovetothehostinputserviceforprocessing#ScanFlush##AddaClientApp#AddClientApp,1.
2.
3.
4,"BMCRemedy","AssetManager","0.
0"##AddaMAConlyhost#AddHost,,01:02:03:04:05:06在管理中心上测试导入您可以使用导入文件来模拟导入,以确保其行为符合预期.
由于许多命令都允许将重复数据导入到网络映射中,因此要避免多次运行同一导入.
运行测试导入可避免该问题.
此外,系统会丢弃导入文件中其无法解释的任何数据,因此要确保导入文件将完全导入.
测试将结果报告到屏幕(或者可以将其重定向到文件),因此之后可以更正文件的任何问题,然后再运行实际导入.
要测试导入文件,请执行以下操作:1.
将所创建的导入文件复制到要运行导入的管理中心.
2.
使用admin帐户登录到管理中心中.
3.
在命令行中,键入nmimport.
pl-tfilename.
要将测试导入的结果重定向到日志文件,请将>logfilename添加到命令结尾.
系统将已导入的数据添加到网络映射,并在屏幕上显示结果消息或将其重定向到指定的文件.
2-25Firepower系统主机输入API指南第2章使用主机输入导入工具运行主机输入导入运行主机输入导入您可以从命令行运行主机输入导入工具,以处理所创建的导入文件.
注意:系统会丢弃导入文件中其无法解释的任何数据.
此外,如果多次运行同一导入,则可能会在网络映射中找到某些项目的重复数据.
为避免这些问题,可能要在运行实际导入之前测试导入文件的导入.
有关详细信息,请参阅在管理中心上测试导入(第2-24页).
请注意,如果在有权访问管理中心的远程主机上设置主机输入参考客户端,则可以使用sf_host_input_agent.
pl脚本从客户端处理导入文件.
有关设置参考客户端的详细信息,请参阅运行主机输入参考客户端(第3-4页).
要运行导入,请执行以下操作:1.
将所创建的导入文件复制到要运行导入的管理中心.
2.
使用root帐户登录到管理中心中.
3.
在命令行中,键入nmimport.
plfilename.
要将测试导入的结果重定向到日志文件,请将>logfilename添加到命令结尾.
系统将已导入的数据添加到网络映射,并在屏幕上显示结果消息或将其重定向到指定的文件.
2-26Firepower系统主机输入API指南第2章使用主机输入导入工具运行主机输入导入第章3-1Firepower系统主机输入API指南3配置主机输入客户端除接受来自管理中心上的用户的主机输入命令以外,管理中心的主机输入服务还接受来自外部主机上经过身份验证的主机输入客户端的批量导入文件.
您可以使用主机输入客户端处理为主机输入导入工具创建的导入文件,然后将数据发送到管理中心,从而将信息添加到网络映射.
可以使用所提供的主机输入API参考客户端处理和发送CSV数据,或者测试主机输入客户端与管理中心的连接.
请执行以下任务来管理管理中心与输入客户端的交互:1.
建立经过身份验证的管理中心连接.
有关生成身份验证凭证以建立经过身份验证的管理中心连接的信息,请参阅向管理中心注册主机输入客户端(第3-1页).
2.
在计划运行参考客户端的计算机上设置该参考客户端.
有关详细信息,请参阅使用主机输入参考客户端(第3-2页).
有关创建将使用参考客户端处理的导入文件(也称为命令文件)的信息,请参阅编写主机输入导入文件(第2-3页).
向管理中心注册主机输入客户端许可证:任意您必须先向管理中心注册运行客户端的计算机,然后才能使用主机输入客户端.
管理中心之后将生成会下载到客户端计算机的身份验证证书.
要添加主机输入客户端,请执行以下操作:访问权限:管理员1.
如果已在系统中创建域,请在域切换程序中选择所需的域.
使用为全局域或其他父域创建的证书的客户端将有权修改该范围内的任何枝叶域,但是导入文件必须指定具体的域.
使用为枝叶域创建的证书的客户端仅有权修改该枝叶域.
2.
依次选择系统(System)>集成(Integration)>主机输入客户端(HostInputClient).
系统将显示"主机输入客户端"(HostInputClient)页面.
3.
点击创建客户端(CreateClient).
系统将显示"创建客户端"(CreateClient)页面.
4.
在主机名(Hostname)字段中,输入运行主机输入客户端的主机的主机名称或IP地址.
注意:如果使用主机名,则主机输入服务器必须能够将主机解析为IP地址.
如果尚未配置DNS解析,应先配置解析或使用IP地址.
3-2Firepower系统主机输入API指南第3章配置主机输入客户端将客户端连接到管理中心5.
如果想要对证书文件进行加密,请在密码(Password)字段中输入密码.
6.
点击保存(Save).
主机输入服务允许客户端计算机在管理中心上访问端口8307,并创建要在客户端-服务器身份验证期间使用的身份验证证书.
系统将再次显示"主机输入客户端"(HostInputClient)页面,其中会在主机输入客户端(HostInputClients)下列出新的客户端.
7.
点击证书文件旁边的下载图标().
8.
将证书文件保存到供客户端计算机用于SSL身份验证的目录.
客户端现在可以连接到管理中心.
注意:要撤消客户端的访问权限,请点击要删除的主机旁边的删除图标().
请注意,无需重新启动管理中心上的主机输入服务;系统会立即撤销访问权限.
将客户端连接到管理中心当客户端连接时,管理中心上的主机输入服务从客户端读取版本.
如果客户端发送比服务器的版本更新的版本,则服务会拒绝连接.
此外,在初次交换期间,主机输入服务会将每个事务的最大允许数据大小传达到客户端.
如果客户端尝试发送大于最大大小的数据块,则服务器会关闭连接.
使用主机输入参考客户端主机输入SKD随附的参考客户端是说明如何使用主机输入API的一系列示例客户端脚本和Perl模块.
您可以运行这些脚本和模块来自行熟悉主机输入导入,也可以将其用于调试定制客户端的安装问题.
您还可以使用其中一个脚本处理来自客户端的主机输入命令文件.
有关设置参考客户端的详细信息,请参阅以下各节:设置主机输入参考客户端(第3-2页)运行主机输入参考客户端(第3-4页)设置主机输入参考客户端要使用主机输入参考客户端,您必须先安装样本脚本并将客户端配置为符合脚本要求.
有关详细信息,请参阅以下各节:了解主机输入参考客户端(第3-3页)配置主机输入配置参考客户端的通信(第3-3页)加载主机输入参考客户端的常规必备软件(第3-3页)下载并解压缩主机输入参考客户端(第3-3页)创建主机输入参考客户端的证书(第3-3页)3-3Firepower系统主机输入API指南第3章配置主机输入客户端使用主机输入参考客户端了解主机输入参考客户端您可以下载HostInputClientSDK.
zip软件包,其中包含来自思科支持站点的主机输入参考客户端.
表3-1主机输入参考客户端文件(第3-3页)列出HostInputClientSDK.
zip软件包中包含的文件.
配置主机输入配置参考客户端的通信参考客户端使用安全套接字层(SSL)协议进行数据通信.
您必须在计划用作客户端的计算机上安装OpenSSL,并且针对您的环境适当对其进行配置.
要在客户端上设置SSL,请执行以下操作:1.
从http://openssl.
org/source/下载OpenSSL.
2.
将源解压缩到/usr/local/src.
3.
通过运行配置脚本来配置源.
4.
创建并安装已编译的源.
加载主机输入参考客户端的常规必备软件您必须先在客户端计算机上安装IO::Socket::SSLPerl模块,然后才能运行主机输入参考客户端.
可以手动安装该模块,也可以使用cpan进行安装.
注意:如果未在客户端计算机上安装Net::SSLeay模块,请也安装该模块.
Net::SSLeay对于与OpenSSL通信是必需的.
您还需要安装并配置OpenSSL以支持与管理中心的SSL连接.
有关详细信息,请参阅配置主机输入配置参考客户端的通信(第3-3页).
此外,如果计划将Qualys插件用于主机输入客户端,则必须安装XML::SmartPerl模块及其必备软件.
如果计划使用IPv6在客户端与管理中心之间进行通信,还必须安装IO::Socket::INET6Perl模块.
下载并解压缩主机输入参考客户端您可以下载包含来自支持站点的主机输入参考客户端的HostInputClientSDK.
zip文件.
将zip文件解压缩到运行Linux操作系统的计算机(计划运行客户端).
创建主机输入参考客户端的证书许可证:任意您需要先按照向管理中心注册主机输入客户端(第3-1页)中所述创建客户端证书,然后才能使用主机输入参考客户端.
必须将证书文件保存到放置参考客户端的目录.
表3-1主机输入参考客户端文件文件名说明SFHIClient.
pm此Perl模块包含由Perl客户端调用的命令.
SFPkcs12.
pm此Perl模块解析客户端证书并允许客户端连接到管理中心.
sf_host_input_agent.
pl可以使用此Perl脚本通过指定相应的输入插件和命令文件来导入CSV数据.
InputPlugins/csv.
pm可以调用此Perl模块运行用于导入CSV数据的命令文件.
3-4Firepower系统主机输入API指南第3章配置主机输入客户端使用主机输入参考客户端要创建参考客户端的证书,请执行以下操作:访问权限:管理员1.
按照向管理中心注册主机输入客户端(第3-1页)中所述创建客户端.
2.
将证书文件保存到放置参考客户端的目录.
运行主机输入参考客户端主机输入Perl参考客户端脚本设计为在具有Linux内核的操作系统上使用,但是应在任何基于POSIX的操作系统上适用,只要客户端计算机满足设置主机输入参考客户端(第3-2页)中定义的必备条件即可.
您可以在管理中心上使用参考客户端将CSV数据从远程客户端导入到网络映射.
使用以下语法运行sf_host_input_agent.
pl脚本:.
/sf_host_input_agent.
pl-server=ManagementCenterIPAddress-level=DebugLevel-logfile=LogFile-pluginfo=CSVCommandFile.
csv例如,使用名为csv_file.
txt的CSV文件导入到IP地址为10.
10.
0.
4且向HostInput.
log日志文件记录调试日志的管理中心:.
/sf_host_input_agent.
pl-server=10.
10.
0.
4-level=3-logfile=HostInput.
log-pluginfo=cvs_file.
txtcsvA-1Firepower系统主机输入API指南附录A网络协议值使用AddProtocol和DeleteProtocol命令,您可以向主机中添加协议或从主机中删除协议.
下表详述可用的网络协议值.
表A-1网络协议值值说明IPInternet协议版本4ARP地址解析协议BPDU(STP)网桥协议数据单元(生成树协议)RARP反向地址解析协议OldIPX网间数据包交换,早期版本IPVersion6Internet协议版本6Loopback环回SNAP子网访问协议NovellNetWareNovellNetWareNetBIOS网络基本输入/输出系统NetBIOS(Response)网络基本输入/输出系统响应IPX网间数据包交换IntelANSIntel高级网络服务DECMOPDump/LoadAssistanceDigitalEquipmentCorporation维护操作协议转储/负载帮助DECMOPRemoteConsoleDigitalEquipmentCorporation维护操作协议远程控制台PPPoEDiscovery以太网上的点对点发现阶段PPPoESession以太网上的点对点会话阶段A-2Firepower系统主机输入API指南附录A网络协议值
华纳云怎么样?华纳云是香港老牌的IDC服务商,成立于2015年,主要提供中国香港/美国节点的服务器及网络安全产品、比如,香港服务器、香港云服务器、香港高防服务器、香港高防IP、美国云服务器、机柜出租以及云虚拟主机等。以极速 BGP 冗余网络、CN2 GIA 回国专线以及多年技能经验,帮助全球数十万家企业实现业务转型攀升。华纳云针对618返场活动,华纳云推出一系列热销产品活动,香港云服务器低至3折,...
官方网站:点击访问王小玉网络官网活动方案:买美国云服务器就选MF.0220.CN 实力 强 强 强!!!杭州王小玉网络 旗下 魔方资源池 “我亏本你引流活动 ” mf.0220.CNCPU型号内存硬盘美国CERA机房 E5 2696v2 2核心8G30G总硬盘1个独立IP19.9元/月 续费同价mf.0220.CN 购买湖北100G防御 E5 2690v2 4核心4G...
昨天,遇到一个网友客户告知他的网站无法访问需要帮他检查到底是什么问题。这个同学的网站是我帮他搭建的,于是我先PING看到他的网站是不通的,开始以为是服务器是不是出现故障导致无法打开的。检查到他的服务器是有放在SugarHosts糖果主机商中,于是我登录他的糖果主机后台看到服务器是正常运行的。但是,我看到面板中的IP地址居然是和他网站解析的IP地址不同。看来官方是有更换域名。于是我就问 客服到底是什...
perl教程为你推荐
vc组合洛天依的组合都有谁硬盘工作原理硬盘是如何工作的access数据库ACCESS数据库有什么用18comic.funAnime Comic Fun是什么意思啊 我不懂英文lunwenjiance我写的论文,检测相似度是21.63%,删掉参考文献后就只有6.3%,这是为什么?www.jjwxc.net在哪个网站看小说?rawtools相机中的RAW是什么意思?rawtools照片上面的RAW是什么意思,为什么不能到PS中去编辑bbs2.99nets.com天堂1单机版到底怎么做ww.66bobo.com这个WWW ̄7222hh ̄com是不是真的不太易开了,换了吗?
英文域名 国外网站空间 海外域名注册 泛域名解析 已经备案域名 新通用顶级域名 5折 enzu 北京主机 静态空间 爱奇艺会员免费试用 双线机房 申请网站 华为k3 买空间网 重庆联通服务器托管 新网dns windows2008 fatcow ftp是什么东西 更多