Cisco Cisco Firepower Management Center 2000 Developer's Guide

Version 5.3

Sourcefire 3D System eStreamer Integration Guide

461

Understanding Legacy Data Structures

Legacy Intrusion Data Structures

Appendix B

Impact Flags

bits[8]

Impact flag value of the event. The low-order 

seven bits are used to indicate the impact level. 

Values are:
• 0x01 — Source or destination host is in a 

network monitored by the system (bit 0).

• 0x02 — Source or destination host exists in 

the network map (bit 1).

• 0x04 — Source or destination host is running a 

server on the port in the event (if TCP or UDP) 

or uses the IP protocol (bit 2).

• 0x08 — There is a vulnerability mapped to the 

operating system of the source or destination 

host in the event (bit 3).

• 0x10 — There is a vulnerability mapped to the 

server detected in the event (bit 4).

• 0x20 — The event caused the sensor to drop 

the session (used only when the sensor is 

running in inline mode) (bit 5). Corresponds to 

blocked status in Inline Result column in the 

Sourcefire 3D System web interface.

• 0x40 — The rule that generated this event 

contains rule metadata setting the impact flag 

to red (bit 6). The source or destination host is 

potentially compromised by a virus, trojan, or 

other piece of malicious software.

The following impact level values map to specific 

priorities on the Defense Center. An 

X

 indicates 

the value can be 0 or 1:
• gray (0, unknown): 

0X00000

• red (1, vulnerable): 

XXX1XXX, XX1XXXX, 

1XXXXXX

• orange (2, potentially vulnerable): 

0X00111

• yellow (3, currently not vulnerable): 

0X00011

• blue (4, unknown target): 

0X00001

Impact

uint8 

Impact flag value of the event. Values are:
• 1 — Red (vulnerable)

• 2 — Orange (potentially vulnerable)

• 3 — Yellow (currently not vulnerable)

• 4 — Blue (unknown target)

• 5 — Gray (unknown impact)

Intrusion Event (IPv4) Record 4.9 - 4.10.x Fields (Continued)