IPFIX

Internet Protocol Flow Information Export (IPFIX) ist eine Abrechnungstechnologie, mit der die Datenübertragungen durch einen Switch oder Router überwacht werden. Dabei wird der Datenverkehr interpretiert, um die verwendeten Werte für Client, Server, Protokoll und Port zu ermitteln. Es wird außerdem die Anzahl der Bytes und Pakete gezählt und diese Daten werden an einen IPFIX-Kollektor gesendet. IBM® Security Network Protection XGS 5000, ein Intrusion-Protection-System (IPS) der nächsten Generation, ist ein Beispiel für ein Gerät, das Datenflussdatenverkehr im IPFIX-Datenflussformat sendet.

Der Prozess zum Senden von IPFIX-Daten wird häufig als NetFlow -Datenexport (NDE) bezeichnet, aber IPFIX bietet mehr Datenflussinformationen und tiefere Einblicke als NetFlow v9.

IBM QRadar akzeptiert NDEs, sodass es als IPFIX-Kollektor fungiert. IPFIX verwendet für die Übermittlung von NDEs das User Datagram Protocol (UDP). Nachdem ein NDE von der IPFIX-Weiterleitungseinheit gesendet wurde, wird der IPFIX-Datensatz möglicherweise gelöscht.

Konfiguration der IPFIX-Datenflussquelle

Wenn Sie eine externe Datenflussquelle für IPFIX konfigurieren, müssen Sie die folgenden Aufgaben ausführen:
  • Fügen Sie eine NetFlow -Datenflussquelle hinzu.
    Hinweis: Ihr QRadar -System kann eine NetFlow -Standarddatenflussquelle enthalten. In diesem Fall kann QRadar die Standarddatenflussquelle NetFlow verwenden, um die IPFIX-Datenflüsse zu verarbeiten.

    Um zu bestätigen, dass Ihr System eine NetFlow -Standarddatenflussquelle enthält, wählen Sie auf der Registerkarte Verwaltung Datenflussquellenaus. Wenn in der Datenflussquellenliste der Eintrag default_Netflow aufgelistet wird, ist IPFIX bereits konfiguriert.

  • Stellen Sie sicher, dass die entsprechenden Firewallregeln konfiguriert sind.

    Wenn Sie den Parameter Überwachungsport für externe Datenflussquelle in der Konfiguration des Datenflusskollektors ändern, müssen Sie auch Ihre Firewallzugriffskonfiguration aktualisieren.

  • Stellen Sie sicher, dass die entsprechenden Ports für Ihren Datenflusscollectorkonfiguriert sind.

Vorlage für IPFIX-Datenflussquelle

Stellen Sie sicher, dass die IPFIX-Vorlage aus der IPFIX-Quelle die folgenden mit IANA aufgelisteten Informationselemente enthält:
  • protocolIdentifier (4)
  • sourceIPv4Address (8)
  • destinationIPv4Address (12)
  • sourceTransportPort (7)
  • destinationTransportPort (11)
  • octetDeltaCount (1) oder postOctetDeltaCount (23)
  • packetDeltaCount (2) oder postPacketDeltaCount (24)
  • tcpControlBits (6) (nur TCP-Datenflüsse)
  • flowStartSeconds (150) oder flowStartMilliseconds (152) oder flowStartDeltaMicroseconds (158)
  • flowEndSeconds (151) oder flowEndMilliseconds (153) oder flowEndDeltaMicroseconds (159)

Unterstützte Felder

In den folgenden Listen werden einige der Feldtypen gezeigt, die für IPFIX-Datenflussquellen unterstützt werden.

Neu in 7.4.3 Um Unterstützung für zusätzliche IPFIX-Felder hinzuzufügen, die nicht von QRadarangezeigt werden, können Sie mit der /api/ariel/taggedfields -API ein neues mit Tags versehenes Feld erstellen.
VLAN-Felder
Die folgenden VLAN-Felder werden für IPFIX unterstützt:
  • vlanId (IANA-Element-ID 58)
  • postVlanId (IANA-Element-ID 59)
  • dot1qVlanId (IANA-Element-ID 243)
  • dot1qPriority (IANA-Element-ID 244)
  • dot1qCustomerVlanId (IANA-Element-ID 245)
  • dot1qCustomerPriority (IANA-Element-ID 246)
  • postDot1qVlanId (IANA-Element-ID 254)
  • postDot1qCustomerVlanId (IANA-Element-ID 255)
  • dot1qDEI (IANA-Element-ID 388)
  • dot1qCustomerDEI (IANA-Element-ID 389)
MAC-Adressfelder
Die folgenden MAC-Adressfelder werden für IPFIX unterstützt:
  • sourceMacAddress ((IANA-Element-ID 56)
  • postDestinationMacAddress ((IANA-Element-ID 57)
  • DestinationMacAddress ((IANA-Element-ID 80)
  • postSourceMacAddress ((IANA-Element-ID 81)
NAT-Felder (Network Address Translation, Netzadressumsetzung)
Für Network Address Translation (NAT) und Network Address Port Translation (NAPT) werden die folgenden Felder unterstützt:
  • postNATSourceIPv4Address (IANA Element ID 225)
  • postNATDestinationIPv4Address (IANA Element ID 226)
  • postNAPTSourceTransportPort (IANA Element ID 227)
  • postNAPTDestinationTransportPort (IANA Element ID 228)
MPLS-Felder
Die folgenden MPLS-Felder werden für IPFIX unterstützt:
  • mplsTopLabelType (IANA-Element 46)
  • mplsTopLabelIPv4Address (IANA-Element 47)
  • mplsTopLabelStackSection (IANA-Element 70)
  • mplsLabelStackSection2 (IANA-Element 71)
  • mplsLabelStackSection3 (IANA-Element 72)
  • mplsLabelStackSection4 (IANA-Element 73)
  • mplsLabelStackSection5 (IANA-Element 74)
  • mplsLabelStackSection6 (IANA-Element 75)
  • mplsLabelStackSection7 (IANA-Element 76)
  • mplsLabelStackSection8 (IANA-Element 77)
  • mplsLabelStackSection9 (IANA-Element 78)
  • mplsLabelStackSection10 (IANA-Element 79)
  • mplsVpnRouteDistinguisher (IANA-Element 90)
  • mplsTopLabelPrefixLength (IANA-Element 91)
  • mplsTopLabelIPv6Address (IANA-Element 140)
  • mplsPayloadLength (IANA-Element 194)
  • mplsTopLabelTTL (IANA-Element 200)
  • mplsLabelStackLength (IANA-Element 201)
  • mplsLabelStackDepth (IANA-Element 202)
  • mplsTopLabelExp (IANA-Element 203)
  • postMplsTopLabelExp (IANA-Element 237)
  • pseudoWireType (IANA-Element 250)
  • pseudoWireControlWord (IANA-Element 251)
  • mplsLabelStackSection (IANA-Element 316)
  • mplsPayloadPacketSection (IANA-Element 317)
  • sectionOffset (IANA-Element 409)
  • sectionExportedOctets (IANA-Element 410)