Basisinspektion
Die Basis-Inspektionsstufe unterstützt eine hohe Bandbreite, generiert aber die geringste Menge an Datenflussinformationen. Bei der Prüfung auf Basic-Stufe werden Standardflussdatensätze erstellt, die als Datenflüsse bekannt sind.
Wichtig: Die Daten müssen im Quelleninhalt vorhanden
sein, damit das Feld in
QRadar
gefüllt wird. Einige Inhalte werden beispielsweise aus dem X-Force Threat Intelligence-Feed ausgefüllt, jedoch kann das Feld in QRadar leer angezeigt werden, wenn die Informationen nicht in X-Force verfügbar sind.
In der folgenden Tabelle werden die Felder aufgelistet, die ausgefüllt werden, wenn QRadar Network Insights für die Verwendung der Inspektionsstufe Basis konfiguriert wurde.
| Name des Abfragebuilders | Name der erweiterten Suche | Datenquelle |
|---|---|---|
| Anwendung | applicationid |
Mehrere Quellen, wie z. B. Inspektoren und X-Force. Das Attribut wird standardmäßig ausgefüllt. |
| Kunden-VLAN-ID | "customer vlan id" |
Wird nur ausgefüllt, wenn die Datenflussquelle oder Zieladresse aus den 802.1q-VLAN-Headerdaten stammte. |
| Ziel-DSCP | destinationdscp |
Aus dem IPv4- oder IPv6-Header des Datenflusspakets abgeleitete IP-Servicequalität. |
| Zielflags | destinationflags |
TCP-Header des Datenflusspakets. |
| Ziel-IP-Adresse | destinationip |
IPv4- oder IPv6-Header des Datenflusspakets. |
| Zielport | destinationport |
TCP- oder UDP-Header des Datenflusspakets. |
| Unternehmens-VLAN-ID | "enterprise vlan id" |
Wird nur ausgefüllt, wenn die Datenflussquelle oder Zieladresse aus den 802.1q-VLAN-Headerdaten stammte. |
| Zeit des ersten Pakets | firstpackettime |
Zugewiesen von QRadar Network Insights. |
| Datenfluss-ID | flowid |
Zugewiesen von QRadar Network Insights. |
| IP-Protokoll | protocolid |
IPv4- oder IPv6-Header des Datenflusspakets. |
| Zeit des letzten Pakets | lastpackettime |
Zugewiesen von QRadar Network Insights. |
| Quellen-DSCP | sourcedscp |
Aus dem IPv4- oder IPv6-Header des Datenflusspakets abgeleitete IP-Servicequalität. |
| Quellenflags | sourceflags |
TCP-Header des Datenflusspakets. |
| Quellen-IP-Adresse | sourceip |
IPv4- oder IPv6-Header des Datenflusspakets. |
| Quellenport | sourceport |
TCP- oder UDP-Header des Datenflusspakets. |
| Byte gesamt pro Paket | sourcebytes, destinationbytes |
Zugewiesen und verwaltet von QRadar Network Insights*. |
| Pakete gesamt | sourcepackets, destinationpackets |
Zugewiesen und verwaltet von QRadar Network Insights*. |
| VLAN-Tag | "vlan tag" |
Wird nur ausgefüllt, wenn die Datenflussquelle oder Zieladresse aus den 802.1q-VLAN-Headerdaten stammte. |
| VXLAN-Netz-ID | "vxlan network indentifier" |
Nur ausgefüllt, wenn der Datenfluss VXLAN-Headerdaten enthält. |