Inspección básica
El nivel de inspección Básico soporta un ancho de banda alto, pero genera la menor cantidad de información de flujo. La inspección de nivel Básico crea registros de flujo estándar conocidos como flujos de datos.
Importante: Los datos deben existir en el contenido de origen para que el campo se llene en QRadar. Por ejemplo, algunos contenidos son rellenados por el X-Force
Threat Intelligence feed, pero el campo puede aparecer vacío en QRadar si la información no está disponible en X-Force.
La tabla siguiente muestra los campos que se rellenan cuando QRadar Network Insights está configurado para utilizar el nivel de inspección Básico .
| Nombre del creador de consultas | Nombre de búsqueda avanzada | Origen de datos |
|---|---|---|
| Application | applicationid |
Varios orígenes, como por ejemplo Inspectores y X-Force. El atributo se rellena de forma predeterminada. |
| ID de VLAN de cliente | "customer vlan id" |
Solo se rellena cuando la dirección de origen o destino de flujo procede de los datos de cabecera de VLAN 802.1q . |
| DSCP de destino | destinationdscp |
Calidad de servicio IP derivada de la cabecera IPv4 o IPv6 del paquete de flujo. |
| Distintivos de destino | destinationflags |
TCP encabezado del paquete de flujo. |
| Dirección IP destino | destinationip |
Cabecera IPv4 o IPv6 del paquete de flujo. |
| Puerto de destino | destinationport |
TCP o un encabezado « UDP » del paquete de flujo. |
| ID de VLAN de empresa | "enterprise vlan id" |
Solo se rellena cuando la dirección de origen o destino de flujo procede de los datos de cabecera de VLAN 802.1q . |
| Hora de primer paquete | firstpackettime |
Asignado por QRadar Network Insights. |
| ID de flujo | flowid |
Asignado por QRadar Network Insights. |
| Protocolo IP | protocolid |
Cabecera IPv4 o IPv6 del flujo. |
| Hora de último paquete | lastpackettime |
Asignado por QRadar Network Insights. |
| DSCP de origen | sourcedscp |
Calidad de servicio IP derivada de la cabecera IPv4 o IPv6 del paquete de flujo. |
| Distintivos de origen | sourceflags |
TCP encabezado del paquete de flujo. |
| Dirección IP origen | sourceip |
Cabecera IPv4 o IPv6 del paquete de flujo. |
| Puerto de origen | sourceport |
TCP o un encabezado « UDP » del paquete de flujo. |
| Bytes totales por paquete | sourcebytes, destinationbytes |
Asignado y mantenido por QRadar Network Insights*. |
| Paquetes totales | sourcepackets, destinationpackets |
Asignado y mantenido por QRadar Network Insights*. |
| Etiqueta VLAN | "vlan tag" |
Solo se rellena cuando la dirección de origen o destino de flujo procede de los datos de cabecera de VLAN 802.1q . |
| Identificador de red VXLAN | "vxlan network indentifier" |
Solo se rellena cuando el flujo contiene datos de cabecera VXLAN. |