Identificación de la aplicación
El proceso QFlow utiliza algoritmos para determinar la aplicación de flujo. Cada algoritmo depende de distintos tipos de información para determinar la aplicación.
IBM QRadar Network Insights se basa en su propio conjunto de inspectores y métodos de detección de aplicaciones. QRadar Network Insights los algoritmos QFlow sólo se utilizan cuando QRadar Network Insights no puede identificar un protocolo específico.
| Valor numérico | Nombre del algoritmo | Descripción |
|---|---|---|
| 2 | Firmas de aplicación | Algoritmo basado en carga útil que busca la forma en la que está estructurada la carga útil. Este algoritmo utiliza información del archivo signatures.xml. |
| 3 | Decodificación basada en estado | Un algoritmo basado en carga útil que utiliza lógica interna compleja. |
| 4 | Correlación basada en puertos de QRadar | Un algoritmo basado en puertos que utiliza una lista predefinida de correlaciones de aplicaciones. Este algoritmo utiliza información del archivo /opt/qradar/conf/appid_map.conf. |
| 5 | Correlación basada en puertos de usuario | Un algoritmo basado en puertos que utiliza una lista personalizable de correlaciones de aplicaciones. Utilice este algoritmo para añadir nuevas correlaciones basadas en puertos o para reclasificar las correlaciones existentes que se incluyen con QRadar. Este algoritmo utiliza información del archivo /opt/qradar/conf/user_application_mapping.conf. |
| 6 | Correlación de protocolos de mensajes de control de Internet | Un algoritmo basado en protocolos que busca el código y tipo de protocolo. |
| 7 | Exportador de flujos | Un algoritmo que depende del Exportador de flujo para determinar la aplicación. Por ejemplo, el proceso QFlow confía de forma inherente en los ID de aplicación que proceden de QRadar Network Insights. |
| 8 | Firmas de aplicación QNI | QRadar Network Insights utiliza este algoritmo. |
| 9 | Inspectores QNI | Este algoritmo se ha eliminado en QRadar Network Insights 7.5.0. |
| 10 | Clasificación de aplicaciones web de X-Force | QRadar Network Insights utiliza este algoritmo. |
| 5 Nuevo en 7.5.0 |
Heurística de puertos QNI | QRadar Network Insights utiliza este algoritmo. Indica que la aplicación se identifica mediante la heurística basada en puertos y representa un bajo grado de confianza. |
| 6 Nuevo en 7.5.0 |
Datos iniciales de QNI | QRadar Network Insights utiliza este algoritmo. Indica que la aplicación se identifica utilizando los datos iniciales de la sesión de flujo y representa un grado de confianza medio. |
| 13 Nuevo en 7.5.0 |
Analizadores QNI | QRadar Network Insights utiliza este algoritmo. Indica que la aplicación se identifica analizando los datos disponibles y representa el mayor grado de confianza. |
Aplicaciones personalizadas
Si la organización tiene aplicaciones no estándar o personalizadas, puede añadirlas a los archivos /opt/qradar/conf/user_application_mapping.conf o signatures.xml.
Puede utilizar el campo Algoritmo de determinación de aplicación para comprobar que se ha utilizado el algoritmo correcto para identificar las aplicaciones personalizadas. Por ejemplo, podría definir una aplicación personalizada en función del uso de puertos. Los flujos de esa aplicación se identifican mediante el algoritmo 5, que es Correlación basada en puerto de usuario. Verificando el algoritmo utilizado para identificar la aplicación, puede asignar un nivel de confianza a la correlación de aplicación.
Para obtener más información, consulte Definición de nuevas aplicaciones y Aplicaciones predeterminadas en la publicación IBM QRadar Application Configuration Guide.