Datos de flujo de red

IBM QRadar Network Insights analiza la comunicación de red entre un cliente y un servidor. La comunicación se presenta como flujos de datos o flujos de contenido.

Por ejemplo, considere una conexión web HTTP simple. Después de negociar el reconocimiento TCP, el cliente realiza una solicitud HTTP del servidor. El servidor responde con una respuesta HTTP . IBM QRadar SIEM representa la comunicación entre el cliente y el servidor como sesiones de flujo bidireccional. En los casos en los que la sesión de flujo abarca varios minutos, QRadar muestra un registro de flujo de resumen para cada minuto que la conexión permanece activa. Estos registros de flujo están enlazados por la propiedad ID de flujo , que proporciona una forma de supervisar todos los registros de flujo que forman parte de la misma sesión.

La imagen muestra la comunicación bidireccional, representada como una serie de flujos de datos, entre un cliente y un servidor. El contenido extraído se representa como un flujo de contenido. Tanto los flujos de datos como los flujos de contenido están enlazados por la propiedad ID de flujo.

Si filtra por Tipo de flujo, tanto los flujos de datos estándar como los flujos de contenido aparecen en los resultados del filtro. Al crear reglas, no puede utilizar el campo Tipo de flujo como una distinción entre flujos de datos y flujos de contenido.

Flujos de datos

Los flujos de datos son registros de flujo tradicionales. También conocidos como flujos estándar, incluyen ejemplos de carga útil y muestran valores distintos de cero en los contadores de bytes y paquetes.

En el nivel de inspección Básico , QRadar Network Insights sólo crea flujos de datos. El flujo de datos contiene la misma información que recopila el proceso de QRadar QFlow .

Al pasar el cursor por encima de la columna Tipo de flujo en la pestaña Actividad de red , la ayuda contextual de un flujo de datos muestra Flujo estándar.

Flujos de contenido

Los flujos de contenido contienen información que QRadar Network Insights recopila en niveles más profundos de análisis y extracción de metadatos. Los flujos de contenido no incluyen ejemplos de carga útil, y todos los contadores de bytes y paquetes aparecen como cero.

El flujo de contenido se enlaza con el flujo de datos correspondiente mediante el campo Flow ID . QRadar Network Insights crea flujos de contenido sólo cuando el nivel de inspección se establece en Enriquecido o Avanzado.

Al pasar el cursor por encima de la columna Tipo de flujo en la pestaña Actividad de red , la ayuda contextual de un flujo de contenido muestra Flujo estándar (Flujo de contenido). Antes de 7.4.2, la única forma de identificar flujos de contenido es buscar flujos que tengan 0 bytes, 0 paquetes y ninguna duración.