IPFIX

IPFIX (Internet Protocol Flow Information Export) est une technologie de comptabilité qui surveille les flux de trafic via un commutateur ou un routeur. Elle interprète le trafic pour déterminer le client, le serveur, le protocole et le port utilisés. Il compte le nombre d'octets et de paquets, et envoie ces données à un collecteur IPFIX. IBM® Security Network Protection XGS 5000, un système de protection contre les intrusions (IPS) de nouvelle génération, est un exemple de périphérique qui envoie du trafic de flux au format de flux IPFIX.

Le processus d'envoi de données IPFIX est souvent appelé NetFlow Data Export (NDE), mais IPFIX fournit plus d'informations sur les flux et des connaissances plus approfondies que NetFlow v9.

IBM QRadar accepte les NDEs pour qu'ils fonctionnent en tant que collecteur IPFIX. IPFIX utilise le protocole UDP (User Datagram Protocol) pour fournir des exportations NDE. Une fois qu'une exportation NDE est envoyée à partir de l'unité d'acheminement IPFIX, l'enregistrement IPFIX peut être purgé.

Configuration de la source de flux IPFIX

Lorsque vous configurez une source de flux externe pour IPFIX, vous devez effectuer les tâches suivantes :
  • Ajoutez une source de flux NetFlow .
    Remarque: votre système QRadar peut inclure une source de flux NetFlow par défaut. Si c'est le cas, QRadar peut utiliser la source de flux NetFlow par défaut pour traiter les flux IPFIX.

    Pour confirmer que votre système inclut une source de flux NetFlow par défaut, dans l'onglet Admin , sélectionnez Sources de flux. Si default_Netflow fait partie de la liste de sources de flux, IPFIX est déjà configuré.

  • Vérifiez que les règles de pare-feu appropriées sont configurées.

    Si vous modifiez le paramètre Port de surveillance de la source de flux externe dans la configuration Collecteur de flux , vous devez également mettre à jour votre configuration d'accès au pare-feu.

  • Vérifiez que les ports appropriés sont configurés pour votre Collecteur de flux.

Modèle de la source de flux IPFIX

Vérifiez que le modèle IPFIX de la source IPFIX inclut les éléments d'information répertoriés par IANA suivants :
  • protocolIdentifier (4)
  • sourceIPv4Address (8)
  • destinationIPv4Address (12)
  • sourceTransportPort (7)
  • destinationTransportPort (11)
  • octetDeltaCount (1) ou postOctetDeltaCount (23)
  • packetDeltaCount (2) ou postPacketDeltaCount (24)
  • tcpControlBits (6) (flux TCP uniquement).
  • flowStartSeconds (150) ou flowStartMilliseconds (152) ou flowStartDeltaMicroseconds (158)
  • flowEndSeconds (151) ou flowEndMilliseconds (153) ou flowEndDeltaMicroseconds (159)

Zones prises en charge

Les listes suivantes présentent certains des types de zones pris en charge pour les sources de flux IPFIX.

Nouveau dans 7.4.3 Pour ajouter la prise en charge de zones IPFIX supplémentaires qui ne sont pas affichées par QRadar, vous pouvez utiliser l'API /api/ariel/taggedfields pour créer une nouvelle zone balisée.
Zones de réseau local virtuel
Les zones de réseau local virtuel suivantes sont prises en charge pour IPFIX :
  • vlanId (ID d'élément IANA 58)
  • postVlanId (ID d'élément IANA 59)
  • dot1qVlanId (ID d'élément IANA 243)
  • dot1qPriority (ID d'élément IANA 244)
  • dot1qCustomerVlanId (ID d'élément IANA 245)
  • dot1qCustomerPriority (ID d'élément IANA 246)
  • postDot1qVlanId (ID d'élément IANA 254)
  • postDot1qCustomerVlanId (ID d'élément IANA 255)
  • dot1qDEI (ID d'élément IANA 388)
  • dot1qCustomerDEI (ID d'élément IANA 389)
Zones d'adresse MAC
Les zones d'adresse MAC suivantes sont prises en charge pour IPFIX :
  • sourceMacAddress (ID d'élément IANA 56)
  • postDestinationMacAddress (ID d'élément IANA 57)
  • DestinationMacAddress (ID d'élément IANA 80)
  • postSourceMacAddress (ID d'élément IANA 81)
Zones NAT (conversion d'adresses réseau)
Les zones suivantes sont prises en charge pour NAT (conversion d'adresses réseau) et NAPT (conversion de ports d'adresse réseau) :
  • postNATSourceIPv4Address (ID d'élément IANA 225)
  • postNATDestinationIPv4Address (ID d'élément IANA 226)
  • postNAPTSourceTransportPort (ID d'élément IANA 227)
  • postNAPTDestinationTransportPort (ID d'élément IANA 228)
Zones MPLS
Les zones MPLS suivantes sont prises en charge pour IPFIX :
  • mplsTopLabelType (élément IANA 46)
  • mplsTopLabelIPv4Address (élément IANA 47)
  • mplsTopLabelStackSection (élément IANA 70)
  • mplsLabelStackSection2 (élément IANA 71)
  • mplsLabelStackSection3 (élément IANA 72)
  • mplsLabelStackSection4 (élément IANA 73)
  • mplsLabelStackSection5 (élément IANA 74)
  • mplsLabelStackSection6 (élément IANA 75)
  • mplsLabelStackSection7 (élément IANA 76)
  • mplsLabelStackSection8 (élément IANA 77)
  • mplsLabelStackSection9 (élément IANA 78)
  • mplsLabelStackSection10 (élément IANA 79)
  • mplsVpnRouteDistinisher (élément IANA 90)
  • mplsTopLabelPrefixLength (élément IANA 91)
  • mplsTopLabelIPv6Address (élément IANA 140)
  • mplsPayloadLength (élément IANA 194)
  • mplsTopLabelTTL (élément IANA 200)
  • mplsLabelStackLength (élément IANA 201)
  • mplsLabelStackDepth (élément IANA 202)
  • mplsTopLabelExp (élément IANA 203)
  • postMplsTopLabelExp (élément IANA 237)
  • pseudoWireType (élément IANA 250)
  • pseudoWireControlWord (élément IANA 251)
  • mplsLabelStackSection (élément IANA 316)
  • mplsPayloadPacketSection (élément IANA 317)
  • sectionOffset (élément IANA 409)
  • sectionExportedOctets (élément IANA 410)