NetFlow

NetFlow est une technologie de comptabilité propriétaire développée par Cisco Systems. NetFlow surveille les flux de trafic via un commutateur ou un routeur et interprète le client, le serveur, le protocole et le port utilisés. Il compte également le nombre d'octets et de paquets et envoie ces données à un collecteur NetFlow .

Le processus d'envoi de données à partir de NetFlow est souvent appelé NetFlow Data Export (NDE).

IBM QRadar accepte les exportations de données NetFlow (NDE) pour qu'elles fonctionnent comme un collecteur NetFlow . QRadar prend en charge NetFlow versions 1, 5, 7 et 9.

Alors que NetFlow augmente la quantité du réseau surveillé, il utilise un protocole UDP (Connection-less Protocol) pour fournir des NDE. Une fois qu'un NDE est envoyé à partir d'un commutateur ou d'un routeur, l'enregistrement NetFlow est purgé. Le protocole UDP ne garantit pas la distribution des données. Par conséquent, des présentations inexactes des volumes de trafic et des flux bidirectionnels, ainsi que des capacités d'alerte réduites, peuvent se produire avec une source de flux NetFlow .

Pour plus d'informations sur NetFlow, voir le site Web Cisco (http://www.cisco.com).

Configuration de la source de flux NetFlow

Lorsque vous configurez une source de flux externe pour NetFlow, vous devez effectuer les tâches suivantes:
  • vérifier que les règles de pare-feu appropriées sont configurées.

    Si vous modifiez le paramètre Port de surveillance de la source de flux externe dans la configuration Collecteur de flux , vous devez également mettre à jour votre configuration d'accès au pare-feu.

  • Assurez-vous que les ports appropriés sont configurés pour votre Collecteur de flux.

Modèle de source de flux NetFlow

IBM suggère que, au minimum, les zones suivantes soient incluses dans le modèle de source de flux NetFlow :
  • FIRST_SWITCHED
  • LAST_SWITCHED
  • PROTOCOL
  • IPV4_SRC_ADDR
  • IPV4_DST_ADDR
  • L4_SRC_PORT
  • L4_DST_PORT
  • IN_BYTES ou OUT_BYTES
  • IN_PKTS ou OUT_PKTS
  • TCP_FLAGS (flux TCP uniquement)

Zones prises en charge

Les listes suivantes présentent certains des types de zones pris en charge pour les sources de flux NetFlow.

Zones de réseau local virtuel
Les zones de réseau local virtuel suivantes sont prises en charge pour NetFlow :
  • vlanId (ID d'élément IANA 58)
  • postVlanId (ID d'élément IANA 59)
  • dot1qVlanId (ID d'élément IANA 243)
  • dot1qPriority (ID d'élément IANA 244)
  • dot1qCustomerVlanId (ID d'élément IANA 245)
  • dot1qCustomerPriority (ID d'élément IANA 246)
  • postDot1qVlanId (ID d'élément IANA 254)
  • postDot1qCustomerVlanId (ID d'élément IANA 255)
  • dot1qDEI (ID d'élément IANA 388)
  • dot1qCustomerDEI (ID d'élément IANA 389)
Zones d'adresse MAC
Les zones d'adresse MAC suivantes sont prises en charge pour NetFlow :
  • sourceMacAddress (ID élément IANA 56)
  • postDestinationMacAddress (ID élément IANA 57)
  • DestinationMacAddress (ID d'élément IANA 80)
  • postSourceMacAddress (ID élément IANA 81)
Pour plus d'informations sur chaque zone, voir l'affectation d'élément d'information IANA dans IP Flow Information Export (IPFIX) Entities (https://www.iana.org/assignments/ipfix/ipfix.xhtml).