NetFlow

NetFlow è una tecnologia di contabilità proprietaria sviluppata da Cisco Systems. NetFlow monitora i flussi di traffico attraverso uno switch o un router e interpreta il client, il server, il protocollo e la porta utilizzati. Inoltre, conta il numero di byte e pacchetti e invia tali dati a un raccoglitore NetFlow .

Il processo di invio dei dati da NetFlow viene spesso definito NDE ( NetFlow Data Export).

IBM QRadar accetta NetFlow NDE (Data Exports) in modo che funzioni come un raccoglitore NetFlow . QRadar supporta NetFlow versioni 1, 5, 7 e 9.

Mentre NetFlow espande la quantità di rete monitorata, utilizza un UDP (connection - less protocol) per consegnare le NDE. Dopo che un NDE viene inviato da uno switch o un router, il record NetFlow viene eliminato. UDP non garantisce la consegna dei dati. Di conseguenza, presentazioni non accurate di volumi di traffico e flussi bidirezionali e funzionalità di avviso ridotte potrebbero risultare con un'origine flusso NetFlow .

Per ulteriori informazioni su NetFlow, consultare il sito Web Cisco (http://www.cisco.com).

Configurazione dell'origine flusso NetFlow

Quando si configura un'origine flusso esterno per NetFlow, è necessario effettuare le seguenti operazioni:
  • Assicurarsi che siano configurate le regole del firewall appropriate.

    Se si modifica il parametro External Flow Source Monitoring Port nella configurazione del Programma di raccolta flussi , è necessario aggiornare anche la propria configurazione di accesso firewall.

  • Assicurarsi che le porte appropriate siano configurate per il Programma di raccolta flussi.

Modello di origine flusso NetFlow

IBM suggerisce che, come minimo, i seguenti campi siano inclusi nel modello di origine flusso NetFlow :
  • PRIMO_COMMUTATO
  • ULTIMA_COMMUTATA
  • Protocollo
  • IPV4_SRC_ADDR
  • IPV4_DST_ADDR
  • L4_SRC_PORT
  • L4_DST_PORT
  • IN_BYTES o OUT_BYTES
  • IN_PKTS o OUT_PKTS
  • TCP_FLAGS (solo flussi TCP)

Campi supportati

I seguenti elenchi mostrano alcuni dei tipi di campi supportati per le origini flusso NetFlow .

Campi VLAN
I seguenti campi VLAN sono supportati da NetFlow:
  • vlanId (ID elemento IANA 58)
  • postVlanId (ID elemento IANA 59)
  • dot1qVlanId (ID elemento IANA 243)
  • dot1qPriority (ID elemento IANA 244)
  • dot1qCustomerVlanId (ID elemento IANA 245)
  • dot1qCustomerPriority (ID elemento IANA 246)
  • postDot1qVlanId (ID elemento IANA 254)
  • postDot1qCustomerVlanId (ID Elemento IANA 255)
  • dot1qDEI (ID elemento IANA 388)
  • dot1qCustomerDEI (ID elemento IANA 389)
Campi indirizzo MAC
I seguenti campi di indirizzo MAC sono supportati per NetFlow:
  • sourceMacAddress (ID elemento IANA 56)
  • postDestinationMacAddress (ID elemento IANA 57)
  • DestinationMacAddress (ID elemento IANA 80)
  • postSourceMacAddress (ID elemento IANA 81)
Per ulteriori informazioni su ciascun campo, consultare l'assegnazione dell'elemento di informazioni IANA in IP Flow Information Export (IPFIX) Entities (https://www.iana.org/assignments/ipfix/ipfix.xhtml).