アプリケーション・マッピング

IBM® QRadar® には、デフォルトのアプリケーション ID が含まれています。 ただし、QRadar が適切にトラフィックを分類するようにアプリケーション・マッピング・ファイルを編集できます。

アプリケーション ID の説明

QRadar はフローを検出すると、そのフローにアプリケーション ID を割り当てます。 アプリケーション ID は、フローに使用されているプロトコルとポート、およびフローの内容に基づいて割り当てられます。 QRadar のデフォルトのアプリケーション ID は、Service Name and Transport Protocol Port Number Registry (http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.txt) に基づいて割り振られます。

アプリケーションをマップするために必要なタスク

アプリケーション・マッピングを作成またはカスタマイズするとき、次のタスクを順に実行します。

  1. 新しいアプリケーションの定義

    アプリケーション構成ファイルには、デフォルトのアプリケーションが含まれています。 新しいアプリケーションを定義するには、アプリケーション構成ファイルに新しいアプリケーション ID を追加する必要があります。

  2. 次のいずれかの方法を使用して、トラフィックを新しいアプリケーションにマップします。
    • アプリケーション・マッピングの定義

      IP アドレスとポート番号に基づいてアプリケーションをアプリケーション ID にマップするアプリケーション・マッピング・ファイルを更新します。

    • アプリケーション・シグネチャーの定義

      デフォルトのアプリケーション・マッピングでは自動的に検出されないフローに適用するアプリケーション・シグネチャーを定義します。 フローにアプリケーション ID を割り当てるために、この方法では、IP アドレス、ポート、および内容に基づいてルールを作成する必要があります。 ポートのみのアプリケーション・シグネチャーを定義するには、アプリケーション・シグネチャー・ファイルではなくアプリケーション・マッピング・ファイル内でポート・マッピングを構成します。