IBM QRadar Network Threat Analytics ネットワーク・ベースライン

IBM® QRadar® Network Threat Analytics は、既存のネットワーク・フローを分析して、ネットワーク上の通常のフロー・トラフィックのタイプと頻度を判別します。 このプロセスの結果は、現在システム上に存在するフローおよびフロー属性に関する情報を含むネットワーク・ベースラインです。 アプリは、ネットワーク・ベースラインを、ネットワーク内で標準的と見なされるフロー・トラフィックのインディケーターとして使用します。

ベースライン・フィールド

以下の表に、分析される属性を示します。 属性はカテゴリーにグループ化され、 「検出結果の詳細」 ページの 「カテゴリー別の分析スコア」 グラフで使用されます。

ネットワーク・ベースラインを作成するために分析される属性は、インストールされているソフトウェアによって異なります。 QRadar フロー属性は常に分析されますが、 QRadar Network Insights をインストールすると、さらに多くのデータを分析に使用できます。

表 1. QRadar Network Threat Analyticsによって分析されるフロー属性 (カテゴリー別にグループ化)
カテゴリー QRadar フロー属性 QRadar Network Insights フロー属性

送信元

  • 送信元 IP
  • 送信元ネットワーク
  • ソース・サブネットワーク 1.2.0
  • TLS JA3 1.2.0 で変更されたハッシュ

宛先

  • 宛先 IP
  • 宛先ネットワーク名
  • 宛先サブネットワーク 1.2.0
  • HTTP サーバー 1.2.0

  • TLS JA3S 1.2.0 で変更されたハッシュ

送信元の割合

  • 累積の送信元バイト数 (Accumulated source bytes)
  • 送信元バイト数
  • 送信元のパケット数
  • フロー期間 1.2.0

適用外

宛先の割合

  • 累積された宛先バイト
  • 宛先バイト数
  • 宛先のパケット数

適用外

送信元と宛先の比率

  • 送信元バイトと宛先バイトのペア化
  • 送信元のパケットと宛先のパケットのペア化

適用外

プロトコルとアプリケーション

  • アプリケーション ID
  • 宛先のフラグ
  • 宛先ポート
  • プロトコル ID
  • 送信元のフラグ
1.2.0 (すべての属性)
  • アプリケーション・プロトコル名

  • 認証メカニズム

  • コンテンツ・タイプ

  • DNS ドメイン名

  • DNS 要求タイプ

  • DNS 応答コード

  • FTP 応答コード

  • HTTP 応答コード

  • Kerberos クライアント・プリンシパル名

  • Kerberos 暗号スイート

  • Kerberos レルム

  • Kerberos サーバー・プリンシパル名

  • 最後のプロキシー IPv4

  • 最後のプロキシー IPv6

  • プロトコル・バージョン

  • RDP 暗号化レベル

  • RDP 暗号化方式

  • TFTP モード

  • TFTP 状況

X.509

適用外

  • x509 証明書バージョン

  • x509 証明書の署名アルゴリズム

  • X509 証明書発行者の共通名 1.2.0

  • x509 証明書公開鍵アルゴリズム 1.2.0

  • X509 証明書の公開鍵サイズ 1.2.0

  • X509 certificate to-be-signed signature algorithm 1.2.0

  • x509 証明書発行者名 1.2.0

SSL/TLS

適用外

  • SSL/TLS 暗号スイート
  • SSL/TLS 圧縮方式
  • SSL/TLS バージョン
  • TLS アプリケーション層

ファイル

適用外

  • ファイル・エントロピー
  • ファイル・サイズ

未分類

  • フローの向き

適用外