IBM® QRadar® Network Threat Analytics は、既存のネットワーク・フローを分析して、ネットワーク上の通常のフロー・トラフィックのタイプと頻度を判別します。 このプロセスの結果は、現在システム上に存在するフローおよびフロー属性に関する情報を含むネットワーク・ベースラインです。 アプリは、ネットワーク・ベースラインを、ネットワーク内で標準的と見なされるフロー・トラフィックのインディケーターとして使用します。
ベースライン・フィールド
以下の表に、分析される属性を示します。 属性はカテゴリーにグループ化され、 「検出結果の詳細」 ページの 「カテゴリー別の分析スコア」 グラフで使用されます。
ネットワーク・ベースラインを作成するために分析される属性は、インストールされているソフトウェアによって異なります。 QRadar フロー属性は常に分析されますが、 QRadar Network Insights をインストールすると、さらに多くのデータを分析に使用できます。
表 1. QRadar Network Threat Analyticsによって分析されるフロー属性 (カテゴリー別にグループ化)
| カテゴリー |
QRadar フロー属性 |
QRadar Network Insights フロー属性 |
送信元
|
- 送信元 IP
- 送信元ネットワーク
- ソース・サブネットワーク 1.2.0
|
|
宛先
|
- 宛先 IP
- 宛先ネットワーク名
- 宛先サブネットワーク 1.2.0
|
|
送信元の割合
|
- 累積の送信元バイト数 (Accumulated source bytes)
- 送信元バイト数
- 送信元のパケット数
- フロー期間 1.2.0
|
適用外
|
宛先の割合
|
- 累積された宛先バイト
- 宛先バイト数
- 宛先のパケット数
|
適用外
|
送信元と宛先の比率
|
- 送信元バイトと宛先バイトのペア化
- 送信元のパケットと宛先のパケットのペア化
|
適用外
|
プロトコルとアプリケーション
|
- アプリケーション ID
- 宛先のフラグ
- 宛先ポート
- プロトコル ID
- 送信元のフラグ
|
1.2.0 (すべての属性)
アプリケーション・プロトコル名
認証メカニズム
コンテンツ・タイプ
DNS ドメイン名
DNS 要求タイプ
DNS 応答コード
FTP 応答コード
HTTP 応答コード
Kerberos クライアント・プリンシパル名
Kerberos 暗号スイート
Kerberos レルム
Kerberos サーバー・プリンシパル名
最後のプロキシー IPv4
最後のプロキシー IPv6
プロトコル・バージョン
RDP 暗号化レベル
RDP 暗号化方式
TFTP モード
TFTP 状況
|
X.509
|
適用外
|
|
SSL/TLS
|
適用外
|
- SSL/TLS 暗号スイート
- SSL/TLS 圧縮方式
- SSL/TLS バージョン
- TLS アプリケーション層
|
ファイル
|
適用外
|
|
未分類
|
|
適用外
|