フロー・パイプライン
IBM QRadar に流入するフローは、ネットワーク通信に関する追加情報を抽出するための詳細なプロセスを経て、セキュリティー・インシデントが発生した可能性があることを示す標識を探します。
QFlow プロセス
QFlow プロセスは、さまざまなフロー・ソースからデータを収集します。 データを解析して正規化し、1 分間にわたって情報を蓄積することで、データを集約します。 次に、フローを分析して、詳細情報を抽出します。例えば、アプリケーションとフローの向きを判別して、それを ecs-ec プロセスに渡す前にスーパーフローを作成します。
ecs-ec プロセス
ecs-ec プロセスはフロー・レコードをさらに解析し、重複排除、非対称再結合、ライセンス交付、ドメインのタグ付け、カスタム・フロー・プロパティー、フロー転送などの追加の統合および処理を実行します。 その後、フローがルールをトリガーしているかどうかを判別するために、フローはカスタム・ルール・エンジン (CRE) に渡されます。フローがルールをトリガーしている場合は、セキュリティー・インシデントが発生していることを示している可能性があります。