スーパーフロー
IBM QRadar は、個々のフローを分析して、ネットワーク上で一般的な攻撃ベクトルが使用されていることを示すインディケーターを探します。 基準に一致するフローの数が指定された数に達すると、 QRadar は個々のフローを スーパーフローにグループ化します。 各スーパーフローは、その内部に何個のフロー・レコードがバンドルされているかに関係なく、フロー/分 (FPM) ライセンスに対して 1 個のフローとしてのみカウントされます。
フローしきい値を構成して、スーパーフローを作成するために条件に一致している必要がある、固有のフローの数を制御できます。 しきい値に 100 を指定すると、最初の 99 のフローは通常のフロー・レコードとして送信されます。 100 番目のフローおよび後続の一致するフローは、スーパーフロー・レコードに含まれます。 QRadar は、1 つの間隔が経過しても一致するトラフィックがなくなるまで、1 分ごとにスーパーフローについて報告し続けます。 1 つのフロー・レコードのみが一致している場合でもスーパーフローはキープアライブ状態になるため、一部のスーパーフローは小さく見える可能性があります。
ヒント: QRadar でスーパーフローを作成しない場合は、 「フロー・コレクター」 構成設定で、 「スーパーフローの作成」 設定を Noに変更します。
スーパーフロー・タイプ A: ネットワーク・スキャン
ネットワーク・スキャンは、ネットワーク上のすべてのアクティブ・ホストを検出して、それらのホストを IP アドレスにマップするように試みます。
QRadar は、1 つのホストが多数のホストにデータを送信するフローを検索し、このタイプのアクティビティーにタイプ A のスーパーフローのフラグを立てます。 この単一方向のフローは、送信元 IP が同じで宛先 IP が異なるが、以下のパラメーターは同じである、すべてのフローを集約したものです。
- プロトコル
- 送信元のバイトとパケットの比率
- ソース IP アドレス
- 宛先ポート (TCP フローおよび UDP フローのみ)
- TCP フラグ (TCP フローのみ)
- ICMP タイプおよびコード (ICMP フローのみ)

スーパーフロー・タイプ B: 分散型サービス妨害 (DDoS)
DDoS 攻撃は、複数のシステムが 1 つのターゲット・システムの帯域幅やリソースをフラッディングさせる場合に発生します。
QRadar は、多数のホストが 1 つの宛先ホストにデータを送信するフローを検索し、このアクティビティーにタイプ B のスーパーフローのフラグを立てます。 この単一方向のフローは、宛先 IP が同じで送信元 IP が異なるが、以下のパラメーターは同じである、すべてのフローを集約したものです。
- プロトコル
- 送信元のバイトとパケットの比率
- 宛先 IP アドレス
- 宛先ポート (TCP フローおよび UDP フローのみ)
- TCP フラグ (TCP フローのみ)
- ICMP タイプおよびコード (ICMP フローのみ)

スーパーフロー・タイプ C: ポート・スキャン
ポート・スキャンは、ネットワーク上の特定のホストによって使用されているポートを識別するように試みます。
QRadar は、1 つの送信元 IP と 1 つの宛先 IP を持つが、多数のポートを持つフローを探します。 この単一方向のフローは、異なる送信元ポートまたは宛先ポートを持つが、以下のパラメーターは同じである、すべての非 ICMP フローを集約したものです。
- プロトコル
- ソース IP アドレス
- 宛先 IP アドレス
- 送信元のバイトとパケットの比率
- TCP フラグ (TCP フローのみ)
