フロー検査レベル

フロー検査レベルは、ネットワーク・フローから分析および抽出されるデータの量、および個々のファイル・コンテンツが分析されるかどうかを決定します。 IBM QRadar Network Insights は、どのフロー検査レベルが構成されているかに関係なく、すべてのパケットのペイロード全体を検査します。

デフォルトでは、フロー検査レベルは、「管理」タブの「システム設定」で構成されるグローバル設定です。 これは、ご使用のデプロイメントのすべてのアプライアンスに適用されます。 IBM QRadar Network Insights 6200、6600、および 6610 アプライアンスの場合、各アプライアンスのカスタム・フロー検査レベルを構成することで、グローバル設定をオーバーライドできます。

スタック構成では、スタックごとに異なる検査レベルを設定できますが、スタック内のすべてのアプライアンスに同じ検査レベルが適用されている必要があります。

「基本」検査レベル

「基本」レベルは、最低レベルのフロー検査です。 このレベルは最大の帯域幅に対応していますが、生成するフロー情報は最小量です。

QRadar Network Insights が基本的なフロー検査レベルを使用してキャプチャーする属性は、ディープ・パケット検査を実行しないルーターまたはネットワーク・スイッチから取得する属性と似ています。 これには、以下のタイプの情報が含まれます。

  • 送信元および宛先の情報
  • ネットワーク・プロトコル
  • アプリケーション ID
  • バイト・カウンターとパケット・カウンター
  • 最初と最後のパケットの時刻
  • サービス品質
  • VLAN タグ

QRadar Network Insights は、 「基本」 検査レベルで、ネットワーク通信に関する情報を収集するデータ・フローを作成します。 データ・フローには、ペイロードのサンプルが含まれ、バイトとパケット・サイズのカウンターが表示されます。 「基本」 検査レベルでは、 QRadar QFlow プロセスと同じ情報が収集されます。

「中程度」検査レベル

「中程度」の検査レベルでは、Protocol Inspector または Domain Inspector のいずれかによって各フローが識別および検査され、その検査から多くの種類の属性を生成できます。

「中程度」検査レベルは、以下のタイプの情報を提供します。
  • ユーザー名、E メール・アドレス、チャット ID
  • 検索引数
  • ホスト情報
  • HTTP FTP、SMTP、SSH、 SSL および TLS フィールド
  • DNS 照会と応答
  • VXLAN、GRE、または ERSPAN からのトンネル情報
  • ファイル名、タイプ、サイズ、ハッシュ、およびエントロピー
  • 最後のプロキシー、XFF、True Client IP
  • 疑わしいコンテンツ
  • Web カテゴリー
  • 構成可能なコンテンツ・ベースの疑わしいコンテンツ (YARA ルール)

「中程度」 および 「拡張」 検査レベルでは、 QRadar Network Insights はデータ・フローとコンテンツ・フローの両方を作成します。 コンテンツ・フローでは、詳細なレベルの検査によってデータ・フロー内で検出された内容が表示されます。 コンテンツ・フローにはペイロード・サンプルが含まれず、すべてのバイト・カウンターとパケット・カウンターにゼロが表示されます。 コンテンツ・フローは、「フロー ID」フィールドによってデータ・フローにリンクされています。

コンテンツ・フローは、以下の方法で識別できます。

  • 「フロー情報」ウィンドウの「フロー・タイプ」フィールドに、「標準フロー (コンテンツ・フロー)」と表示されます。
  • 「ネットワーク・アクティビティー」タブの「フロー・タイプ」アイコンのツールチップに、「標準フロー (コンテンツ・フロー)」と表示されます。

「拡張」検査レベル

拡張検査は、最高レベルの検査です。 転送されたファイル・コンテンツの包括的な分析により、拡張検査レベルで抽出されたフロー属性に基づいて作成されます。

「拡張」検査レベルは、以下のタイプの情報を提供します。
  • コンテンツ抽出
  • 個人情報検出
  • 機密データ検出
  • 埋め込みスクリプト
  • リダイレクト
  • 追加ファイル・メタデータ

「拡張」検査レベルはコンテンツ分析も実行します。これにより、「中程度」レベルより多くの疑わしいコンテンツ値を生成できます。 例えば、 「拡張」 検査レベルに設定すると、 QRadar Network Insights はファイル内の詳細を参照して、PDF または Microsoft 文書内の埋め込みスクリプトなどの疑わしいコンテンツを識別します。

強化されたレベルと同様に、コンテンツ・フローが作成され、データ・フローのより深いレベルの検査中に QRadar Network Insights が検出した内容が表示されます。