IPFIX

Internet Protocol Flow Information Export (IPFIX) は、スイッチまたはルーター経由のトラフィック・フローをモニターするアカウンティング・テクノロジーです。 トラフィックを解釈して、使用されているクライアント、サーバー、プロトコル、およびポートを判別します。 また、バイト数およびパケット数をカウントして、そのデータを IPFIX コレクターに送信します。 IBM® Security Network Protection XGS 5000は、次世代の侵入防止システム (IPS) であり、IPFIX フロー・フォーマットでフロー・トラフィックを送信するデバイスの例です。

IPFIX データの送信プロセスは、多くの場合 NetFlow Data Export (NDE) と呼ばれますが、IPFIX は NetFlow v9よりも多くのフロー情報と深い洞察を提供します。

IBM QRadar は、IPFIX コレクターとして機能するように NDE を受け入れます。 IPFIX は User Datagram Protocol (UDP) を使用して NDE を送信します。 IPFIX 転送デバイスから NDE が送信された後、IPFIX レコードはパージされる場合があります。

IPFIX のフロー・ソース構成

IPFIX 用に外部フロー・ソースを構成するときは、以下のタスクを実行する必要があります。
  • NetFlow フロー・ソースを追加します。
    注: QRadar システムには、デフォルトの NetFlow フロー・ソースが含まれている場合があります。 その場合、 QRadar は、デフォルトの NetFlow フロー・ソースを使用して IPFIX フローを処理できます。

    ご使用のシステムにデフォルトの NetFlow フロー・ソースが含まれていることを確認するには、 「管理」 タブで 「フロー・ソース」を選択します。 default_Netflow がフロー・ソース・リストに表示されている場合、IPFIX は既に構成されています。

  • 適切なファイアウォール・ルールが構成されていることを確認します。

    フロー・コレクター 構成で 「外部フロー・ソース・モニター・ポート (External Flow Source Monitoring Port)」 パラメーターを変更する場合は、ファイアウォール・アクセス構成も更新する必要があります。

  • フロー・コレクター用に適切なポートが構成されていることを確認します。

IPFIX のフロー・ソース・テンプレート

IPFIX ソースの IPFIX テンプレートに、IANA によってリストされている以下の情報要素が含まれていることを確認します。
  • protocolIdentifier (4)
  • sourceIPv4Address (8)
  • destinationIPv4Address (12)
  • sourceTransportPort (7)
  • destinationTransportPort (11)
  • octetDeltaCount (1) または postOctetDeltaCount (23)
  • packetDeltaCount (2) または postPacketDeltaCount (24)
  • tcpControlBits (6) (TCP フローのみ)
  • flowStartSeconds (150)、flowStartMilliseconds (152)、または flowStartDeltaMicroseconds (158)
  • flowEndSeconds (151)、flowEndMilliseconds (153)、または flowEndDeltaMicroseconds (159)

サポートされているフィールド

以下のリストは、IPFIX フロー・ソースでサポートされているフィールドのいくつかのタイプを示しています。

7.4.3 QRadarに表示されていない追加の IPFIX フィールドのサポートを追加するために、 /api/ariel/taggedfields API を使用して新しいタグ付きフィールドを作成できます。
VLAN フィールド
以下の VLAN フィールドが IPFIX でサポートされています。
  • vlanId (IANA エレメント ID 58)
  • postVlanId (IANA エレメント ID 59)
  • dot1qVlanId (IANA エレメント ID 243)
  • dot1qPriority (IANA エレメント ID 244)
  • dot1qCustomerVlanId (IANA エレメント ID 245)
  • dot1qCustomerPriority (IANA エレメント ID 246)
  • postDot1qVlanId (IANA エレメント ID 254)
  • postDot1qCustomerVlanId (IANA エレメント ID 255)
  • dot1qDEI (IANA エレメント ID 388)
  • dot1qCustomerDEI (IANA エレメント ID 389)
MAC アドレス・フィールド
以下の MAC アドレス・フィールドが IPFIX でサポートされています。
  • sourceMacAddress ((IANA エレメント ID 56)
  • postDestinationMacAddress ((IANA エレメント ID 57)
  • DestinationMacAddress ((IANA エレメント ID 80)
  • postSourceMacAddress ((IANA エレメント ID 81)
ネットワーク・アドレス変換 (NAT) フィールド
以下のフィールドが、ネットワーク・アドレス変換 (NAT) と Network Address Port Translation (NAPT) でサポートされています。
  • postNATSourceIPv4Address (IANA Element ID 225)
  • postNATDestinationIPv4Address (IANA Element ID 226)
  • postNAPTSourceTransportPort (IANA Element ID 227)
  • postNAPTDestinationTransportPort (IANA Element ID 228)
MPLS フィールド
以下の MPLS フィールドが IPFIX でサポートされています。
  • mplsTopLabelType (IANA エレメント 46)
  • mplsTopLabelIPv4Address (IANA エレメント 47)
  • mplsTopLabelStackSection (IANA エレメント 70)
  • mplsLabelStackSection2 (IANA エレメント 71)
  • mplsLabelStackSection3 (IANA エレメント 72)
  • mplsLabelStackSection4 (IANA エレメント 73)
  • mplsLabelStackSection5 (IANA エレメント 74)
  • mplsLabelStackSection6 (IANA エレメント 75)
  • mplsLabelStackSection7 (IANA エレメント 76)
  • mplsLabelStackSection8 (IANA エレメント 77)
  • mplsLabelStackSection9 (IANA エレメント 78)
  • mplsLabelStackSection10 (IANA エレメント 79)
  • mplsVpnRouteDistinguisher (IANA エレメント 90)
  • mplsTopLabelPrefixLength (IANA エレメント 91)
  • mplsTopLabelIPv6Address (IANA エレメント 140)
  • mplsPayloadLength (IANA エレメント 194)
  • mplsTopLabelTTL (IANA エレメント 200)
  • mplsLabelStackLength (IANA エレメント 201)
  • mplsLabelStackDepth ( IANA エレメント 202)
  • mplsTopLabelExp (IANA エレメント 203)
  • postMplsTopLabelExp (IANA エレメント 237)
  • pseudoWireType (IANA エレメント 250)
  • pseudoWireControlWord (IANA エレメント 251)
  • mplsLabelStackSection (IANA エレメント 316)
  • mplsPayloadPacketSection (IANA エレメント 317 )
  • sectionOffset (IANA エレメント 409)
  • sectionExportedOctets (IANA エレメント 410)