ネットワーク・フロー・データ

IBM QRadar Network Insights は、クライアントとサーバーの間のネットワーク通信を分析します。 通信は、データ・フローまたはコンテンツ・フローとして提示されます。

例えば、単純な HTTP Web 接続を想定します。 TCP ハンドシェークのネゴシエーション後、クライアントがサーバーへの HTTP 要求を実行します。 サーバーは HTTP 応答で応答します。 IBM QRadar SIEM は、クライアントとサーバーの間の通信を双方向フロー・セッションとして表します。 フロー・セッションが数分にわたる場合、 QRadar は、接続がアクティブな状態を維持する毎分の要約フロー・レコードを表示します。 これらのフロー・レコードは、同じセッションの一部であるすべてのフロー・レコードをモニターできるように、「フロー ID」プロパティーによってリンクされます。

イメージは、クライアントとサーバーの間の一連のデータ・フローとして表される双方向通信を示しています。 抽出されたコンテンツは、コンテンツ・フローとして表されます。 データ・フローとコンテンツ・フローの両方が、「フロー ID」プロパティーによってリンクされます。

「フロー・タイプ」でフィルタリングすると、標準データ・フローとコンテンツ・フローの両方がフィルター結果に表示されます。 ルールを作成するときに、データ・フローとコンテンツ・フローを区別するために「フロー・タイプ」フィールドを使用することはできません。

データ・フロー

データ・フロー は従来のフロー・レコードです。 標準フロー とも呼ばれ、ペイロード・サンプルが含まれ、バイト・カウンターとパケット・カウンターにゼロ以外の値が表示されます。

「基本」 検査レベルでは、 QRadar Network Insights はデータ・フローのみを作成します。 データ・フローには、 QRadar QFlow プロセスによって収集されたものと同じ情報が含まれます。

ネットワーク・アクティビティー」タブの「フロー・タイプ」列の上にカーソルを移動すると、データ・フローのツールチップに 標準フローが表示されます。

コンテンツ・フロー

コンテンツ・フロー には、 QRadar Network Insights がより深いレベルの分析およびメタデータ抽出で収集する情報が含まれます。 コンテンツ・フローにはペイロード・サンプルが含まれず、すべてのバイト・カウンターとパケット・カウンターにゼロが表示されます。

内容フローは、Flow IDフィールドによって対応するデータ・フローにリンクされます。 QRadar Network Insights は、検査レベルが 「中程度」 または 「拡張」に設定されている場合にのみ、コンテンツ・フローを作成します。

ネットワーク・アクティビティー」タブの「フロー・タイプ」列にマウス・ポインターを移動すると、コンテンツ・フローのツールチップに 標準フロー (コンテンツ・フロー) が表示されます。 7.4.2より前のバージョンでは、コンテンツ・フローを識別する唯一の方法は、0 バイト、0 パケット、および期間なしのフローを探すことです。