VLAN 필드

QRadar은(는) 외부 플로우 레코드에서 내보낸 VLAN(Virtual Local Area Network) 정보를 보유합니다.

VLAN 정보는 IPFIX, NetFlow V9, sFlow V5 또는 J-Flow V9에서 수신된 플로우에서 찾을 수 있습니다. Napatech 또는 네트워크 인터페이스 카드 또는 전용 IBM QRadar Network Insights 어플라이언스에서 수신한 내부 플로우 등의 내부 플로우에서도 이를 볼 수 있습니다.

검색, 필터 및 사용자 정의 규칙에서 VLAN 정보를 사용할 수 있습니다.

지원되는 VLAN 필드

다음의 VLAN 필드는 IPFIX, Netflow 버전 9 및 J-Flow 플로우 레코드의 경우 지원됩니다.
  • vlanId
  • postVlanId
  • dot1qVlanId
  • dot1qPriority
  • dot1qCustomerVlanId
  • dot1qCustomerPriority
  • postDot1qVlanId
  • postDotqCustomerVlanId
다음 VLAN 필드는 원시 패킷 및 sFlow 버전 5에서 지원됩니다. IBM QRadar Network Insights 에서도 이러한 필드를 지원합니다.
  • dot1qVlanId
  • dot1qPriority
  • dot1qCustomerVlanId
  • dot1qCustomerPriority
  • dot1qDEI
  • dot1qCustomerDEI

VLAN 분리

VLAN 정보가 포함된 모든 플로우에는 다음과 같은 IBM® 관련 필드에 태그를 지정하여 서로 다른 사용자 그룹의 네트워크 트래픽을 분리하여 보관할 수 있습니다:
  • 엔터프라이즈 VLAN ID
  • 고객 VLAN ID
각 필드에 표시되는 값은 VLAN 구성에 따라 다를 수 있습니다.
  • VLAN이 스택된 경우, 엔터프라이즈 VLAN ID고객 VLAN ID 필드 모두는 관련 VLAN 값으로 채워집니다.
  • VLAN이 스택되지 않은 경우, 엔터프라이즈 VLAN ID 특성은 0으로 설정되고 고객 VLAN ID는 관련 VLAN 값을 표시합니다.
  • 내부 VLAN이 0으로 설정된 경우, 엔터프라이즈 VLAN ID는 VLAN 값을 표시하고 고객 VLAN ID는 0으로 표시됩니다.