IBM Support

QRadar: Legacy Cisco Firepower Management Center のイベント・タイプ「 Connection Statistic 」について

Troubleshooting


Problem

 Cisco Firepower Management Center の古いバージョンで、「 RNA Flow Statistics 」は eStreamer 4.x からのレガシー・レコード名です。
この文章では、識別方法についてご案内します。
注: eStreamer 5.x では、RNA Flow Statistics はサポート終了となっており、 QRadar DSM ガイドにリストされていない eStreamer のバージョンを使用されている場合、ご使用の eStreamer プロトコルをサポートされているバージョンにアップグレードする必要がある場合があります。

Cause

 「 Connection Statistic 」イベント・タイプは、どのように「ログ・アクティビティ」タブ内で Firewall allow 、 deny データにマップされているでしょうか。

Resolving The Problem

以下の例では、ペイロードの 2 番目のイベントがレコード・タイプ「 RNA_FLOW_STATISTICS 」であることを示しています。
このレコード・タイプは、「 Connection Statistics 」とも呼ばれ、 ログ・アクティビティで RNA の connection イベントとして提供する Cisco Firepower Management Center ログの イベントです。
"DeviceType=Estreamer   DeviceAddress=x.x.x.x       CurrentTime=1567644018456       recordType=RNA_FLOW_STATISTICS  recordLength=700        timestamp=05 Sep 2019 01:40:15  netmapDomainRef=0       detectionEngineRef=7    ipAddress=0.0.0.0       MACAddress=00:00:00:00:00:00    hasIPv6=true    eventSecond=0   eventMicroSecond=0      eventType=FLOW_STATISTICS       fileNumber=6E59705D     filePosition=94020000   ipV6Address=0:0:0:0:0:0:0:0     flowStatistics.initiatorIPAddress=x.x.x.x flowStatistics.responderIPAddress=x.x.x.x     flowStatistics.originalClientIPAddress=0:0:0:0:0:0:0:0  flowStatistics.policyRevision=0000000000000000000000005D69CA75  flowStatistics.ruleId=268435469 flowStatistics.tunnelRuleId=0   flowStatistics.ruleAction=2     flowStatistics.ruleReason=64    flowStatistics.initiatorPort=52016      flowStatistics.responderPort=443        flowStatistics.tcpFlags=0       flowStatistics.protocol=6       flowStatistics.netFlowIPAddress=0:0:0:0:0:0:0:0 flowStatistics.instanceId=1     flowStatistics.connectionCounter=46175  flowStatistics.firstPacketTimestamp=1567644011
 RNA Flow Statistics は、 eStreamer 4.x のレガシー・レコード名です。これらのイベントには、接続イベントをトリガーとしたルールに選ばれたアクションに関する情報が含まれます。これらのイベントは、値の「 ruleAction 」に基づいてマップされます。
これらの値と説明は、以下のとおりです。
1 Pending
2 Allow
3 Trust
4 Deny
5 Reset
6 Audit
7 HTTP Bypass
8 Int Reset
9 Rate Limit
10 Agent
11 Captive
12 No Auth
13 Invalid
14 Fast Path
22 NX Domain
23 Sinkhole
 
ルール・アクションに基づいて、カテゴリーとアクションが QRadar にマップされます。前述にあるペイロードの例では、「 flowStatistics.ruleAction=2 」が Allow イベント・レコードにマップされています。
 eStreamer プロトコルの詳細については、 QRadar DSM ガイドをご参照ください。

Document Location

Worldwide

Qradar に関する情報は以下のリンクからも確認できますのでご参照ください。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Log Source;Parsing","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
07 January 2021

UID

ibm11284646

Page Feedback