Question & Answer
Question
QFlow コレクターと QRadar イベント・コレクターの相違点は何ですか?
Answer
QRadar は、ネットワーク・アクティビティー情報または「フロー・レコード」と呼ばれるものを収集します。フローは、2 つのホスト間のセッションを効果的に表す「フロー」全般の他に、IP アドレス、ポート、バイト、およびパケット・カウントを正規化することでネットワーク・アクティビティーを表します。
複数の「間隔」(分)にわたるセッションの場合、パイプラインは各フロー・バイト、パケットなど、現在のメトリックで毎分の終わりに記録を報告します。このため、同じく「 First Packet Time 」で QRadar 内の複数のレコード(毎分)を表示しますが、「 Last Packet Time 」の値は時間の経過とともに増加します。
フローはイベントとは異なり、フロー(の大部分)という点で、開始時刻と終了時刻または数秒の有効期間があります。例えば Web サイトに接続する際、通信は HTML ファイル、イメージ、フラッシュ・ファイル、ダウンロードが長いファイルなどを含み、データの転送に多少時間がかかる場合があります。対照的にイベントは、VPN セッションのログイン・アクションやネットワークに接続しようとする不特定の人物をファイアウォールが拒否するなど、ネットワーク上の単一のイベントを表します。
フロー情報を収集および作成する QRadar 内のコンポーネントは、「 qflow 」と呼ばれます。QFlow は、複数のソースからフローを処理できます。スパン/モニター・ポートまたはネットワーク・タップを接続することによりパケット・データを含むソースは、フロー・コレクターでは「内部ソース」と呼ばれます。通常の「内部」タイプの収集は、トラフィック・レートに基づいて容量を変える専用のコレクション・アプライアンス( 1101, 12xx, 13xx )が必要になります。これらのソースは、QRadar フロー・コレクターのモニタリング・ポートに RAW パケット・データを提供することにより、これらのパケットが「フロー・レコード」内に列挙します。QRadar はパケット・ペイロード全体を保持しませんが、最初の数パケットから通信の始まりのパケットを含む各「フロー」のスナップショットをキャプチャーすることができます。これは「ペイロード」または「コンテンツ・キャプチャー」と呼ばれます。
Qflow は、ルーターや他のネットワーク・デバイス、または「外部ソース」と呼ばれるものからのセッション情報やフロー情報を処理することもできます。サポートされるフォーマットは、Cisco NetFlow ( v5、v7、v9 )、IPFIX、JFlow および sflow です。また、外部ソースである Packeteer からのセッション情報もサポートしますが、パケット・ペイロードも含まれています。外部ソースは専用のフロー・コレクターに送信できますが、「フロー・プロセッサー」( 17xx アプライアンス ) にも送信することができます。これは、フローを作成するのにすべてのパケットを処理していないため、「外部」ソースが処理するために CPU 使用率をそれほど必要としないことが理由です。この構成では、顧客は専用のフロー・コレクターとフロー・プロセッサー(フロー・データの受信と作成の両方)を持つことができます。小規模環境( 50Mbps 未満)では、単体の QRadar アプライアンスがすべてのデータ処理を実行する場合があります。
イベント・データとネットワーク・データの主な相違点の 1 つとして、通常、特定のアクションのログであるイベントが単一で発生し、完了するという点です。対照的にフローは、セッション内のアクティビティーに応じて、残りの秒数、分、時間、または日にちのライフ・スパンを持つことができます。例えば、映画の長さによっては、Web リクエストは複数のファイル、画像、広告などを引き下げたり、残り 5 - 10 秒または Netflix の映画を視聴するユーザーが何時間も続けてそのセッションを持つことができます。
フローの詳細については、https://www.securitylearningacademy.com/enrol/index.php?id=4863 を参照してください。
複数の「間隔」(分)にわたるセッションの場合、パイプラインは各フロー・バイト、パケットなど、現在のメトリックで毎分の終わりに記録を報告します。このため、同じく「 First Packet Time 」で QRadar 内の複数のレコード(毎分)を表示しますが、「 Last Packet Time 」の値は時間の経過とともに増加します。
フローはイベントとは異なり、フロー(の大部分)という点で、開始時刻と終了時刻または数秒の有効期間があります。例えば Web サイトに接続する際、通信は HTML ファイル、イメージ、フラッシュ・ファイル、ダウンロードが長いファイルなどを含み、データの転送に多少時間がかかる場合があります。対照的にイベントは、VPN セッションのログイン・アクションやネットワークに接続しようとする不特定の人物をファイアウォールが拒否するなど、ネットワーク上の単一のイベントを表します。
フロー情報を収集および作成する QRadar 内のコンポーネントは、「 qflow 」と呼ばれます。QFlow は、複数のソースからフローを処理できます。スパン/モニター・ポートまたはネットワーク・タップを接続することによりパケット・データを含むソースは、フロー・コレクターでは「内部ソース」と呼ばれます。通常の「内部」タイプの収集は、トラフィック・レートに基づいて容量を変える専用のコレクション・アプライアンス( 1101, 12xx, 13xx )が必要になります。これらのソースは、QRadar フロー・コレクターのモニタリング・ポートに RAW パケット・データを提供することにより、これらのパケットが「フロー・レコード」内に列挙します。QRadar はパケット・ペイロード全体を保持しませんが、最初の数パケットから通信の始まりのパケットを含む各「フロー」のスナップショットをキャプチャーすることができます。これは「ペイロード」または「コンテンツ・キャプチャー」と呼ばれます。
Qflow は、ルーターや他のネットワーク・デバイス、または「外部ソース」と呼ばれるものからのセッション情報やフロー情報を処理することもできます。サポートされるフォーマットは、Cisco NetFlow ( v5、v7、v9 )、IPFIX、JFlow および sflow です。また、外部ソースである Packeteer からのセッション情報もサポートしますが、パケット・ペイロードも含まれています。外部ソースは専用のフロー・コレクターに送信できますが、「フロー・プロセッサー」( 17xx アプライアンス ) にも送信することができます。これは、フローを作成するのにすべてのパケットを処理していないため、「外部」ソースが処理するために CPU 使用率をそれほど必要としないことが理由です。この構成では、顧客は専用のフロー・コレクターとフロー・プロセッサー(フロー・データの受信と作成の両方)を持つことができます。小規模環境( 50Mbps 未満)では、単体の QRadar アプライアンスがすべてのデータ処理を実行する場合があります。
イベント・データとネットワーク・データの主な相違点の 1 つとして、通常、特定のアクションのログであるイベントが単一で発生し、完了するという点です。対照的にフローは、セッション内のアクティビティーに応じて、残りの秒数、分、時間、または日にちのライフ・スパンを持つことができます。例えば、映画の長さによっては、Web リクエストは複数のファイル、画像、広告などを引き下げたり、残り 5 - 10 秒または Netflix の映画を視聴するユーザーが何時間も続けてそのセッションを持つことができます。
フローの詳細については、https://www.securitylearningacademy.com/enrol/index.php?id=4863 を参照してください。
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000CbXhAAK","label":"QRadar-\u003EFlows-\u003EFlow Sources"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3;7.4","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
26 May 2022
UID
ibm16537014