NetFlow

NetFlow ist eine proprietäre Buchhaltungstechnologie, die von Cisco Systemsentwickelt wird. NetFlow überwacht Datenflüsse über einen Switch oder Router und interpretiert den verwendeten Client, Server, Protokoll und Port. Außerdem wird die Anzahl der Byte und Pakete gezählt und diese Daten werden an einen NetFlow -Collector gesendet.

Der Prozess zum Senden von Daten aus NetFlow wird häufig als NetFlow -Datenexport (NDE) bezeichnet.

IBM QRadar akzeptiert NetFlow -Datenexporte (NDE), sodass sie als NetFlow -Collector fungiert. QRadar unterstützt NetFlow Version 1, 5, 7 und 9.

Während NetFlow den Umfang des überwachten Netzes erweitert, verwendet es ein verbindungsloses Protokoll (UDP) für die Zustellung von NDEs. Nachdem eine NDE von einem Switch oder Router gesendet wurde, wird der NetFlow -Datensatz gelöscht. UDP kann die Übermittlung von Daten nicht gewährleisten. Daher kann es bei einer NetFlow -Datenflussquelle zu ungenauen Darstellungen des Verkehrsaufkommens und der bidirektionalen Datenflüsse sowie zu verringerten Alertfunktionen kommen.

Weitere Informationen zu NetFlowfinden Sie auf der Cisco-Website (http://www.cisco.com).

NetFlow -Datenflussquellenkonfiguration

Wenn Sie eine externe Datenflussquelle für NetFlowkonfigurieren, müssen Sie die folgenden Tasks ausführen:
  • Stellen Sie sicher, dass die entsprechenden Firewallregeln konfiguriert sind.

    Wenn Sie den Parameter Überwachungsport für externe Datenflussquelle in der Konfiguration des Datenflusskollektors ändern, müssen Sie auch Ihre Firewallzugriffskonfiguration aktualisieren.

  • Stellen Sie sicher, dass die entsprechenden Ports für Ihren Datenflusscollectorkonfiguriert sind.

Vorlage für NetFlow -Datenflussquelle

IBM schlägt vor, dass mindestens die folgenden Felder in die NetFlow -Datenflussquellenvorlage eingeschlossen werden:
  • FIRST_SWITCHED
  • LAST_SWITCHED
  • PROTOCOL
  • IPV4_SRC_ADDR
  • IPV4_DST_ADDR
  • L4_SRC_PORT
  • L4_DST_PORT
  • IN_BYTES oder OUT_BYTES
  • IN_PKTS oder OUT_PKTS
  • TCP_FLAGS (nur TCP-Datenflüsse)

Unterstützte Felder

In den folgenden Listen werden einige der Feldtypen gezeigt, die für NetFlow-Datenflussquellen unterstützt werden.

VLAN-Felder
Die folgenden VLAN-Felder werden für NetFlow unterstützt:
  • vlanId (IANA-Element-ID 58)
  • postVlanId (IANA-Element-ID 59)
  • dot1qVlanId (IANA-Element-ID 243)
  • dot1qPriority (IANA-Element-ID 244)
  • dot1qCustomerVlanId (IANA-Element-ID 245)
  • dot1qCustomerPriority (IANA-Element-ID 246)
  • postDot1qVlanId (IANA-Element-ID 254)
  • postDot1qCustomerVlanId (IANA-Element-ID 255)
  • dot1qDEI (IANA-Element-ID 388)
  • dot1qCustomerDEI (IANA-Element-ID 389)
MAC-Adressfelder
Die folgenden MAC-Adressfelder werden für NetFlow unterstützt:
  • sourceMacAddress (IANA-Element-ID 56)
  • postDestinationMacAddress (IANA-Element-ID 57)
  • DestinationMacAddress (IANA-Element-ID 80)
  • postSourceMacAddress (IANA-Element-ID 81)
Weitere Informationen zu jedem Feld finden Sie in der IANA-Informationselementzuordnung unter IP Flow Information Export (IPFIX) Entities (https://www.iana.org/assignments/ipfix/ipfix.xhtml).