Línea base de red de IBM QRadar Network Threat Analytics

IBM® QRadar® Network Threat Analytics analiza los flujos de red existentes para determinar el tipo y la frecuencia del tráfico de flujo normal en la red. El resultado de este proceso es una línea base de red que contiene información sobre los flujos y atributos de flujo que existen actualmente en el sistema. La app utiliza la línea base de red como indicador del tráfico de flujo que se considera típico en la red.

Campos de línea base

La tabla siguiente muestra los atributos que se analizan. Los atributos se agrupan en categorías, que se utilizan en el gráfico Puntuación de análisis por categoría en la página Detalles de búsqueda .

Los atributos que se analizan para crear la línea base de red son diferentes, en función del software que se instale. Los atributos de flujo de QRadar siempre se analizan, pero cuando se instala QRadar Network Insights , hay aún más datos disponibles para el análisis.

Tabla 1. Atributos de flujo analizados por QRadar Network Threat Analytics, agrupados por categoría
Categoría Atributos de flujo de QRadar Atributos de flujo de QRadar Network Insights

source
  • IP de origen
  • Red de origen
  • Subred de origen Novedad en 1.2.0

  • TLS JA3 hash Cambiado en 1.2.0

Destino
  • IP de destino
  • Nombre de red de destino
  • Subred de destino Novedad en 1.2.0

  • Servidor HTTP Nuevo en 1.2.0

  • TLS JA3S hash Cambiado en 1.2.0

Velocidad de origen
  • Bytes de origen acumulados
  • Bytes de origen
  • Paquetes de origen
  • Duración de flujo Novedad en 1.2.0

No aplicable

Velocidad de destino
  • Bytes de destino acumulados
  • Bytes de destino
  • Paquetes de destino

No aplicable

Relación de origen a destino
  • Emparejamiento de bytes origen con bytes de destino
  • Emparejamiento de paquetes de origen con paquetes de destino

No aplicable

Protocolo y aplicación
  • ID de aplicación
  • Distintivos de destino
  • Puerto de destino
  • ID de protocolo
  • Distintivos de origen
Novedades en 1.2.0 (todos los atributos)

  • Nombre de protocolo de aplicación

  • Mecanismo de autenticación

  • Tipo de contenido

  • Nombre de dominio de DNS

  • Tipo de solicitud de DNS

  • Código de respuesta de DNS

  • Código de respuesta de FTP

  • Código de respuesta HTTP

  • Nombre principal de cliente Kerberos

  • Suite de cifrado de Kerberos

  • Dominio de Kerberos

  • Nombre principal de servidor Kerberos

  • Último proxy IPv4

  • Último proxy IPv6

  • Versión de protocolo

  • Nivel de cifrado de RDP

  • Método de cifrado de RDP

  • Modalidad TFTP

  • Estado de TFTP

X.509

No aplicable

  • Versión del certificado X509

  • Algoritmo de firma del certificado X509

  • X509 nombre común del emisor del certificado Novedad en 1.2.0

  • x509 algoritmo de clave pública de certificado Novedad en 1.2.0

  • X509 tamaño de clave pública de certificado Nuevo en 1.2.0

  • X509 algoritmo de firma de certificado a firmar Novedad en 1.2.0

  • x509 nombre de emisor de certificado Novedad en 1.2.0

SSL/TLS

No aplicable
  • Suite SSL/TLS Cipher
  • Método de compresión SSL/TLS
  • Versión de SSL/TLS
  • Capa de aplicación TLS

Archivo

No aplicable
  • Entropía de archivo
  • Tamaño de archivo

Sin clasificar
  • Dirección de flujo

No aplicable