Segmentación en dominios

Los dominios son grupos virtuales que se utilizan para separar los datos basándose en el origen de los datos. La segmentación de la red en distintos dominios ayuda a garantizar que la información relevante esté disponible solo para aquellos usuarios que la necesiten, lo que le ayuda a crear un entorno multiarrendatario.

Para asegurarse de que el tráfico en una interfaz de red específica se segmenta a partir de otro tráfico de la red, puede añadir la interfaz de red a un dominio. La interfaz debe configurarse como un origen de flujo antes de que aparezca en la ventana Configuración de dominio .

Importante: Novedades en 7.5.0

QRadar Network Insights da soporte a la segmentación del tráfico entre varios orígenes de flujo sólo si estos orígenes de flujo están configurados para dominios separados, o si forman parte de nodos NUMA separados.

Las interfaces de red aparecen como un origen de flujo en la ventana de configuración de dominio.
Tenga en cuenta la siguiente información cuando planifique la segmentación de dominio en el despliegue:
  • Para las instalaciones que utilizan una tarjeta Napatech, todos los puertos de la interfaz napatech0 se tratan como una única interfaz agregada.
  • Puede recibir flujos de una pulsación de red si ambas mitades de la pulsación están conectadas a puertos de interfaz de red en el mismo nodo NUMA.
  • Para los flujos agregados entre varios orígenes de flujo, el campo Interfaz de flujo muestra la interfaz que observó por primera vez la sesión de flujo.

Direcciones IP solapadas

Si el despliegue de QRadar Network Insights supervisa segmentos de red que tienen direcciones IP solapadas, debe utilizar la capacidad de segmentación de dominio para asegurarse de que el tráfico permanece segmentado por los orígenes de flujo de entrada. Si no utiliza dominios, el tráfico que se recibe en Intel o las interfaces de red virtuales en el mismo nodo NUMA se agregan conjuntamente.

Dentro de un único dominio, los orígenes de flujo se agregan en función de las siguientes propiedades de flujo coincidentes:
  • Dirección IP
  • Puertos (TCP/UDP)
  • Protocolo
  • ID de VLAN
  • Identificador de VXLAN

Si los dominios se configuran basándose en el origen de flujo, QRadar Network Insights se asegura de que se generen distintos ID de flujo para distintos dominios. Este proceso garantiza que el proceso de QRadar QFlow no vuelva a agregar las direcciones IP solapadas.