IBM QRadar Network Threat Analytics

IBM® QRadar® Network Threat Analytics analyse les flux de réseau existants afin de déterminer le type et la fréquence du trafic de flux normal sur votre réseau. Le résultat de ce processus est une version de référence du réseau qui contient des informations sur les flux et les attributs de flux qui existent actuellement sur le système. L'application utilise la version de référence du réseau comme indicateur du trafic de flux qui est considéré comme typique dans votre réseau.

Zones de version de référence

Le tableau suivant présente les attributs analysés. Les attributs sont regroupés en catégories, qui sont utilisées dans le graphique Score d'analyse par catégorie de la page Détails de la recherche .

Les attributs qui sont analysés pour créer la version de référence du réseau sont différents, en fonction du logiciel installé. Les attributs de flux QRadar sont toujours analysés, mais lorsque QRadar Network Insights est installé, davantage de données sont disponibles pour l'analyse.

Tableau 1. Attributs de flux analysés par QRadar Network Threat Analytics, regroupés par catégorie
Catégorie Attributs de flux QRadar Attributs de flux QRadar Network Insights

Source
  • IP source
  • Réseau source
  • Sous-réseau source Nouveau dans 1.2.0

  • TLS JA3 hash modifié dans 1.2.0

Destination
  • IP de destination
  • Nom du réseau cible
  • Sous-réseau de destination Nouveau dans 1.2.0

  • Serveur HTTP Nouveau dans 1.2.0

  • JA3S hash TLS modifié dans 1.2.0

Taux source
  • Octets source accumulés
  • Octets source
  • Paquets source
  • Durée du flux Nouveau dans 1.2.0

Non applicable

Taux cible
  • Octets de destination accumulés
  • Octets cible
  • Paquets cible

Non applicable

Ratio source/cible
  • Appariement des octets source aux octets cible
  • Appariement de paquets source aux paquets cible

Non applicable

Protocole et application
  • ID d'application
  • Indicateurs de destination
  • Port de destination
  • ID du protocole
  • Indicateurs source
Nouveau dans 1.2.0 (tous les attributs)

  • Nom du protocole d'application

  • Mécanisme d'authentification

  • Type de contenu

  • Nom de domaine DNS

  • Type de requête DNS

  • Code de réponse DNS

  • Code de réponse FTP

  • Code de réponse HTTP

  • Nom principal du client Kerberos

  • Algorithme de chiffrement Kerberos

  • Domaine Kerberos

  • Nom principal du serveur Kerberos

  • Dernier proxy IPv4

  • Dernier proxy IPv6

  • Version du protocole

  • Niveau de chiffrement RDP

  • Méthode de chiffrement RDP

  • Mode TFTP

  • Statut TFTP

X.509

Non applicable

  • Version du certificat x509

  • Algorithme de signature du certificat x509

  • X509 nom usuel de l'émetteur de certificat Nouveau dans 1.2.0

  • Algorithme de clé publique de certificat x509 Nouveau dans 1.2.0

  • X509 certificate public key size Nouveau dans 1.2.0

  • X509 certificate to-be-signed signature algorithm Nouveau dans 1.2.0

  • x509 nom de l'émetteur du certificat Nouveau dans 1.2.0

SSL/TLS

Non applicable
  • Algorithme de cryptographie SSL/TLS
  • Méthode de compression SSL/TLS
  • Version SSL/TLS
  • Couche d'application TLS

Fichier

Non applicable
  • Entropie du fichier
  • Taille de fichier

Sans catégorie
  • Direction du flux

Non applicable