Segmentacja domen
Domeny to wirtualne wiadra, które są używane do oddzielania danych w oparciu o źródło danych. Segmentowanie sieci w różnych domenach pomaga w zapewnieniu, że odpowiednie informacje są dostępne tylko dla tych użytkowników, którzy go potrzebują, pomagając w budowaniu środowiska wielodostępnego.
Aby zapewnić, że ruch w określonym interfejsie sieciowym jest segmentowany z innego ruchu w sieci, można dodać interfejs sieciowy do domeny. Interfejs musi być skonfigurowany jako źródło przepływu przed jego wyświetleniem w oknie Konfiguracja domeny .
Produkt QRadar® Network Insights obsługuje segmentację ruchu w wielu źródłach przepływu tylko wtedy, gdy te źródła przepływu są skonfigurowane dla oddzielnych domen, lub są częścią oddzielnych węzłów NUMA.
- W przypadku instalacji, które korzystają z karty Napatech, wszystkie porty w interfejsie napatech0 są traktowane jako jeden zagregowany interfejs.
- Przepływy z kranu sieciowego można odbierać, jeśli obie połowy kranu są połączone z portami interfejsu sieciowego na tym samym węźle NUMA.
- W przypadku przepływów, które są agregowane w wielu źródłach przepływu, w polu Interfejs przepływu wyświetlany jest interfejs, który po raz pierwszy zaobserwował sesję przepływu.
Nakładające się adresy IP
Jeśli wdrożenie produktu QRadar Network Insights monitoruje segmenty sieci, które mają nakładające się adresy IP, należy użyć funkcji segmentacji domeny, aby zapewnić, że ruch jest podzielony na segmenty przez źródła przepływu danych wejściowych. Jeśli domeny nie są używane, ruch przychodzący na Intel lub interfejsy sieci wirtualnej w tym samym węźle NUMA jest agregowany razem.
- Adres IP
- Porty (TCP/UDP)
- Protokół
- Identyfikatory VLAN
- Identyfikator VXLAN
Jeśli domeny są skonfigurowane w oparciu o źródło przepływu, produkt QRadar Network Insights zapewnia generowanie różnych identyfikatorów przepływu dla różnych domen. Ten proces zapewnia, że nakładające się adresy IP nie są agregowane z powrotem przez proces QRadar QFlow .