Use a janela Fontes de Fluxos para gerenciar as fontes de fluxos em sua implementação.
É possível incluir, editar, ativar, desativar ou excluir fontes de fluxos.
Conceitos relacionados:
Capítulo 12, “Gerenciamento de fonte de fluxos”
Use a janela Fontes de Fluxos para gerenciar as fontes de fluxos em sua implementação.
Fontes de Fluxo
Para IBM Security QRadar dispositivos, IBM Security QRadar SIEM
automaticamente são adicionados fonte de fluxos para portas físicas no dispositivo. QRadar SIEM também incluem uma fonte de fluxo padrãoNetFlow.
Se QRadar SIEM for instalado em seu próprio hardware, QRadar SIEM tentará automaticamente detectar e incluir origens de fluxo padrão para quaisquer dispositivos físicos, como uma placa de interface de rede (NIC). Além disso, quando você designar um QRadar QFlow Collector, QRadar SIEM inclui um padrão, NetFlow e fluxo de origem.
Com o QRadar SIEMQRadar SIEM você pode integrar origens de fluxo. Fluxo de fontes são classificados como, interna ou externa:
fontes de fluxo internos
Inclui qualquer hardware adicional que são instalados em um host gerenciado, como uma placa da interface de rede (NIC). Dependendo da configuração de hardware do host gerenciado, o fluxo interno de origens podem incluir as seguintes origens:
v Placa da interface de rede
v placa da interface de monitoramento de rede Endace
v Interface Napatech
fluxo de origens externas
Não inclui nenhum fluxo de origens externas que enviam os fluxos de mensagens para o QRadar QFlow Collector. Se o QRadar QFlow Collector recebe várias origens de fluxo, você pode atribuir cada fonte de fluxo um nome distinto. Quando o fluxo de dados externos é recebido pelo mesmo QRadar QFlow Collector, um nome distinto ajuda a distinguir os dados de origem de fluxo externo uns dos outros.
fluxo de origens externas pode incluir as seguintes origens:
v NetFlow v IPFIX v sFlow v J-Flow v PacketeerPacketeer v Flowlog arquivo
QRadar SIEM pode encaminhar fluxos de dados externos de origem utilizando o spoofing ou não spoofing de método:
Spoofing
Reenvia os dados de entrada que é recebida a partir de fontes de fluxo para um destino secundário. Para garantir que os dados de origem de fluxo são enviadas para um destino secundário, configure o parâmetro
Interface de Monitoramentona configuração de fonte de fluxo para a porta na qual os dados são recebidos (porta de gerenciamento). Quando você utiliza uma interface específica, o QRadar QFlow Collector utiliza uma captura de modo promíscuo para obter dados de fonte de fluxo, em vez de a porta de atendimento do UDP padrão na porta 2055. Como resultado, QRadar QFlow Collector pode capturar os pacotes fonte de fluxo e redirecionar os dados.
Não-Spoofing
Para não spoofing de método, configure o parâmetro Interface de
Monitoramento na configuração de fonte de fluxo como Quaisquer. O QRadar QFlow Collector abre a porta de atendimento, que é a porta que está configurado como o de Monitoramento de Porta para aceitar dados da origem do fluxo. Os dados são processadas e encaminhados para outro destino de fonte de fluxo. O endereço de IP de origem no fna fonte de fluxo torna o endreço de do sistema QRadar SIEM, não o roteador original que enviou os dados.
NetFlow
NetFlow é uma tecnologia proprietária de contabilidade que é desenvolvida pela Cisco Systems. NetFlow monitora os fluxos de tráfego por meio de um comutador ou roteador, interpreta o cliente, servidor, o protocolo e a porta que é utilizada, conta o número de bytes e pacotes, e envia esses dados para um coletor. NetFlow O processo de envio de dados do NetFlow é, geralmente referida ao exportador de dados NetFlow(NDE). É possível configurar o IBM Security QRadar SIEM para acessar os NDEs e assim, tornar o NetFlow um coletor. QRadar SIEMsuporte NetFlow versões 1, 5, 7, e 9. Para obter informações adicionais em
NetFlow,consulte o web site Cisco ( http://www.cisco.com).
Enquanto expandir a NetFlowquantia de rede que é monitorada, NetFlow use uma conexão de baixo protocolo (UDP) para entregar NDEs. Após um NDE ser enviado a partir de um comutador ou roteador, o NetFlow registro será limpo. Como UDP é utilizado para enviar estas informações e não garante o fornecimento dos dados, NetFlow inexacta a gravação de registros e recursos de alerta reduzida.
Apresentações inexatas de ambos os volumes de tráfego e fluxos bidirecionais podem resultar.
Quando você configura uma fonte de fluxo externo para NetFlow, você deve executar as seguintes tarefas:
v Certifique-se de que as regras de firewall apropriadas estejam configuradas. Se
você alterar seu parâmetro Porta de Monitoramento de Fonte de Fluxo Externo na configuração QRadar QFlow Collector, você também deverá atualizar a sua configuração de acesso do firewall.
v Certifique-se de que as portas apropriadas são configurados para seu QRadar
QFlow Collector.
Se você estiver utilizando a versão NetFlow 9, certifique-se de que o NetFlow modelo do NetFlow de origem inclui os seguintes campos:
v FIRST_SWITCHED v LAST_SWITCHED v PROTOCOL v IPV4_SRC_ADDR v IPV4_DST_ADDR v L4_SRC_PORT v L4_DST_PORT v IN_BYTES ou OUT_BYTES v IN_PKTS ou OUT_PKTS
v TCP_FLAGS (apenas fluxos de TCP)
Conceitos relacionados:
Capítulo 11, “Editor de implementação”, na página 117
Use o editor de implementação para gerenciar os componentes individuais do seu QRadar. Após a configuração de sua implementação, é possível acessar e
configurar os componentes individuais de cada host gerenciado em sua implementação.
IPFIX
O protocolo da internet de Fluxo de informações de exportação (IPFIX) é uma tecnologia de contabilidade. IPFIX monitora os fluxos de tráfego por meio de um comutador ou roteador, interpreta o cliente, o servidor, o protocolo e a porta que é utilizada, conta o número de bytes e pacotes, e envia esses dados para um coletor IPFIX.
IBM Security Network Protection XGS 5000, uma nova geração de sistema de proteção e intrusão (IPS), e um exemplo de dispositivo que envia fluxo de dados em um formato IPFIX.
O processo de envio de dados IPFIX é freqüentemente referido como um Exportar Dados NetFlow (NDE). IPFIX providencia mais fluxos de informação, mais fundos na percepção do que o NetFlow v9. Você pode aceitar configurar o IBM Security QRadar SIEM para NDEs e, portanto, se tornar um coletor IPFIX. IPFIX utiliza o UDP (User Datagram Protocol) para entregar NDEs. Após um NDE ser enviado a partir do dispositivo de redirecionamento IPFIX, o registro IPFIX pode ser limpo. Para configurar o QRadar SIEM para aceitar o fluxo do tráfego IPFIX, você deve incluir um NetFlow fluxo de origem. A NetFlow fonte de fluxo processa os fluxos IPFIX mensagens usando o mesmo processo.
O fluxo de orígem QRadar SIEM do sistema pode incluir um padrão NetFlow; portanto, você não pode ser requisitado a configurar um NetFlow fluxo de origem. Para confirmar que o seu sistema inclui um NetFlow fluxo de origem padrão, selecione as fontes de fluxo Admin > . Se default_Netflow está listado na lista de fonte de fluxo, IPFIX já está configurado.
Ao configurar uma fonte de fluxo externo para IPFIX, você deve executar as seguintes tarefas:
v Certifique-se de que as regras de firewall apropriadas estejam configuradas. Se
você alterar seu parâmetro Porta de Monitoramento de Fonte de Fluxo Externo na configuração QRadar QFlow Collector, você também deverá atualizar a sua
configuração de acesso do firewall. Para obter informações adicionais sobre a configuração QRadar QFlow Collector , consulte o Guia de Administração do IBM
Security QRadar SIEM.
v Assegure-se de que as portas apropriadas são configurados para seu QRadar
QFlow Collector.
v Verifique se o modelo IPFIX da origem IPFIX inclui os seguintes campos:
v FIRST_SWITCHED v LAST_SWITCHED v PROTOCOL v IPV4_SRC_ADDR v IPV4_DST_ADDR v L4_SRC_PORT v L4_DST_PORT v IN_BYTES ou OUT_BYTES v IN_PKTS ou OUT_PKTS
v TCP_FLAGS (apenas fluxos de TCP)
sFlow
sFlow é um multi-vendor e de usuário padrão para a amostragem tecnologia que permite o monitoramento contínuo do nível de aplicação dos fluxos de tráfego em todas as interfaces simultaneamente.
Um sFlow combina os contadores de interface e amostras de fluxo em datagramas sFlow que são enviados pela rede para um coletor sFlow. IBM Security QRadar SIEM sFlow suporta versões 2, 4, e 5. o tráfego sFlow é baseado em dados de amostra e, portanto, não pode representar todo o tráfego de rede. Para obter informações adicionais, consulte o sflow site (www.sflow.org).
sFlow utiliza uma conexão sem o protocolo (UDP). Quando os dados são enviados a partir de um comutador ou roteador, o registro sFlow é limpo. A UDP é usada para enviar essas informações e não garantem a entrega de dados, sFlow registra gravação imprecisa e reduzida, alertando capacidades. Apresentações inexatas de ambos os volumes de tráfego e fluxos bidirecionais podem resultar.
Ao configurar uma fonte de fluxo externo para sFlow, você deve executar as seguintes tarefas:
v Certifique-se de que as regras de firewall apropriadas estejam configuradas.
v Certifique-se de que as portas apropriadas são configurados para seu QRadar
VFlow Collector.
J-Flow
Uma tecnologia de contabilidade proprietário usado pelo Juniper Networks que permite que você colete estatísticas do fluxo de tráfego IP. J-Flow permite que você exporte dados para uma porta UDP em um coletor J-Flow. Utilizando J-Flow, você também pode ativar J-Flow em um roteador ou interface para coletar estatísticas de rede para locais específicos em sua rede. Observe que o tráfego J-Flow é baseado em dados de amostra e, portanto, não pode representar todo o tráfego de rede. Para obter informações adicionais sobre J-Flow, consulte o Website Juniper Networks (www.juniper.net).
J-Flow utiliza uma conexão sem o protocolo (UDP). Quando os dados são enviados a partir de um comutador ou roteador, o registro J-Flow está limpo. Como UDP é utilizado para enviar estas informações e não garante o fornecimento dos dados, J-Flow imprecisos a gravação de registros e recursos de alerta reduzido. Isto pode resultar em apresentações impreciso de ambos os volumes de tráfego e fluxos bidirecionais.
Ao configurar uma fonte de fluxo externo para J-Flow, você deve:
v Certifique-se de que as regras de firewall apropriadas estejam configuradas.
v Certifique-se de que as portas apropriadas são configurados para o Coletor de
QFlow.
Packeteer
Packeteerdispositivos da coleta, agregam e armazenam dados de desempenho da rede. Depois de configurar uma fonte de fluxo externo para Packeteer, é possível enviar informações do fluxo a partir de um dispositivo para Packeteer IBM Security QRadar SIEM.
Packeteerutilizam uma conexão sem protocolo (UDP). Quando os dados são enviados a partir de um comutador ou roteador, o registro será limpo. Packeteer Como UDP é utilizado para enviar essas informações e não garante o fornecimento dos dados, Packeteer inexacta a gravação de registros e recursos de alerta
reduzidos. Apresentações inexatas de ambos os volumes de tráfego e os fluxos bidirecionais podem ocorrer.
Para configurar Packeteer como uma fonte de fluxo externa, é necessário executar as seguintes tarefas:
v Certifique-se de que as regras de firewall apropriadas estejam configuradas.
v Certifique-se de que você configurar dispositivos para exportar registros de fluxo
detalhe Packeteer e configure o QRadar QFlow Collector como o destino para a exportação de dados.
v Certifique-se de que as portas apropriadas são configurados para seu QRadar
QFlow Collector.
v Assegure-se que a ID da classe dos dispositivos Packeteer d sejam
automaticamente detectadas peloQRadar QFlow Collector.
v Para obter informações adicionais, consulte o de mapeamento Technical Note
aplicativos em Packeteer QRadar .
Arquivo flowlog
Um arquivo flowlog é gerado do fluxo de log do IBM Security QRadar SIEM.
Interface Napatech
Se um adaptador de rede for instalado Napatech em seu sistema IBM Security QRadar SIEM a opção Interface Napatech é exibida como pacote baseado em fonte de fluxo na interface de usuário QRadar SIEM. O adaptador de rede Napatech fornece a próxima geração de rede programável inteligente e adaptável para sua rede. Para obter informações adicionais, consulte a documentação do Napatech .
Incluindo ou Editando uma fonte de fluxo
Utilize a janela de Fluxo de Origem para incluir uma fonte de fluxo.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados.
3. No menu de navegação, clique em Fluxos.
4. Clique em Fontes de Fluxo.
5. Execute uma das ações a seguir:
v Para incluir uma origem de fluxo, clique em Incluir .
v Para editar uma origem de fluxo, selecione a fonte de fluxo e clique em
Editar.
6. Para criar esta fonte de fluxo a partir de uma fonte de fluxo existente,
selecione a opção Construir a partir do fluxo de origem existentes caixa de opções e selecione uma fonte de fluxo a partir da lista Utilize como Modelo.
7. Insira o nome para o de Fonte de Fluxo de Name.
Dica: Se a origem do fluxo externo for um dispositivo físico, use o nome do dispositivo como nome de fonte de fluxo. Se a origem do fluxo não é um dispositivo físico, utilize um nome reconhecível.
Por exemplo, se você quiser utilizar o tráfego IPFIX, digite ipf1. Se desejar utilizar o tráfego NetFlow, digite nf1.
8. Selecione uma origem de fluxo de lista Fluxo de tipo de origeme configure as
propriedades.
v Se você selecionar a opção de Flowlog de Arquivo , assegure que você
configure o local do arquivo Flowlog para o parâmetro Caminho do
Arquivo de Origem.
v Se você selecionar as opções JFlow, Netflow, Packeteer FDRou sFlow no
parâmetro Fluxo de tipo de origem,assegure que você está configurando uma porta disponível para o parâmetro Monitoramento de Porta. O padrão de porta para a primeira NetFlow fonte de fluxo é aquela configurada em sua rede como 2055 Para cada fluxo de orígem adicional NetFlow, o número da porta padrão é incrementado por 1. Por exemplo, o NetFlow fluxo de origem padrão para o segundo fluxo de origem é 2056. NetFlow
v Se você selecionar a opção Napatech Interface , digite o Interface de Fluxo
deque você deseja atribuir à origem de fluxo.
Restrição: O Napatech Interface opção é exibida somente se você tiver instalado o Napatech Network Adapter em seu sistema.
v Se você selecionar a opção Network Interface , para a configuração de
Interface de Fluxo, apenas uma origem de log para cada interface Ethernet.
Restrição: Não é possível enviar fluxo de tipos diferentes para a mesma porta.
9. Se o tráfego na rede é configurado para ter caminhos alternativos para o
tráfego de entrada e de saída, selecione a caixa de opções Ativar Fluxos
Assimétricos .
10. Clique em Salvar.
Ativando e Desativando uma Fonte de Fluxo
Utilizando a janela Fonte de Fluxo, é possível ativar ou desativar uma fonte de fluxo.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados.
3. No menu de navegação, clique em Fluxos.
4. Clique no ícone Fontes de Fluxo.
5. Selecione a fonte de fluxo que você deseja ativar ou desativar.
A coluna Ativado indica se a fonte de fluxo está ativada ou desativada. Os seguintes status são exibidos:
v True indica que a fonte de fluxo está ativada.
v False indica que a fonte de fluxo está desativada agora.
6. Clique em Ativar/Desativar.
7. No menu da guia Admin, clique em Implementar Mudanças.
Excluir uma Fonte de Fluxo
Utilize a janela Fonte de Fluxo para excluir uma fonte de fluxo.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados.
3. No menu de navegação, clique em Fluxos.
4. Clique em Fontes de Fluxo.
5. Selecione a fonte de fluxo que deseja excluir.
6. Clique em Excluir.
7. Clique em OK.
8. No menu da guia Admin, clique em Implementar Mudanças.
Fluxo de origem de aliases de gerenciamento
Você pode utilizar a janela Fonte de fluxo de Alias para configurar nomes virtuais, ou aliases, para seu fluxo de fontes.
Você pode identificar várias origens que são enviadas para o mesmo QRadar QFlow Collector , utilizando o endereço IP de origem e nome virtual. Com um alias, uma QRadar QFlow Collector pode identificar exclusivamente e o processamento de origens de dados que são enviadas para a mesma porta.
Quando QRadar QFlow Collector recebe tráfego de um dispositivo que possui um endereço IP, mas não tem um alias atual, o QRadar QFlow Collector tenta uma consulta DNS reversa. A consulta é utilizada para determinar o nome do host do dispositivo. Se a consulta for bem-sucedida, o QRadar QFlow Collector inclui essas informações no banco de dados e relata as informações para todos os componentes em sua implementação. QRadar QFlow Collector
Utilize o editor de implementação para configurar o QRadar QFlow Collector para detectar automaticamente os aliases de fonte de fluxo.
Incluindo um alias da fonte de fluxo.
Use a janela Alias da fonte de fluxo para incluir um alias da fonte de fluxo.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados.
3. No menu de navegação, clique em Fluxos.
4. Clique no ícone Aliases de Fonte de Fluxo.
5. Execute uma das ações a seguir:
v Para incluir um alias da fonte de fluxo, clique em Incluir e digite os valores
para os parâmetros.
v Para editar um alias da fonte de fluxo existente, selecione o alias da fonte de
fluxo, clique em Editar e atualize os parâmetros.
6. Clique em Salvar.
7. No menu da guia Admin, clique em Implementar Mudanças.
Excluindo um Alias de Fonte de Fluxo
Utilize a janela Alias de Fonte de Fluxo para excluir um alias de fonte de fluxo.
Procedimento
1. Clique na guia Admin.
2. No menu de navegação, clique em Origens de Dados.
3. No menu de navegação, clique em Fluxos.
4. Clique no ícone Aliases de Fonte de Fluxo.
5. Selecione o alias de fonte de fluxo que você deseja excluir.
6. Clique em Excluir.
7. Clique em OK.