Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Novos recursos e aprimoramentos no JSA 7.5.0

Para usuários de JSA, o JSA 7.5.0 apresenta maior visibilidade do tráfego de fluxo, bem como melhorias de desempenho e estabilidade.

Processamento multi-threaded para fontes de fluxo externas

Alterado no pacote de atualização 7.5.0 1

Como parte de melhorias contínuas no pipeline de fluxo, o serviço de processamento de fluxo do Flow Processor agora oferece suporte a processamento multi-threaded para fontes de fluxo externas, como IPFIX, NetFlow V9 e fontes de fluxo QRadar Network Insights.

O JSA 7.5.0 introduziu processamento multi-threaded nas fases de recebimento, análise e normalização ao processar fontes de fluxo externas.

Com base nessas melhorias, o JSA 7.5.0 Update Pack 1 introduz processamento multi-threaded para análise, envio e coleta de fluxos dentro do serviço de processamento de fluxo do Processador de Fluxo.

Agora, todo o serviço de processamento de fluxo de processador de fluxo de ponta a ponta usa processamento multi-threaded. O desempenho do processo de processador de fluxo é melhorado, o que permite que a JSA processe mais fluxos.

O processamento multi-threaded é ativado por padrão, e o número de threads é determinado automaticamente com base nos recursos do dispositivo.

Verificação de números de sequência

Novidade no pacote de atualização 7.5.0

Agora que todas as fases do serviço de processamento de fluxo do Processador de Fluxo usam processamento multi-threaded, a JSA pode usar a verificação de números de sequência para detectar quando as mensagens são descartadas. Mensagens perdidas podem indicar que algo está errado em sua rede, como um exportador de fluxo defeituoso, uma rede perdida ou uma injeção de pacotes na rede por um invasor.

No Pacote de atualização JSA 7.5.0 1, os números de sequência ausentes são relatados apenas uma vez por minuto para garantir que os pacotes tenham tempo de preencher lacunas nas faixas de sequência. Os números de sequência perdidos são relatados no arquivo /var/log/qradar.log .

Suporte para campos de tradução de endereços de rede

A JSA agora pode receber informações de tradução de endereços de rede (NAT) dos registros de fluxo de IPFIX e NetFlow V9.

Os seguintes campos de NAT são suportados no JSA 7.5.0:

  • postNATSourceIPv4Address (IANA Element ID 225)

  • pós-NATDestinaçãoIPv4Address (Elemento IANA ID 226)

  • postNAPTSourceTransport (IANA Element ID 227)

  • pósNAPTDestinationTransport (IANA Element ID 228)

Os novos campos são categorizados sob dados de fluxo na janela de informações de fluxo . Você pode usá-los em filtros, pesquisas e regras.

Para obter mais informações sobre os campos suportados para fontes de fluxo JSA, veja o capítulo de monitoramento da atividade de rede no Guia de usuários do Juniper Secure Analytics.

Novos algoritmos de determinação de aplicativos

Agora você pode ver mais informações sobre o algoritmo de identificação de aplicativos que é usado para fluxos QRadar Network Insights.

O algoritmo QNI Inspectors (9) é removido nesta versão. Ela é substituída pelos seguintes novos algoritmos:

  • Heurística da porta QNI (11)

    Esse algoritmo é usado quando o QRadar Network Insights identifica o aplicativo com base na heurística da porta. Ela representa o menor grau de confiança na determinação do aplicativo.

  • Dados iniciais de QNI (12)

    Esse algoritmo é usado quando o QRadar Network Insights identifica o aplicativo com base na análise dos dados iniciais na sessão de fluxo. Representa um médio grau de confiança.

  • Parsers QNI (13)

    Esse algoritmo é usado quando o QRadar Network Insights está confiante em determinar o aplicativo com base nos dados disponíveis.

Você pode ver as informações no campo algoritmo de determinação de aplicativos na janela de informações de fluxo .

Para obter mais informações sobre a identificação de aplicativos de fluxo, consulte o Guia de usuários do Juniper Secure Analytics.

Suporte para mais campos a partir de logs de fluxo de VPC AWS

A JSA agora pode mostrar mais informações dos logs de fluxo da Versão 3 do Amazon Web Services (AWS) virtual Private Cloud (VPC).

O JSA 7.5.0 apresenta suporte para os seguintes campos:

  • VPC ID
  • ID da sub-rede
  • ID de instância

Quando um registro de fluxo de IPFIX inclui esses campos, o JSA mostra as informações na página de Detalhes de Fluxo sob a categoria Nuvem .

Para obter mais informações sobre a visualização de dados de fluxo de AWS, consulte o Guia de usuários do Juniper Secure Analytics.

Mais melhorias

O JSA 7.5.0 também inclui os seguintes aprimoramentos:

  • Na janela de gerenciamento de componentes (Admin > System and License Management > Editar Host), o campo de autodetecção da Alias é renomeado para busca de DNS para Alias Autodetection.

  • O algoritmo de direção de fluxo agora é aplicado no início do processo de análise de fluxo.

    Essa mudança garante que a porta de destino seja determinada antes que a captura de conteúdo da carga ocorra para que a quantidade de carga capturada sempre corresponda à configuração na configuração comum da porta de destino.

  • Apenas os campos IPFIX relevantes estão codificados na carga.

    O método de codificação padrão para alguns campos de IPFIX mudou, e eles não são mais apensados à carga útil. Agora, eles são adicionados ao fluxo como elementos de comprimento de tipo de valor (TLV).

  • Você não pode excluir a categoria não categorizada para campos de fluxo com tags do seu sistema.