- play_arrow O que há de novo para usuários JSA
- play_arrow Recursos em seu produto JSA
- play_arrow Gerenciamento de painéis
- Gerenciamento de painéis
- Painéis padrão
- Painéis personalizados
- Criação de um painel personalizado
- Usando o painel para investigar logs ou atividades de rede
- Configuração de tipos de gráficos de painel
- Removendo itens do painel
- Desprendimento de um item de painel
- Renomeando um painel
- Exclusão de um painel
- Gerenciamento de notificações do sistema
- Incluir itens de painel baseados em pesquisa na lista de itens adicionais
- play_arrow Fluxo de trabalho de analistas da QRadar
- Fluxo de trabalho de analistas da QRadar
- O que há de novo no fluxo de trabalho de analistas da QRadar
- Problemas conhecidos
- Instalação da versão independente
- Removendo a versão independente
- Instalação da versão do aplicativo UBI
- Ofensas
- Consulta de dados de eventos e fluxos para encontrar ofensas específicas
- Pesquisa com o construtor de consultas visuais
- Eventos
- play_arrow Gerenciamento de ataques
- play_arrow Log Activity Investigation
- play_arrow Gerenciamento de ativos
- play_arrow Gerenciamento de gráficos
- play_arrow Pesquisas de eventos e fluxos
- Pesquisas de eventos e fluxos
- Pesquisas de ataque
- Encontrar IOCs rapidamente com uma pesquisa preguiçosa
- Exclusão de critérios de pesquisa
- Usando uma subsearch para refinar os resultados de pesquisa
- Gerenciamento dos resultados de pesquisa
- Gerenciamento de grupos de pesquisa
- Exemplo de pesquisa: relatórios diários de funcionários
- play_arrow Propriedades personalizadas de eventos e fluxos
- Propriedades personalizadas de eventos e fluxos
- Criação de uma propriedade personalizada
- Modificação ou exclusão de uma propriedade personalizada
- Definir propriedades personalizadas usando expressões de propriedade personalizadas
- Caso de uso: Crie um relatório que use dados de eventos que não sejam normalizados
- play_arrow Regras
- Regras personalizadas no JSA
- Regras personalizadas
- Criação de uma regra personalizada
- Configuração de um evento ou fluxo como falso positivo
- Regras de detecção de anomalias
- Configurando uma resposta de regra para adicionar dados a uma coleta de dados de referência
- Edição de blocos de construção
- Visualização de desempenho de regras
- play_arrow Correlação histórica
- play_arrow Integração X-Force da Juniper Networks
- play_arrow Gerenciamento de relatórios
- Gerenciamento de relatórios
- Layout do relatório
- Tipos de gráficos
- Barra de ferramentas de guia de relatório
- Tipos de gráfico
- Criação de relatórios personalizados
- Edição de um relatório
- Visualização de relatórios gerados
- Exclusão de conteúdo gerado
- Gerando manualmente um relatório
- Duplicação de um relatório
- Compartilhamento de um relatório
- Relatórios de marca
- Grupos de relatório
Fontes de fluxo
A JSA pode receber fluxos de muitos tipos diferentes de fontes de fluxo. As fontes de fluxo são classificadas como internas ou externas.
Fontes de fluxo internas
As fontes de fluxo internas coletam pacotes brutos de um dispositivo de toque de rede ou de uma porta de extensão ou espelho conectada a uma placa de interface de rede. Essas fontes fornecem dados brutos de pacotes conforme eles aparecem na rede e os enviam para uma porta de monitoramento em um processador de fluxo JSA, que converte os dados do pacote em registros de fluxo.
As fontes de fluxo internas podem ser lidas por vários tipos. A JSA não mantém toda a carga de pacotes. Em vez disso, captura apenas alguns dos pacotes desde o início da comunicação. Este instantâneo é referido como a captura de carga ou conteúdo.
Fontes de fluxo externas
A JSA também oferece suporte a fontes de fluxo externas, como roteadores que enviam protocolos comuns de monitoramento de rede, como NetFlow, IPFIX, sFlow J-Flow e dados Packeteer .
Essas fontes de fluxo externas podem fornecer um nível de visibilidade diferente das fontes de fluxo internas. Por exemplo, os registros do NetFlow podem fornecer tanto a interface do roteador que os pacotes cruzaram, quanto os números recordes de ASN da rede de origem. Ao usar o IPFIX, campos adicionais que não são analisados em campos normalizados podem ser colocados na carga como pares de valor de nome, que podem então ser usados como propriedades personalizadas.
Fontes externas não exigem tanta utilização de CPU para processar, para que você possa enviar diretamente a um processador de fluxo. Nesta configuração, você pode ter um processador de fluxo dedicado, tanto recebendo quanto criando dados de fluxo.
Netflow
NetFlow é uma tecnologia de contabilidade proprietária desenvolvida pela Cisco Systems. O NetFlow monitora fluxos de tráfego por um switch ou roteador e interpreta o cliente, servidor, protocolo e porta que é usado. Ele também conta o número de bytes e pacotes, e envia esses dados para um coletor de NetFlow .
O processo de envio de dados do NetFlow é frequentemente referido como uma Exportação de Dados de NetFlow (NDE).
A JSA aceita as exportações de dados de netflow (NDE) para que funcione como um coletor de NetFlow. O JSA oferece suporte às versões NetFlow 1, 5, 7 e 9.
Embora o NetFlow expanda a quantidade da rede que é monitorada, ela usa um protocolo sem conexão (UDP) para fornecer NDEs. Depois que um NDE é enviado de um switch ou roteador, o registro do NetFlow é eliminado. O UDP não garante a entrega de dados. Como resultado, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar com uma fonte de fluxo de NetFlow .
Para obter mais informações sobre o NetFlow, consulte o site da Cisco.
- Configuração da fonte de fluxo de rede
- Modelo de fonte de fluxo de rede
- Campos com suporte
- Campos de endereço MAC
Configuração da fonte de fluxo de rede
Ao configurar uma fonte de fluxo externa para o NetFlow, você deve fazer as seguintes tarefas:
Certifique-se de que as regras de firewall apropriadas estejam configuradas.
Se você alterar seu parâmetro de porta de monitoramento de fonte de fluxo externo na configuração do processador de fluxo , você também deve atualizar sua configuração de acesso de firewall.
Certifique-se de que as portas apropriadas estejam configuradas para o seu processador de fluxo.
Para obter mais informações, veja Configuração de um processador de fluxo.
Modelo de fonte de fluxo de rede
A Juniper sugere que, no mínimo, os seguintes campos estão incluídos no modelo de fonte de fluxo do NetFlow:
FIRST_SWITCHED
LAST_SWITCHED
PROTOCOLO
IPV4_SRC_ADDR
IPV4_DST_ADDR
L4_SRC_PORT
L4_DST_PORT
IN_BYTES ou OUT_BYTES
IN_PKTS ou OUT_PKTS
TCP_FLAGS (somente fluxos de TCP)
Campos com suporte
As listas a seguir mostram alguns dos tipos de campos que são suportados para fontes de fluxo de NetFlow.
Campos de VLAN
Os seguintes campos de VLAN são compatíveis com o NetFlow:
vlanId (Elemento IANA ID 58)
postVlanId (Elemento IANA ID 59)
dot1qVlanId (Elemento IANA ID 243)
Dot1qPriority (IANA Element ID 244)
dot1qCustomerVlanId (Elemento IANA ID 245)
Dot1qCustomerPriority (IANA Element ID 246)
postDot1qVlanId (IANA Element ID 254)
postDotqCustomerVlanId (IANA Element ID 255)
dot1qDEI (IANA Element ID 388)
dot1qCustomerDEI (IANA Element ID 389)
Campos de endereço MAC
Os seguintes campos de endereço MAC são compatíveis com o NetFlow:
fonteMacAddress (IANA Element ID 56)
pósDestinaçãoMacAddress (IANA Element ID 57)
DestinationMacAddress (Elemento IANA ID 80)
pósSourceMacAddress (IANA Element ID 81)
IPFIX
A exportação de informações de fluxo de protocolo de Internet (IPFIX) é uma tecnologia de contabilidade que monitora fluxos de tráfego por meio de um switch ou roteador. Ele interpreta o tráfego para determinar o cliente, o servidor, o protocolo e a porta que é usada. Ele também conta o número de bytes e pacotes, e envia esses dados para um coletor de IPFIX.
O processo de envio de dados IPFIX é frequentemente referido como uma Exportação de Dados de NetFlow (NDE), mas o IPFIX fornece mais informações de fluxo e insights mais profundos do que o NetFlow v9.
A JSA aceita NDEs para que ele funcione como um coletor de IPFIX. O IPFIX usa o protocolo de datagrama do usuário (UDP) para fornecer NDEs. Após o envio de um NDE do dispositivo de encaminhamento IPFIX, o registro de IPFIX pode ser eliminado.
- Configuração da fonte de fluxo IPFIX
- Modelo de fonte de fluxo IPFIX
- Campos com suporte
- Campos de endereço MAC
- Campos de tradução de endereços de rede (NAT)
- Campos MPLS
Configuração da fonte de fluxo IPFIX
Ao configurar uma fonte de fluxo externa para IPFIX, você deve fazer as seguintes tarefas:
Adicione uma fonte de fluxo de NetFlow .
Nota:Seu JSA pode incluir uma fonte de fluxo de NetFlow padrão. Se isso acontecer, o JSA pode usar a fonte de fluxo de NetFlow padrão para processar os fluxos de IPFIX.
Para confirmar que seu sistema inclui uma fonte de fluxo netflow padrão, na guia Admin , selecione Fontes de fluxo. Se default_Netflow estiver listada na lista de fontes de fluxo, o IPFIX já está configurado.
Certifique-se de que as regras de firewall apropriadas estejam configuradas.
Se você alterar seu parâmetro de porta de monitoramento de fonte de fluxo externo na configuração do processador de fluxo , você também deve atualizar sua configuração de acesso de firewall.
Certifique-se de que as portas apropriadas estejam configuradas para o seu processador de fluxo.
Para obter mais informações, veja Configuração de um processador de fluxo.
Modelo de fonte de fluxo IPFIX
Certifique-se de que o modelo de IPFIX da fonte de IPFIX inclua os seguintes Elementos de informação listados em IANA:
protocoloIdentificador (4)
código-fonteIPv4Address (8)
destinationIPv4Address (12)
fonteTransportPort (7)
destinationTransportPort (11)
octetDeltaCount (1) ou postOctetDeltaCount (23)
packetDeltaCount (2) ou postPacketDeltaCount (24)
tcpControlBits (6) (apenas fluxos TCP).
flowStartSeconds (150) ou flowStartMilliseconds (152) ou flowStartDeltaMicroseconds (158)
fluxoEndSeconds (151) ou fluxoEndMilliseconds (153) ou fluxoEndDeltaMicroseconds (159)
Campos com suporte
As listas a seguir mostram alguns dos tipos de campos que são suportados para fontes de fluxo IPFIX.
Para adicionar suporte a campos de IPFIX adicionais que não são mostrados pela JSA, você pode usar a API /api/ariel/taggedfields para criar um novo campo de tags.
Campos de VLAN
Os seguintes campos de VLAN têm suporte para IPFIX:
vlanId (Elemento IANA ID 58)
postVlanId (Elemento IANA ID 59)
dot1qVlanId (Elemento IANA ID 243)
Dot1qPriority (IANA Element ID 244)
dot1qCustomerVlanId (Elemento IANA ID 245)
Dot1qCustomerPriority (IANA Element ID 246)
postDot1qVlanId (IANA Element ID 254)
postDot1qCustomerVlanId (IANA Element ID 255)
dot1qDEI (IANA Element ID 388)
dot1qCustomerDEI (IANA Element ID 389)
Campos de endereço MAC
Os seguintes campos de endereço MAC são suportados para IPFIX:
fonteMacAddress (IANA Element ID 56)
pósDestinaçãoMacAddress (IANA Element ID 57)
DestinationMacAddress (Elemento IANA ID 80)
pósSourceMacAddress (IANA Element ID 81)
Campos de tradução de endereços de rede (NAT)
Os campos a seguir são suportados para tradução de endereços de rede (NAT) e tradução de porta de endereço de rede (NAPT):
postNATSourceIPv4Address (IANA Element ID 225)
pós-NATDestinaçãoIPv4Address (Elemento IANA ID 226)
postNAPTSourceTransport (IANA Element ID 227)
pósNAPTDestinationTransport (IANA Element ID 228)
Campos MPLS
Os seguintes campos MPLS são suportados para IPFIX:
mplsTopLabelOtipo (Elemento IANA 46)
mplsTopLabelIPv4Address (Elemento IANA 47)
mplsTopLabelStackSection (Elemento IANA 70)
mplsLabelStackSection2 (Elemento IANA 71)
mplsLabelStackSection3 (Elemento IANA 72)
mplsLabelStackSection4 (Elemento IANA 73)
mplsLabelStackSection5 (Elemento IANA 74)
mplsLabelStackSection6 (Elemento IANA 75)
mplsLabelStackSection7 (Elemento IANA 76)
mplsLabelStackSection8 (Elemento IANA 77)
mplsLabelStackSection9 (Elemento IANA 78)
mplsLabelStackSection10 (Elemento IANA 79)
mplsVpnRouteDistinguisher (Elemento IANA 90)
mplsTopLabelPrefixLength (Elemento IANA 91)
mplsTopLabelIPv6Address (Elemento IANA 140)
mplsPayloadLength (Elemento IANA 194)
mplsTopLabelTTL (Elemento IANA 200)
mplsLabelStackLength (Elemento IANA 201)
mplsLabelStackDepth (Elemento IANA 202)
mplsTopLabelExp (Elemento IANA 203)
postMplsTopLabelExp (Elemento IANA 237)
pseudoWireType (Elemento IANA 250)
pseudoWireControlWord (Elemento IANA 251)
mplsLabelStackSection (Elemento IANA 316)
mplsPayloadPacketSection (Elemento IANA 317)
secçãoOffset (Elemento IANA 409)
secçãoExportadosOctets (Elemento IANA 410)
sFlow
sFlow é um padrão de vários fornecedores e usuários para a tecnologia de amostragem que fornece monitoramento contínuo de fluxos de tráfego no nível de aplicativos em todas as interfaces simultaneamente.
Um sFlow combina contadores de interface e amostras de fluxo em datagramas de sFlow que são enviados por toda a rede a um coletor de sFlow . o tráfego de sFlow é baseado em dados amostrados e, portanto, pode não representar todo o tráfego de rede.
O JSA oferece suporte a fontes de fluxo para as versões sFlow 2, 4 e 5.
o sFlow usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro de sFlow é expurgado. O UDP não garante a entrega dos dados. Como tal, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo de sFlow .
Para obter mais informações, veja o site do sFlow.
Configuração da fonte de fluxo de fluxo
Ao configurar uma fonte de fluxo externa para sFlow, você deve fazer as seguintes tarefas:
Certifique-se de que as regras de firewall apropriadas estejam configuradas.
Certifique-se de que as portas apropriadas estejam configuradas.
Para obter mais informações, veja Configuração de um processador de fluxo.
J-Flow
J-Flow é uma tecnologia de contabilidade proprietária usada pela Juniper Networks que permite coletar estatísticas de fluxo de tráfego IP.
O J-Flow permite que você exporte dados para uma porta UDP em um coletor J-Flow. Você também pode habilitar o J-Flow em um roteador ou interface de rede para coletar estatísticas de rede para locais específicos em sua rede.
O J-Flow usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro J-Flow é expurgado. O UDP não garante a entrega dos dados. Como tal, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo J-Flow . O tráfego J-Flow é baseado em dados amostrados e, portanto, pode não representar todo o tráfego de rede.
Para obter mais informações sobre o J-Flow, consulte o site da Juniper Networks.
Configuração da fonte de fluxo J-Flow
Ao configurar uma fonte de fluxo externa para o J-Flow, você deve fazer as seguintes tarefas:
Certifique-se de que as regras de firewall apropriadas estejam configuradas.
Certifique-se de que as portas apropriadas estejam configuradas.
Para obter mais informações, veja Configuração de um processador de fluxo.
Campos VLAN com suporte
Os seguintes campos de VLAN são suportados para J-Flow:
vlanId
postVlanId
dot1qVlanId
dot1qPriority
dot1qCustomerVlanId
Dot1qCustomerPriority
dot1qDEI
dot1qCustomerDEI
postDot1qVlanId
postDotqCustomerVlanId
Packeteer
Os dispositivos Packeteer coletam, agregam e armazenam dados de desempenho da rede.
Depois de configurar uma fonte de fluxo externa para Packeteer, você pode enviar informações de fluxo de um dispositivo Packeteer para o JSA.
O Packeteer usa um protocolo sem conexão (UDP). Quando os dados são enviados de um switch ou roteador, o registro packeteer é expurgado. Como o UDP não garante a entrega dos dados, apresentações imprecisas de volumes de tráfego e fluxos bidirecionais, e recursos de alerta reduzidos podem resultar ao usar uma fonte de fluxo packeteer .
Configuração de fonte de fluxo de packeteer
Para configurar o Packeteer como uma fonte de fluxo externa, você deve fazer as seguintes tarefas:
Certifique-se de que as regras de firewall apropriadas estejam configuradas.
Certifique-se de configurar dispositivos Packeteer para exportar registros detalhados do fluxo e configurar o Processador de Fluxo como destino para a exportação de dados.
Certifique-se de que as portas apropriadas estejam configuradas.
Certifique-se de que os IDs de classe dos dispositivos Packeteer podem ser detectados automaticamente pelo processador de fluxo.
Para obter mais informações, veja Configuração de um processador de fluxo.
Interface de rede
A JSA pode monitorar pacotes que chegam em qualquer placa de interface de rede instalada em seu sistema. A placa de interface de rede deve ser instalada para o JSA para mostrá-la na lista de fontes de fluxo configuráveis baseadas em pacotes.
Ao configurar a fonte de fluxo da Interface de Rede , configure apenas uma fonte de log para cada interface Ethernet. Para filtrar o tráfego de rede que entra na fonte de fluxo, especifique um filtro de pacotes de Berkeley (BPF) no campo string de filtro .
Depois que a fonte de fluxo estiver configurada e as alterações forem implantadas, você pode visualizar o tráfego de rede na guia Atividade de Rede .
Você pode personalizar a maneira como a JSA processa o tráfego de rede. Por exemplo, você pode configurar a forma como os aplicativos são detectados, limiares de superfluxo, configuração de direção de fluxo e hierarquia de rede. Você também pode escrever regras, realizar consultas e filtrar o tráfego de rede.
Para obter mais informações, veja Configuração de um processador de fluxo.