流检查级别
总结 流检查级别决定了从网络流中分析和提取的数据量。
默认情况下,流检查级别是在 Admin 选项卡中的系统设置中配置的全局设置。它适用于部署中的所有设备。您可以通过为每个设备配置自定义流检查级别来覆盖全局设置。
在堆叠配置中,每个堆栈的检测级别可能不同,但堆栈中的所有设备都必须具有相同的检测级别。
基本检查级别
基本级别是流检查的最低级别。此级别支持最高带宽,但生成的流信息量最少。
Network Insights 使用基本流检测级别捕获的属性与不执行深度数据包检测的路由器或网络交换机获得的属性相似,包括以下类型的信息:
- 源和目标信息
- 网络协议
- 应用程序 ID
- 字节和数据包计数器
- 第一个和最后一个数据包的时间
- 服务质量
- VLAN 标记
在 基本 检查级别, Network Insights 创建一个可捕获有关网络通信信息的数据流。数据流包括有效负载样本,并显示字节和数据包大小计数器。 基本 检查级别收集的信息与 QFlow 流程相同。
丰富的检查级别
有了丰富的检查级别,每个流都由其中一个协议或域检查员进行识别和检查,并且可以通过该检查生成多种属性。
- 用户名、电子邮件地址、聊天地址
- 搜索参数
- 主机信息
- HTTP、FTP、SMTP、SSL 和 TLS 字段
- DNS 查询和响应
- 文件名、类型、大小、哈希和平均信息量
- 最后一个代理,XFF,真正的客户端 IP
- 可疑内容
- Web 类别
- 基于内容的可配置可疑内容(YARA 规则)
在 “丰富” 和 “高级 ”检测级别, Network Insights 同时创建数据流和内容流。内容流显示了更深入的检测在数据流中发现的内容。内容流不包括有效负载样本,所有字节和数据包计数器显示为零。它们通过流 ID 字段链接到数据流。
您可以通过以下方式识别内容流:
- 在“流信息”窗口中,“流类型”字段显示“标准流”(内容流)。
- 在 “网络活动 ”选项卡中, “流类型 ”图标的工具提示显示 “标准流(内容流)”。
高级检测级别
高级检测是最高级别的检测,也是新安装的默认设置。通过对应用程序内容的全面分析,它基于在丰富检查级别提取的流属性构建。
- 内容提取
- 个人信息检测
- 机密数据检测
- 嵌入式脚本
- 重 定向
- 额外的文件元数据
高级检查级别还会执行内容分析,这可能会产生比丰富级别更多的可疑内容值。例如,当设置为 高级 检测级别时, Network Insights 会深入查看文件,以识别可疑内容,如 PDF 或 Microsoft 文档中的嵌入脚本。
与丰富级别类似,会创建一个内容流,以显示 Network Insights 在对数据流执行更深入的检查时发现的内容。