Firepower は、NetFlow データによって表されるトラフィックを直接分析しません。代わりに、エクスポートした NetFlow レコードを接続ログおよびホストとアプリケーションのプロトコル データに変換します。
その結果、変換された NetFlow データと、管理対象デバイスによって直接収集された検出および接続データにはいくつかの違いがあります。以下のことを必要とする分析を実行する場合に、これらの違いを意識しなければなりません。
ネットワーク検出ポリシーとアクセス コントロール ポリシーの違い
接続ロギングを含む NetFlow データ収集は、ネットワーク検出ポリシー内のルールを使用して設定します。これを、アクセス コントロール ルールごとに設定した FirePOWER システム管理対象デバイスによって検出された接続の接続ロギングと比較してください。
接続イベントのタイプ
NetFlow データ収集はアクセス コントロール ルールではなくネットワークにリンクされているため、システムがログに記録する NetFlow 接続をきめ細かく制御することはできません。
NetFlow データは、セキュリティ インテリジェンス イベントを生成することはできません。
NetFlow ベースの接続イベントは、接続イベント データベースにのみ保存できます。システム ログまたは SNMP トラップ サーバに送信することはできません。
モニタ対象セッションごとに生成される接続イベントの数
管理対象デバイスによって直接検出された接続の場合は、アクセス コントロール ルールを設定して、接続の最初か最後またはその両方で双方向接続イベントをログに記録できます。
それに対し、エクスポートされた NetFlow レコードには単方向接続データが含まれているため、システムは処理する各 NetFlow レコードに対し少なくとも 2 つの接続イベントを生成します。これは、概要の接続数が NetFlow データに基づいた接続ごとに
2 ずつ増加することも意味しており、ネットワーク上で実際に発生している接続数が急増することになります。
接続がまだ実行中であっても、NetFlow エクスポータは固定間隔でレコードを出力するため、長時間実行しているセッションの場合は複数のエクスポートされたレコードが生成される場合があり、その各レコードが接続イベントを生成します。たとえば、NetFlow
エクスポータが 5 分ごとにエクスポートする場合に、特定の接続が 12 分間続いている場合、システムはそのセッションに対し 6 つの接続イベントを生成します。
-
最初の 5 分間の 1 つのイベント ペア
-
次の 5 分間の 1 つのペア
-
接続が終了した時点の最後のペア
ホスト データとオペレーティング システム データ
NetFlow データからのネットワーク マップに追加されたホストには、オペレーティング システム、NetBIOS、またはホスト タイプ(ホストまたはネットワーク デバイス)の情報がありません。ただし、ホスト入力機能を使用してホストのオペレーティング
システム ID を手動で設定できます。
アプリケーション データ
管理対象デバイスによって直接検出された接続の場合は、接続内のパケットを検査することによって、システムはアプリケーション プロトコル、クライアント、および Web アプリケーションを識別できます。
システムは NetFlow レコードを処理するときに、/etc/sf/services
内のポート関連付けを使用して、アプリケーション プロトコル ID を推測します。ただし、これらのアプリケーション プロトコルに関するベンダーまたはバージョン情報が存在しないため、接続ログにはセッションで使用されるクライアントまたは Web アプリケーションに関する情報が含まれません。しかし、ホスト入力機能を使用してこの情報を手動で提供できます。
単純なポート関連付けでは、非標準ポート上で動作しているアプリケーション プロトコルが特定されないまたは誤認される可能性があることに注意してください。加えて、関連付けが存在しない場合は、システムがそのアプリケーション プロトコルを接続ログで unknown
としてマークします。
脆弱性マッピング
システムは、ホスト入力機能を使用してホストのオペレーティング システム ID またはアプリケーション プロトコル ID を手動で設定しない限り、NetFlow エクスポータによってモニタされるホストに脆弱性をマッピングできません。NetFlow
接続内にクライアント情報が存在しないため、クライアントの脆弱性を NetFlow データから作成されたホストに関連付けることはできないことに注意してください。
接続内の発信側情報と応答側情報
管理対象デバイスによって直接検出された接続の場合、システムは発信側または送信元のホストと応答側または宛先のホストを識別できます。ただし、NetFlow データには発信側または応答側の情報が含まれていません。
Firepower システムは、NetFlow レコードを処理するときに、それぞれのホストが使用しているポートとそれらのポートが既知かどうかに基づいて、この情報を判断するアルゴリズムを使用します。
したがって、既知のポートは、1 ~ 1023 の番号が割り当てられたポートまたは管理対象デバイス上の /etc/sf/services
にアプリケーション プロトコル情報が保存されているポートです。
さらに、管理対象デバイスによって直接検出された接続の場合、システムは対応する接続イベントの 2 バイト数を記録します。
単方向 NetFlow レコードに基づく接続イベントには、1 バイト数しか含まれておらず、ポートベース アルゴリズムに応じて、システムが [イニシエータ バイト数(Initiator Bytes)] または [レスポンダ バイト数(Responder
Bytes)] に割り当てます。システムによって他のフィールドは 0 に設定されます。NetFlow レコードの接続の概要(集約接続データ)を表示している場合に、両方のフィールドに値が読み込まれる場合があることに注意してください。