IPFIX-Spezifikation
Diese Spezifikation definiert alle generischen und cognitix-spezifischen Ereignisse.
IPFIX-Konfiguration
Die IPFIX-Schnittstelle basiert auf IETF RFC 7011. Sie verwendet bidirektionales Reporting wie in RFC 5103 (insb. Abschnitt 5 und 6.3) beschrieben.
Zusätzlich definiert und verwendet cognitix eigene Elemente für bestimmte Felder.
Die Implementation basiert auf TCP für die sichere Übertragung. UDP wird ebenfalls für IPFIX-Kanäle unterstützt.
Die Datenquelle sendet alle IPFIX Templates auf Anforderung, kurz bevor eine Meldung mit diesem Template gesendet wird. Die Templates werden erneut gesendet, wenn eine bestimmte Zeit nach dem Absenden des letzten Templates verstrichen ist.
IPFIX-Datensätze
Die cognitix IPFIX Templates verwenden wo möglich festgelegte IANA-Elemente. Die Datentypen entsprechen RFC 7102. Zur Definition der von cognitix verwendeten IPFIX-Informationsereignisse siehe die IANA-Tabelle.
Bemerkung
sourceIPv4Address/sourceIPv6Address
und destinationIPv4Address/destinationIPv6Address
beschreiben die äußersten IP-Adressen eines beobachteten Datenstroms.
Felder, die nicht von IPFIX bereitgestellt werden, werden mit eigenen Feldern mit der IPFIX Private Enterprise Number (PEN 45480) von cognitix beschrieben.
IPFIX-Enterprise-Elemente für cognitix
Die cognitix-IANA-Nummer (PEN 45480) definiert die folgenden unternehmensspezifischen Elemente:
Name |
Enterprise- |
Datentyp |
Beschreibung |
---|---|---|---|
|
10 |
unsigned16 |
Dieses Feld beschreibt das von der DPI-Engine erkannte Protokoll des Datenstroms. |
|
11 |
unsigned16 |
Dieses Feld beschreibt die von der DPI-Engine erkannte Anwendung des Datenstroms. |
|
13 |
unsigned32 |
Dieses Feld enthält die kombinierten Werte des Protokolls und der Anwendung, wie von der DPI-Engine erkannt. Es stellt die DPI-Klassifizierung der Klartextmeldung dar. Berechnung des kombinierten Werts: |
|
20 |
string |
Dieses Feld enthält den 2 Byte großen Ländercode nach ISO 3166 der Quelle des Datenstroms, wie von der GeoIP-Engine erkannt. Wenn kein Ländercode ermittelt werden konnte, enthält dieses Feld den Wert |
|
21 |
string |
Dieses Feld enthält den 2 Byte großen Ländercode nach ISO 3166 des Ziels des Datenstroms, wie von der GeoIP-Engine erkannt. Wenn kein Ländercode ermittelt werden konnte, enthält dieses Feld den Wert |
|
30 |
string |
Dieser String gibt an, welche Policy-Regel auf einen bestimmten Datenstrom zutrifft und gibt ihre interne eindeutige ID an. |
|
31 |
unsigned32 |
Gibt an, welche IPS-Regel auf einen bestimmten Datenstrom zutrifft. Ist das Feld |
|
38 |
string |
Die IPS-Regelbeschreibung für die entsprechende IPS-Regel-ID. |
|
32 |
string |
Der String mit variabler Länge gibt den benutzerdefinierten Namen der Policy-Regel an, die auf den Datenstrom zutrifft. |
|
33 |
unsigned8 |
Der Typ der Aktion der Policy-Regel. Kann folgende Werte haben:
|
|
34 |
string |
String mit variabler Länge für die ID des Policy-Treffers. |
|
35 |
string |
String mit variabler Länge für den Namen des Policy-Treffers. |
|
36 |
unsigned8 |
Gibt an, mit welchem Schweregrad die Events gemeldet werden. Kann folgende Werte haben:
|
|
37 |
unsigned8 |
Das Policy-Hit-Flag zeigt an, dass die Policy durch das entsprechende Flag in der Log-Aktion einer Policy-Regel als Zwischenfall markiert wurde. |
|
50 |
string |
Der Hostname der beobachteten URL einer HTTP-Anfrage als String variabler Länge, der von der URL-Filter-Engine klassifiziert wurde. |
|
75 |
unsigned8 |
Die Übereinstimmung mit dem IoC-Feed. Kann folgende Werte haben:
|
|
76 |
string |
Die String-Darstellung des getroffenen IoC-Werts. Der Typ wird im Feld |
|
80 |
unsigned8 |
Durch Abgleich mit
|
|
81 |
unsigned8 |
Durch Abgleich mit
|
|
90 |
string |
Die interne ID des Quell-Assets. |
|
91 |
string |
Die interne ID des Ziel-Assets. |
|
92 |
string |
Die interne ID des mit dem Quell-Asset assoziierten Benutzers. |
IPFIX-Ereignisse für cognitix Threat Defender
Alle Ereignisse enthalten IANA-definierte Felder (siehe IANA-Definitionen) und IPFIX-Enterprise-Elemente für cognitix. In den folgenden Abschnitten finden Sie weitere Informationen über die verwendeten Felder.
Gemeinsame Ereignisfelder
Die folgenden Felder werden in allen cognitix-IPFIX-Ereignissen verwendet:
Name |
Datentyp |
---|---|
|
unsigned16 |
|
ipv4Address |
|
unsigned16 |
|
ipv4Address |
|
ipv6Address |
|
ipv6Address |
|
macAddress |
|
macAddress |
|
unsigned64 |
|
unsigned64 |
|
unsigned64 |
|
unsigned64 |
|
unsigned64 |
|
dateTimeMiliseconds |
|
dateTimeMiliseconds |
|
unsigned8 |
|
unsigned32 |
|
unsigned32 |
|
unsigned8 |
|
unsigned8 |
|
string |
|
string |
|
string |
Meldungstypen
Meldungen der Typen flow-update
oder flow-end
enthalten zusätzlich die folgenden Elemente:
firewallEvent
mit einem Wert von entweder 2 (flow-end) oder 5 (flow-update)
octetDeltaCount
, die Anzahl vom Client zum Server übertragener Bytes
octetDeltaCountReverse
, die Anzahl vom Server zum Client übertragener Bytes
packetDeltaCount
, die Anzahl vom Client zum Server übertragener Pakete
packetDeltaCountReverse
, die Anzahl vom Server zum Client übertragener Pakete
Meldungen des Typs hostname
enthalten zusätzlich das folgende Element:
cognitixHostname
, einen beobachteten Domänennamen
Meldungen des Typs policy-rule-matched
enthalten zusätzlich die folgenden Elemente:
firewallEvent
mit dem Wert 4 (flow-alert)
cognitixPolicyId
cognitixPolicyName
cognitixPolicyRuleName
cognitixPolicyRuleId
cognitixPolicyRuleAction
httpRequestHost
httpRequestTarget
Meldungen der Typen policy-hit
und policy-log
enthalten zusätzlich die folgenden Elemente:
firewallEvent
mit dem Wert 4 (flow-alert)
cognitixPolicyId
cognitixPolicyName
cognitixPolicyRuleName
cognitixPolicyRuleId
cognitixPolicyRuleAction
cognitixLogSeverity
Meldungen des Typs ips-hit
enthalten zusätzlich die folgenden Elemente:
firewallEvent
mit dem Wert 4 (flow-alert)
cognitixLogSeverity
cognitixIPSRuleId
cognitixIPSRuleDescription
Meldungen des Typs ioc-hit
enthalten die folgenden zusätzlichen Elemente:
firewallEvent
mit dem Wert 4 (flow-alert)
cognitixLogSeverity
cognitixIocValueType
cognitixIocValue