IPFIX-Spezifikation

Diese Spezifikation definiert alle generischen und cognitix-spezifischen Ereignisse.

IPFIX-Konfiguration

Die IPFIX-Schnittstelle basiert auf IETF RFC 7011. Sie verwendet bidirektionales Reporting wie in RFC 5103 (insb. Abschnitt 5 und 6.3) beschrieben.

Zusätzlich definiert und verwendet cognitix eigene Elemente für bestimmte Felder.

Die Implementation basiert auf TCP für die sichere Übertragung. UDP wird ebenfalls für IPFIX-Kanäle unterstützt.

Die Datenquelle sendet alle IPFIX Templates auf Anforderung, kurz bevor eine Meldung mit diesem Template gesendet wird. Die Templates werden erneut gesendet, wenn eine bestimmte Zeit nach dem Absenden des letzten Templates verstrichen ist.

IPFIX-Datensätze

Die cognitix IPFIX Templates verwenden wo möglich festgelegte IANA-Elemente. Die Datentypen entsprechen RFC 7102. Zur Definition der von cognitix verwendeten IPFIX-Informationsereignisse siehe die IANA-Tabelle.

Bemerkung

sourceIPv4Address/sourceIPv6Address und destinationIPv4Address/destinationIPv6Address beschreiben die äußersten IP-Adressen eines beobachteten Datenstroms.

Felder, die nicht von IPFIX bereitgestellt werden, werden mit eigenen Feldern mit der IPFIX Private Enterprise Number (PEN 45480) von cognitix beschrieben.

IPFIX-Enterprise-Elemente für cognitix

Die cognitix-IANA-Nummer (PEN 45480) definiert die folgenden unternehmensspezifischen Elemente:

Name

Enterprise-
Feld-ID

Datentyp

Beschreibung

cognitixDpiProtocol

10

unsigned16

Dieses Feld beschreibt das von der DPI-Engine erkannte Protokoll des Datenstroms.

cognitixDpiApplication

11

unsigned16

Dieses Feld beschreibt die von der DPI-Engine erkannte Anwendung des Datenstroms.

cognitixDpiClassification

13

unsigned32

Dieses Feld enthält die kombinierten Werte des Protokolls und der Anwendung, wie von der DPI-Engine erkannt. Es stellt die DPI-Klassifikation der Klartextmeldung dar. Berechnung des kombinierten Werts: applicationID * 10.000 + protocolID.

cognitixCountrySource

20

string

Dieses Feld enthält den 2 Byte großen Ländercode nach ISO 3166 der Quelle des Datenstroms, wie von der GeoIP-Engine erkannt. Wenn kein Ländercode ermittelt werden konnte, enthält dieses Feld den Wert ZZ, der als privater IP-Adressbereich definiert ist.

cognitixCountryDestination

21

string

Dieses Feld enthält den 2 Byte großen Ländercode nach ISO 3166 des Ziels des Datenstroms, wie von der GeoIP-Engine erkannt. Wenn kein Ländercode ermittelt werden konnte, enthält dieses Feld den Wert ZZ, der als privater IP-Adressbereich definiert ist.

cognitixPolicyRuleId

30

string

Dieser String gibt an, welche Policy-Regel auf einen bestimmten Datenstrom zutrifft und gibt ihre interne eindeutige ID an.

cognitixIPSRuleId

31

unsigned32

Gibt an, welche IPS-Regel auf einen bestimmten Datenstrom zutrifft. Ist das Feld 0, wurde keine IPS-Regel getroffen.

cognitixIPSRuleDescription

38

string

Die IPS-Regelbeschreibung für die entsprechende IPS-Regel-ID.

cognitixPolicyRuleName

32

string

Der String mit variabler Länge gibt den benutzerdefinierten Namen der Policy-Regel an, die auf den Datenstrom zutrifft.

cognitixPolicyRuleAction

33

unsigned8

Der Typ der Aktion der Policy-Regel. Kann folgende Werte haben:

  • 0 = keine Aktion

  • 1 = verwerfen (Drop)

  • 2 = erlauben (Allow)

  • 3 = blockieren (Reject)

  • 4 = umleiten (Redirect)

cognitixPolicyId

34

string

String mit variabler Länge für die ID des Policy-Treffers.

cognitixPolicyName

35

string

String mit variabler Länge für den Namen des Policy-Treffers.

cognitixLogSeverity

36

unsigned8

Gibt an, mit welchem Schweregrad die Events gemeldet werden. Kann folgende Werte haben:

  • 0 = Notice (Benachrichtigung)

  • 1 = Low (niedrig)

  • 2 = Medium (mittel)

  • 3 = High (hoch)

cognitixPolicyHit

37

unsigned8

Das Policy-Hit-Flag zeigt an, dass die Policy durch das entsprechende Flag in der Log-Aktion einer Policy-Regel als Zwischenfall markiert wurde.

cognitixHostname

50

string

Der Hostname der beobachteten URL einer HTTP-Anfrage als String variabler Länge, der von der URL-Filter-Engine klassifiziert wurde.

cognitixIocValueType

75

unsigned8

Die Übereinstimmung mit dem IoC-Feed. Kann folgende Werte haben:

  • 0 = keine

  • 1 = Quell-IP

  • 2 = Ziel-IP

  • 3 = Domänenname

  • 4 = URL

cognitixIocValue

76

string

Die String-Darstellung des getroffenen IoC-Werts. Der Typ wird im Feld cognitixIocValueType angegeben.

cognitixSrcLocation

80

unsigned8

Durch Abgleich mit NetworkObject bestimmter Standort des Quellhosts. Die Werte sind:

  • 0 = intern

  • 1 = extern

cognitixDstLocation

81

unsigned8

Durch Abgleich mit NetworkObject bestimmter Standort des Ziel-Hosts. Die Werte sind:

  • 0 = intern

  • 1 = extern

cognitixSrcAssetId

90

string

Die interne ID des Quell-Assets.

cognitixDstAssetId

91

string

Die interne ID des Ziel-Assets.

cognitixUserId

92

string

Die interne ID des mit dem Quell-Asset assoziierten Benutzers.

cognitixBridgeId

93

string

Der Name der Bridge, auf der das Ereignis beobachtet wurde.

IPFIX-Ereignisse für cognitix Threat Defender

Alle Ereignisse enthalten IANA-definierte Felder (siehe IANA-Definitionen) und IPFIX-Enterprise-Elemente für cognitix. In den folgenden Abschnitten finden Sie weitere Informationen über die verwendeten Felder.

Gemeinsame Ereignisfelder

Die folgenden Felder werden in allen cognitix-IPFIX-Ereignissen verwendet:

Name

Datentyp

sourceTransportPort

unsigned16

sourceIPv4Address

ipv4Address

destinationTransportPort

unsigned16

destinationIPv4Address

ipv4Address

sourceIPv6Address

ipv6Address

destinationIPv6Address

ipv6Address

sourceMacAddress

macAddress

destinationMacAddress

macAddress

octetTotalCount

unsigned64

octetTotalCountReverse

unsigned64

packetTotalCount

unsigned64

packetTotalCountReverse

unsigned64

flowId

unsigned64

flowStartMilliseconds

dateTimeMiliseconds

flowEndMilliseconds

dateTimeMiliseconds

firewallEvent

unsigned8

ingressPhysicalInterface

unsigned32

egressPhysicalInterface

unsigned32

cognitixSrcLocation

unsigned8

cognitixDstLocation

unsigned8

cognitixSrcAssetId

string

cognitixDstAssetId

string

cognitixUserId

string

cognitixBridgeId

string

Meldungstypen

Meldungen der Typen flow-update oder flow-end enthalten zusätzlich die folgenden Elemente:

  • firewallEvent mit einem Wert von entweder 2 (flow-end) oder 5 (flow-update)

  • octetDeltaCount, die Anzahl vom Client zum Server übertragener Bytes

  • octetDeltaCountReverse, die Anzahl vom Server zum Client übertragener Bytes

  • packetDeltaCount, die Anzahl vom Client zum Server übertragener Pakete

  • packetDeltaCountReverse, die Anzahl vom Server zum Client übertragener Pakete

Meldungen des Typs hostname enthalten zusätzlich das folgende Element:

  • cognitixHostname, einen beobachteten Domänennamen

Meldungen des Typs policy-rule-matched enthalten zusätzlich die folgenden Elemente:

  • firewallEvent mit dem Wert 4 (flow-alert)

  • cognitixPolicyId

  • cognitixPolicyName

  • cognitixPolicyRuleName

  • cognitixPolicyRuleId

  • cognitixPolicyRuleAction

  • httpRequestHost

  • httpRequestTarget

Meldungen der Typen policy-hit und policy-log enthalten zusätzlich die folgenden Elemente:

  • firewallEvent mit dem Wert 4 (flow-alert)

  • cognitixPolicyId

  • cognitixPolicyName

  • cognitixPolicyRuleName

  • cognitixPolicyRuleId

  • cognitixPolicyRuleAction

  • cognitixLogSeverity

Meldungen des Typs ips-hit enthalten zusätzlich die folgenden Elemente:

  • firewallEvent mit dem Wert 4 (flow-alert)

  • cognitixLogSeverity

  • cognitixIPSRuleId

  • cognitixIPSRuleDescription

Meldungen des Typs ioc-hit enthalten die folgenden zusätzlichen Elemente:

  • firewallEvent mit dem Wert 4 (flow-alert)

  • cognitixLogSeverity

  • cognitixIocValueType

  • cognitixIocValue