Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

应用程序识别

流处理器进程使用算法来确定流应用。每个算法都依靠不同类型的信息来确定应用。

QRadar Network Insights 依靠自己的一组检测人员和应用程序检测方法。QRadar Network Insights,流处理器算法仅在 QRadar Network Insights 无法识别特定协议时使用。

应用确定算法如下表所示。

表 1:应用程序确定算法

数值

算法名称

描述

2

应用程序签名

一种基于有效负载的算法,可查看有效负载的构造方式。

此算法使用 签名.xml 文件中的信息。

3

基于状态的解码

一种基于有效负载的算法,使用复杂的内部逻辑。

4

基于 JSA 端口的映射

基于端口的算法,使用预定义的应用程序映射列表。

此算法会使用 /opt/qradar/conf/appid_map.conf 文件中的信息。

5

基于用户端口的映射

基于端口的算法,使用可自定义的应用程序映射列表。

使用此算法可添加新的基于端口的映射或对 JSA 附带的现有映射进行重新分类。

此算法使用 /opt/qradar/conf/user_application_mapping.conf 文件中的信息。

6

ICMP 协议映射

一种基于协议的算法,用于查看协议类型和代码。

7

流导出器

一种依靠流导出器来确定应用程序的算法。

8 QNI 应用程序签名 QRadar Network Insights 使用此算法。
9

X-Force Web 应用程序分类

QRadar Network Insights 使用此算法。

10 QNI 端口启发式

QRadar Network Insights 使用此算法。

它表示使用基于端口的启发式方法识别应用程序,表示可信度低。

11 QNI 初始数据

QRadar Network Insights 使用此算法。

它表示应用程序是在流会话中使用初始数据识别的,表示中等程度的置信度。

12 QNI 解析器

QRadar Network Insights 使用此算法。

它表示通过解析可用数据来识别应用程序,并表示最高置信度。

您可以看到流信息窗口上的“应用程序确定算法”字段中使用的应用程序检测算法类型。

自定义应用程序

如果贵组织有非标准或自定义的应用程序,则可以将其添加到 /opt/qradar/conf/user_application_mapping.confsignatures.xml 文件中。

您可以使用 “应用程序确定算法” 字段检查是否使用了正确的算法来识别您的自定义应用程序。例如,您可以根据端口使用情况定义自定义应用程序。来自该应用的流由算法 5 识别,即 基于用户端口的映射。通过验证用于识别应用程序的算法,您可以为应用程序映射分配一个置信级别。

有关更多信息,请参阅 《瞻博网络安全分析应用程序配置指南》。

在搜索结果中显示应用程序确定算法字段

使用搜索功能将应用程序确定算法添加到 “流详细信息 ”窗口中。您可以使用应用程序识别算法来识别 JSA 用于识别流源自哪个应用程序的标准。

  1. 要显示 “流详细信息 ”窗口中的应用程序确定算法字段,请执行以下步骤:

    1. 单击 网络活动 选项卡。

    2. 搜索 列表中,选择 新建搜索

    3. “列定义” 部分,向下滚动可用列列表,并将 “应用程序确定算法 ”添加到要显示的列列表中。

    4. 单击 过滤器

      应用程序确定算法列显示在网络活动选项卡中,显示一个值,表示使用的算法。

  2. 要以高级搜索方式显示应用程序确定算法,请使用 LOOKUP 功能显示所列举算法字段的文本说明。

    例如,AQL 查询可能类似于这样的。