应用程序识别
流处理器进程使用算法来确定流应用。每个算法都依靠不同类型的信息来确定应用。
QRadar Network Insights 依靠自己的一组检测人员和应用程序检测方法。QRadar Network Insights,流处理器算法仅在 QRadar Network Insights 无法识别特定协议时使用。
应用确定算法如下表所示。
数值 |
算法名称 |
描述 |
---|---|---|
2 |
应用程序签名 |
一种基于有效负载的算法,可查看有效负载的构造方式。 此算法使用 签名.xml 文件中的信息。 |
3 |
基于状态的解码 |
一种基于有效负载的算法,使用复杂的内部逻辑。 |
4 |
基于 JSA 端口的映射 |
基于端口的算法,使用预定义的应用程序映射列表。 此算法会使用 /opt/qradar/conf/appid_map.conf 文件中的信息。 |
5 |
基于用户端口的映射 |
基于端口的算法,使用可自定义的应用程序映射列表。 使用此算法可添加新的基于端口的映射或对 JSA 附带的现有映射进行重新分类。 此算法使用 /opt/qradar/conf/user_application_mapping.conf 文件中的信息。 |
6 |
ICMP 协议映射 |
一种基于协议的算法,用于查看协议类型和代码。 |
7 |
流导出器 |
一种依靠流导出器来确定应用程序的算法。 |
8 | QNI 应用程序签名 | QRadar Network Insights 使用此算法。 |
9 | X-Force Web 应用程序分类 |
QRadar Network Insights 使用此算法。 |
10 | QNI 端口启发式 | QRadar Network Insights 使用此算法。 它表示使用基于端口的启发式方法识别应用程序,表示可信度低。 |
11 | QNI 初始数据 | QRadar Network Insights 使用此算法。 它表示应用程序是在流会话中使用初始数据识别的,表示中等程度的置信度。 |
12 | QNI 解析器 | QRadar Network Insights 使用此算法。 它表示通过解析可用数据来识别应用程序,并表示最高置信度。 |
您可以看到流信息窗口上的“应用程序确定算法”字段中使用的应用程序检测算法类型。
自定义应用程序
如果贵组织有非标准或自定义的应用程序,则可以将其添加到 /opt/qradar/conf/user_application_mapping.conf 或 signatures.xml 文件中。
您可以使用 “应用程序确定算法” 字段检查是否使用了正确的算法来识别您的自定义应用程序。例如,您可以根据端口使用情况定义自定义应用程序。来自该应用的流由算法 5 识别,即 基于用户端口的映射。通过验证用于识别应用程序的算法,您可以为应用程序映射分配一个置信级别。
有关更多信息,请参阅 《瞻博网络安全分析应用程序配置指南》。
在搜索结果中显示应用程序确定算法字段
使用搜索功能将应用程序确定算法添加到 “流详细信息 ”窗口中。您可以使用应用程序识别算法来识别 JSA 用于识别流源自哪个应用程序的标准。
-
要显示 “流详细信息 ”窗口中的应用程序确定算法字段,请执行以下步骤:
-
单击 网络活动 选项卡。
-
从 搜索 列表中,选择 新建搜索。
-
在 “列定义” 部分,向下滚动可用列列表,并将 “应用程序确定算法 ”添加到要显示的列列表中。
-
单击 过滤器。
应用程序确定算法列显示在网络活动选项卡中,显示一个值,表示使用的算法。
-
-
要以高级搜索方式显示应用程序确定算法,请使用 LOOKUP 功能显示所列举算法字段的文本说明。
例如,AQL 查询可能类似于这样的。
SELECT LOOKUP('application determination algorithm', "application determination algorithm"), * FROM flows