Sources de flux
Les informations de flux sont utilisées pour détecter les menaces et autres activités suspectes qui pourraient être manquées si vous ne vous fiez qu’aux informations d’événements.
Les flux fournissent des informations sur le trafic réseau qui sont envoyées simultanément à JSA dans divers formats, y compris les fichiers Flowlog, NetFlow, J-Flow, sFlow et Packeteer.
NetFlow, J-Flow et sFlow sont des protocoles qui collectent des données de flux à partir d’équipements réseau, tels que les routeurs, et les envoient à JSA.
NetFlow, J-Flow et sFlow sont configurés de la même manière, mais chacun est déployé selon le protocole que chaque équipement réseau prend en charge.
Si vous collectez des données NetFlow, J-Flow ou sFlow, vérifiez que JSA collecte des ensembles de flux complets. Les flux incomplets ou manquants peuvent rendre difficile l’analyse de l’activité réseau.
Processeur de flux JSA et sources basées sur les paquets
JSA capture le trafic à partir de ports miroirs ou sur votre réseau à l’aide d’un processeur de flux JSA.
Le processeur de flux JSA est activé par défaut, tandis que le port ou le tap miroir est connecté à une interface de surveillance sur votre appliance JSA . Les ports miroirs les plus courants comprennent le cœur, la zone DMZ, le serveur et les commutateurs d’applications.
Le processeur de flux JSA combiné à JSA et aux processeurs de flux offre une visibilité sur les applications de couche 7 et une analyse des flux du trafic réseau, quel que soit le port sur lequel l’application fonctionne. Par exemple, si le protocole IRC (Internet Relay Chat) communique sur le port 7500 (TCP), le processeur de flux JSA identifie le trafic comme IRC et fournit une capture de paquets du début de la conversation. Ce processus diffère de NetFlow et J-Flow, qui indiquent que le trafic se trouve sur le port 7500 (TCP) sans identifier le protocole.
Les processeurs de flux JSA ne sont pas des moteurs de capture de paquets complets, mais vous pouvez ajuster la quantité de contenu capturé par flux. La taille de capture par défaut est de 64 octets, et vous pouvez collecter des données utiles à l’aide de ce paramètre. Toutefois, vous pouvez ajuster ce paramètre à 256 octets pour capturer plus de contenu par flux. L’augmentation de la taille de capture augmente le trafic réseau entre votre processeur de flux JSA et votre processeur de flux, et plus de stockage sur disque est nécessaire.
Processeurs de flux NetFlow et sources externes
Vous devez configurer NetFlow, qui collecte le trafic réseau IP à l’entrée ou à la sortie d’une interface, pour envoyer des données à l’appliance de processeur de flux JSA la plus proche.
Le processeur de flux JSA prend également en charge les sources de flux externes, telles que les routeurs qui envoient des données NetFlow, sFlow, J-Flow et Packeteer.
Pour plus d’informations sur ces sources, consultez le Guide d’administration De Juniper Secure Analytics.
Vous devez configurer NetFlow pour qu’il envoie des données le plus rapidement possible en configurant la valeur de délai d’expiration de flux ip-cache de l’équipement réseau externe sur un seul. Assurez-vous que le trafic entrant et sortant est transféré depuis le routeur. Tous les routeurs ne peuvent pas transférer le trafic entrant et sortant. Si vous configurez un routeur qui ne fournit qu’un échantillon de données, configurez-le pour qu’il utilise le taux d’échantillonnage le plus bas possible, sans augmenter la charge sur le commutateur.
Pour vous assurer que votre configuration NetFlow fonctionne correctement, vous devez valider vos données JSA NetFlow .
Pour plus d’informations, consultez Vérification de la collecte de données NetFlow.
Vérification de la collecte des données du processeur de flux JSA
Le processeur de flux JSA collecte passivement le trafic réseau via les ports d’accès réseau et peut détecter plus de 1 000 applications en réseau. Vous pouvez facilement vérifier que votre processeur de flux JSA reçoit des données de flux réseau.
Cliquez sur l’onglet Activité réseau .
Dans la barre d’outils Activité réseau , cliquez sur Rechercher >Nouvelle recherche.
Dans le volet Paramètres de recherche , ajoutez un filtre de recherche source de flux.
Dans la première liste, sélectionnez Source du flux.
Dans la troisième liste, sélectionnez le nom de votre interface Flow.
Cliquez sur Ajouter un filtre.
Dans le volet Paramètres de recherche , ajoutez un filtre de recherche de protocole.
Dans la première liste, sélectionnez Protocole.
Cliquez sur Filtre.
Cliquez sur Ajouter un filtre.
Cliquez sur Filtre.
Si la colonne Octets source ou d’octets de destination affiche de nombreux résultats sans octets, votre réseau peut être mal configuré. Vous devez vérifier votre configuration QFlow.
Configuration des équipements de processeur de flux JSA
Vous pouvez vérifier que votre processeur de flux JSA est opérationnel et capture les flux à partir de routeurs ou de ports de portée.
Vérifiez que vous collectez les flux de tous les routeurs sur lesquels le trafic peut traverser, en particulier lorsqu’il existe plusieurs routes ou chemins.
Si vous exécutez des protocoles de routage dynamique, le trafic peut suivre différents chemins vers et depuis un hôte.
Assurez-vous que les ports ou les taps span sont correctement configurés pour traiter les paquets reçus et transmis.
Assurez-vous qu’il y a une visibilité des deux côtés des routes asymétriques.
Vérification de la collecte de données NetFlow
Pour vous assurer que votre configuration NetFlow fonctionne correctement, vous devez valider vos données JSA NetFlow .
Configurez NetFlow pour envoyer des données au processeur de flux JSA ou à l’appliance JSA flow processor la plus proche.
Par défaut, JSA écoute le trafic NetFlow sur le port UDP sur l’interface de gestion. Si vous avez besoin de plus de ports NetFlow , vous pouvez affecter d’autres ports.
Cliquez sur l’onglet Activité réseau .
Dans la barre d’outils Activité réseau , cliquez sur Rechercher >Nouvelle recherche.
Dans le volet Paramètres de recherche , ajoutez un filtre de recherche source de flux.
Dans la première liste, sélectionnez Source du flux.
Dans la troisième liste, sélectionnez le nom ou l’adresse IP de votre routeur NetFlow.
Si votre routeur NetFlow n’est pas affiché dans la troisième liste, JSA risque de ne pas détecter le trafic de ce routeur.
Cliquez sur Ajouter un filtre.
Dans le volet Paramètres de recherche , ajoutez un filtre de recherche de protocole.
Dans la première liste, sélectionnez Protocole.
Dans la troisième liste, sélectionnez TCP.
Cliquez sur Ajouter un filtre.
Cliquez sur Filtre.
Localisez les colonnes d’octets source et d’octets de destination pour vérifier la collecte de données.
Si l’une ou l’autre colonne affiche de nombreux résultats sans octets, votre configuration peut être incomplète. Vous devez vérifier votre configuration NetFlow .
Désactiver les messages de journal NetFlow
Vous pouvez désactiver les messages de journal NetFlow pour les empêcher d’utiliser l’espace des fichiers journaux.
Si votre routeur NetFlow est configuré pour des exemples de flux, le message suivant peut être enregistré dans votre fichier journal JSA .
nov 3 16:01:03 qflowhost \[11519\] qflow115 : \[AVERTISSEMENT\] default_Netflow : 30 flux manqués à partir de 10.10.1.1 (2061927611,2061927641)
Ce message indique que le numéro de séquence du paquet est manqué. Si le nombre de flux manqués correspond à votre taux d’échantillonnage, vous pouvez ignorer le message.
Dans le menu de navigation, cliquez sur Admin.
Dans le menu de navigation, cliquez sur Configuration du système.
Cliquez sur la gestion du système et des licences.
Cliquez sur Systems dans le menu Display .
Sélectionnez la console.
Dans le menu Actions de déploiement , cliquez sur Modifier l’hôte.
Cliquez sur l’icône de gestion des composants .
Dans le champ Vérifier les numéros de séquence NetFlow , sélectionnez Non.
Cliquez sur Enregistrer.
Cliquez sur Enregistrer dans la fenêtre Modifier l’hôte géré .
Fermez la fenêtre gestion du système et des licences .
Dans la barre d’outils, cliquez sur Déployer les modifications.