JSA 7.5.0 の新機能と機能強化
JSA 7.5.0 は、JSA 7.5.0 を使用すると、フロー トラフィックの可視性が向上するとともに、パフォーマンスと安定性が向上します。
外部フローソース用のマルチスレッド処理
7.5.0 アップデート パック 1 で変更フロー パイプラインの継続的な改善の一環として、フロー プロセッサー フロー処理サービスは、IPFIX、NetFlow V9、QRadar Network Insights フロー ソースなどの外部フロー ソースのマルチスレッド処理をサポートするようになりました。
JSA 7.5.0 は、外部フロー ソースの処理時に、受信、解析、正規化の各フェーズで、マルチスレッド処理を導入しました。
これらの改善点に基づいて構築された JSA 7.5.0 更新パック 1 では、フロー プロセッサー フロー処理サービス内のフローの分析、送信、ガベージ コレクションに、マルチスレッド処理が導入されます。
現在、エンドツーエンドのフロー プロセッサー フロー処理サービス全体で、マルチスレッド処理が採用されています。フロー プロセッサー プロセスのパフォーマンスが向上し、JSA はより多くのフローを処理できるようになります。
デフォルトでは、マルチスレッド処理が有効になり、アプライアンスの機能に基づいてスレッド数が自動的に決定されます。
シーケンス番号の検証
7.5.0 アップデート パック 1 の新機能フロー プロセッサー フロー処理サービスのすべてのステージでマルチスレッド処理が使用できるようになったので、JSA はシーケンス番号の検証を使用してメッセージのドロップを検出できます。メッセージがドロップされると、ネットワークに問題があることを示す可能性があります。たとえば、障害のあるフロー エクスポート機能、損失のあるネットワーク、攻撃者によるネットワークへのパケット挿入などです。
JSA 7.5.0 更新パック 1 では、欠落しているシーケンス番号は 1 分あたり 1 回だけ報告され、パケットがシーケンス範囲のギャップを埋める時間を確保します。シーケンス番号が見逃された場合は、 /var/log/qradar.log ファイルで報告されます。
ネットワーク アドレス変換フィールドのサポート
JSA は、IPFIX および NetFlow V9 フロー レコードからネットワーク アドレス変換(NAT)情報を受信できるようになりました。
JSA 7.5.0では、以下のNATフィールドがサポートされています。
-
postNATSourceIPv4アドレス(IANA要素ID 225)
-
postNATDestinationIPv4アドレス(IANA要素ID 226)
-
postNAPTSourceトランスポートポート(IANA要素ID 227)
-
postNAPTDestinationトランスポート(IANA要素ID 228)
新しいフィールドは、[フロー情報] ウィンドウの [フロー データ] に分類されます。フィルター、検索、ルールで使用できます。
JSA フロー ソースでサポートされているフィールドの詳細については、『 Juniper Secure Analytics Users Guide』の「ネットワーク アクティビティ監視」の章を参照してください。
新しいアプリケーション決定アルゴリズム
これで、QRadar Network Insights フローに使用されるアプリケーション識別アルゴリズムの詳細が表示されます。
このリリースでは 、QNI 検査 (9) アルゴリズムが削除されています。これは、以下の新しいアルゴリズムに置き換えられます。
-
QNI ポートヒューリスティック(11)
このアルゴリズムは、QRadar Network Insights がポートヒューリスティックに基づいてアプリケーションを識別する場合に使用されます。これは、アプリケーション決定における信頼度の最も低いレベルを表します。
-
QNI の初期データ(12)
このアルゴリズムは、QRadar Network Insights がフロー セッションの初期データの分析に基づいてアプリケーションを識別する場合に使用されます。これは中程度の信頼度を表しています。
-
QNI パーサー(13)
このアルゴリズムは、QRadar Network Insightsが利用可能なデータに基づいてアプリケーションを決定する自信がある場合に使用されます。
[フロー情報] ウィンドウの [アプリケーション決定アルゴリズム] フィールドに情報を表示できます。
フロー アプリケーションの識別の詳細については、『 Juniper Secure Analytics Users Guide』を参照してください。
AWS VPC フローログからより多くのフィールドをサポート
JSA は、Amazon Web Services(AWS)仮想プライベート クラウド(VPC)バージョン 3 フロー ログの詳細情報を表示できるようになりました。
JSA 7.5.0 では、以下のフィールドのサポートが導入されています。
- VPC ID
- サブネット ID
- インスタンス ID
IPFIX フロー・レコードにこれらのフィールドが含まれている場合、JSA は「クラウド」カテゴリーの「フローの詳細」ページに情報を表示します。
AWSフローデータの表示の詳細については、 Juniper Secure Analyticsユーザーガイドを参照してください。
より多くの改善
JSA 7.5.0 には、以下の機能強化も含まれています。
-
[コンポーネント管理]ウィンドウ(システム>管理とライセンス管理>ホストの編集)で、[エイリアスの自動検知]フィールドの名前が[エイリアスの自動検知]の DNS ルックアップに変更されます。
-
フロー方向アルゴリズムは、フロー解析プロセスの開始時に適用されるようになりました。
この変更により、ペイロード コンテンツ キャプチャが行われる前に宛先ポートが決定され、キャプチャされたペイロードの量は共通の宛先ポート設定の設定と常に一致します。
-
関連する IPFIX フィールドのみがペイロードにエンコードされます。
一部の IPFIX フィールドのデフォルト・エンコード方式は変更され、ペイロードに付加されなくなります。今度は、タイプ値長(TLV)要素としてフローに追加されます。
-
システムからタグ付きフローフィールドの 未分類 カテゴリを削除することはできません。