フロープロセッサの設定

最大コンテンツキャプチャ

フロープロセッサがキャプチャしてフローペイロードに保持するデータの最大量(パケットあたりのバイト数)を指定します。

最大データキャプチャ/パケット

フロー プロセッサが分析するデータの最大量(パケットあたりのバイト数)を指定します。

フロー バッファー サイズ

メモリ内にバッファリングできるフローの最大数を指定します。

最大フロー数

フロープロセッサからイベントコレクタに送信するフローの最大数を指定します。

エイリアス自動検出

JSAがフローソースを自動検出できるようにするには、はいに設定します。

自動検出をオンにすると、 JSA はルーターなどの外部フローソースのフローソースエイリアスを自動的に作成できます。

重複するフローを削除する

フロー プロセッサで重複するフローを削除する場合は、これを [はい(Yes)] に設定します。

ネットワーク内に非対称トラフィックがある場合は、このパラメーターを [いいえ] に設定します。

NetFlow シーケンス番号の確認

フロー プロセッサが着信 NetFlow シーケンス番号をチェックして、すべてのパケットが存在し、順序に従っていることを確認する場合は、これを [はい(Yes)] に設定します。

JSA は、パケットが欠落しているか、誤った順序で受信された場合に通知を表示します。

外部フロー重複除外方式

重複する外部フローの削除に使用する方法を選択します。

• [ ソース ]を選択して、元のフロー ソースを比較します。

  このメソッドは、現在の外部フロー レコードをエクスポートしたデバイスの IP アドレスと、フローの最初の外部レコードをエクスポートしたデバイスの IP アドレスを比較します。IP アドレスが一致しない場合、現在の外部フロー レコードは破棄されます。

• [レコード] を選択して、個々の外部フロー レコードを比較します。

  このメソッドは、デバイスによって検出されたすべての外部フロー レコードのリストをログに記録し、後続の各レコードをそのリストと比較します。現在のレコードがリスト内に見つかった場合、そのレコードは破棄されます。

  この方法を選択する場合は、[ 外部フロー レコード比較マスク ] パラメーターも設定する必要があります。

フローキャリーオーバーウィンドウ

フロープロセッサプロセスが片側フローを保持する秒数を指定します。デフォルト設定は 6 秒です。

この設定により、 JSA がフローレスポンスを受信する時間が与えられます。持ち越しウィンドウ内にあるフローは、次のレポート間隔まで送信されません。

外部フロー・レコード比較マスク

外部フロー レコードの比較に使用する方法を指定します。

このパラメーターは、外部フローの重複除外に使用する方法として [ 記録 ] を選択した場合にのみ有効です。

外部フロー レコードを比較するときに使用するフロー レコード フィールドを選択できます。

• D (方向)

• B (バイトカウント)

• P (パケット数)

フロー レコード フィールドを組み合わせて、次の組み合わせを含めることができます。

• DBP オプションでは、方向、バイト数、パケット数が使用されます。

• XBP オプションでは、バイト数とパケット数が使用されます。

• DXPオプションは、方向とパケット数を使用します。

• DBX オプションでは、方向とバイト数を使用します。

• DXX オプションは方向を使用します。

• XBX オプションはバイト数を使用します。

• XXP オプションはパケット数を使用します。

スーパーフローの作成

JSAで類似したプロパティを持つフローを1つのフローレコードにグループ化する場合は、これを[はい]に設定します。

タイプ A スーパーフロー (ネットワーク・スキャン)

JSAがタイプA(1対多)スーパーフローを作成する前に到達するしきい値を指定します。

タイプ B スーパーフロー(DDos)

JSAがタイプB(多対1)のスーパーフローを作成する前に到達するしきい値を指定します。

タイプCスーパーフロー(ポートスキャン)

JSAがタイプC(1対1)スーパーフローを作成する前に到達するしきい値を指定します。

非対称フローの再結合

JSA で非対称フローを再結合する場合は、これを Yes に設定します。

非対称スーパーフローを無視

非対称フローが有効になっているときにJSAでスーパーフローを作成する場合は、これをYesに設定します。

共通の宛先ポートを使用

フロー方向を反転するかどうかをJSAに決定させる場合は、これを はい に設定します。