Was sind VPC Flow-Protokolle?
13435
Created On 01/11/19 20:11 PM - Last Modified 03/26/21 17:29 PM
Question
Was sind VPC Flow-Protokolle?
Environment
Prisma Cloud
Answer
VPC Flow-Protokolle stellen einen unidirektionalen Datensatz des Netzwerkverkehrs bereit. Sie werden Ihnen sagen, dass Pakete von A nach und in einem separaten Datensatz von an B geflossen B A sind, aber sie werden Ihnen nicht sagen, welcher Endpunkt eine Unterhaltung initiiert hat. Sie bieten keinen direkten Einblick, welcher Endpunkt der Server in einer Unterhaltung ist.
Sie können sich ansehen, welcher Flow-Datensatz einen niedrigeren Zeitstempel hat, und davon ausgehen, dass die Quelle in diesem Datensatz der Client ist, aber im Fall von VPC Flussprotokollen wird die Protokollsammlung über mehrere Minutenfenster aggregiert, wodurch die erforderliche Genauigkeit entfernt wird, um dies zu einem zuverlässigen Indikator zu machen. Darüber hinaus werden langlebige Verbindungen und Verbindungen, die an den Grenzen von Protokollstapeln angezeigt werden, diese Heuristik zunichte machen.
Es gibt andere Faktoren, die wir berücksichtigen können, z. B. Quellport im Vergleich zum Zielport. Wir können auch die Anzahl der verschiedenen Peers für einen bestimmten Endpunkt IP und Port vergleichen.
Prisma Cloud bewertet alle diese Bedingungen, plus andere, mit einem Gewicht, das jedem Maß gegeben wird, und einer historischen Verzerrung. Aber am Ende sind die Maßnahmen heuristisch und nicht perfekt.