NetFlow
NetFlow とは何ですか?
NetFlowCisco 発のフローレコードプロトコル、および後継の sFlow・IPFIX。ネットワーク機器を通過する各会話の要約メタデータを外部にエクスポートする。
NetFlow は単方向または双方向の会話を 5 タプル(送信元/宛先 IP・ポート、プロトコル)で表し、バイト数・パケット数・タイムスタンプ・インターフェース番号・任意フィールドを付与します。ルーターやスイッチがフローレコードをコレクタへエクスポートし、保存・分析されます。マルチギガビット環境までスケールし、フル PCAP よりはるかに小さいコストで長期可視性を得られるため広く採用されています。代表的な実装は Cisco NetFlow v5/v9、サンプリング型の sFlow(InMon)、IETF RFC 7011 のベンダ中立な IPFIX です。防御側はベースライン化、ビーコン検知、DDoS のトリアージ、データ持ち出しの発見、フォレンジックのタイムライン再構築に利用します。
● 例
- 01
ある端末が 5 分おきに同一外部 IP へ小さなフローを規則的に送るビーコン型 C2 を検出する。
- 02
持ち出しが疑われる時間帯にクラウドストレージ宛 IP への送信バイト量を集計する。
● よくある質問
NetFlow とは何ですか?
Cisco 発のフローレコードプロトコル、および後継の sFlow・IPFIX。ネットワーク機器を通過する各会話の要約メタデータを外部にエクスポートする。 サイバーセキュリティの 防御と運用 カテゴリに属します。
NetFlow とはどういう意味ですか?
Cisco 発のフローレコードプロトコル、および後継の sFlow・IPFIX。ネットワーク機器を通過する各会話の要約メタデータを外部にエクスポートする。
NetFlow はどのように機能しますか?
NetFlow は単方向または双方向の会話を 5 タプル(送信元/宛先 IP・ポート、プロトコル)で表し、バイト数・パケット数・タイムスタンプ・インターフェース番号・任意フィールドを付与します。ルーターやスイッチがフローレコードをコレクタへエクスポートし、保存・分析されます。マルチギガビット環境までスケールし、フル PCAP よりはるかに小さいコストで長期可視性を得られるため広く採用されています。代表的な実装は Cisco NetFlow v5/v9、サンプリング型の sFlow(InMon)、IETF RFC 7011 のベンダ中立な IPFIX です。防御側はベースライン化、ビーコン検知、DDoS のトリアージ、データ持ち出しの発見、フォレンジックのタイムライン再構築に利用します。
NetFlow からどのように防御しますか?
NetFlow に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
NetFlow の別名は何ですか?
一般的な別名: IPFIX, sFlow, フローレコード。
● 関連用語
- defense-ops№ 806
PCAP
libpcap、tcpdump、Wireshark などが生成するパケットキャプチャ用バイナリ形式。ネットワークパケットを線上で観測された通りに保存する。
- defense-ops№ 1245
Wireshark
オープンソースのネットワーク プロトコル アナライザーで、トラブルシュート、セキュリティ分析、教育のためにパケットをリアルタイムでキャプチャ・解析する。
- network-security№ 295
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
- forensics-ir№ 722
ネットワークフォレンジック
ネットワークトラフィックとメタデータを取得・記録・解析し、セキュリティ事象の調査と攻撃者活動の再構成を行う領域。
- defense-ops№ 716
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。