Datenerfassung und -erkennung mit VPC-Flow-Protokollen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Service-Mapping kann eine Erkennung basierend auf Daten durchführen, die mit VPC-Flow-Protokollen erfasst wurden. Amazon VPC hostet Amazon EC2-Instanzen (Elastic Compute Cloud), die Amazon Web Services bereitstellen. VPC-Flow-Protokolle erfassen Daten über den IP-Datenverkehr, der von und zu Netzwerkschnittstellen in der VPC geleitet wird.

    In Basissystemen verwendet die datenverkehrsbasierte Discovery nur TCP-Daten, die mithilfe der Befehle netstat, ss und lsof erfasst wurden. Die auf Netflow- und VPC-Protokollen basierende Discovery erfordert eine zusätzliche Konfiguration. Sie können Ihre datenverkehrsbasierte Erkennung bereichern, indem Sie Service-Mapping für die Verwendung von VPC-Flow-Protokollen konfigurieren.

    Die Service-Mapping-Erkennung auf Basis von VPC-Flow-Protokollen folgt dem folgenden Flow:
    1. Amazon EC2-Instanzen erfassen ihre einzelnen Protokolle in Protokoll-Streams und leiten sie an die zentrale Flow-Protokollgruppe weiter.
      Abbildung : 1. Erfassung individueller Protokolle durch Amazon EC2-Instanzen

      Erfassung individueller Protokolle durch Amazon EC2-Instanzen
    2. Der ServiceNow-Connector veranlasst den MID-Server, veranlasst, Daten aus dem Flow-Protokoll zu erfassen und zu verarbeiten.
    3. Der MID-Server stellt die verarbeiteten Informationen in die ECC-Warteschlange.
      Abbildung : 2. MID-Server erfasst Daten aus dem Flow-Protokoll und platziert sie in die ECC-Warteschlange

      MID-Server erfasst die Daten aus dem Flow-Protokoll und platziert sie in die ECC-Warteschlange.
    4. Ein Sensor ruft die Prozessdaten aus der ECC-Warteschlange ab und schreibt sie in die Flow-Verbindungstabelle [sa_flow_connection].

    5. Wann auch immer Service-Mapping die ECC-Warteschlange prüft und Informationen zu einem ermittelten CI empfängt, prüft es diese Tabellen auf alle Daten zu ausgehenden Verbindungen, die sich auf das CI beziehen: die Tabellen cmdb_tcp und sa_flow_connection. Wenn diese beiden Tabellen eindeutige Daten enthalten, die von den Mustern nicht erkannt wurden, werden von Service-Mapping die Informationen zu den CI-Verbindungen erweitert, und die Informationen werden der Zuordnung hinzugefügt.

      Abbildung : 3. Gesammelte Daten werden in die Tabelle sa_flow_connection geschrieben, aus der Service-Mapping die Daten erfasst

      Die erfassten Daten werden in die Tabelle „sa_flow_connection“ geschrieben, aus der Service-Mapping die Daten erfasst.

    Konfigurieren Sie in Bereitstellungen mit mehreren Flow-Protokollgruppen einen dedizierten Connector, der mit einem MID-Server pro Flow-Protokollgruppe arbeitet. Mehrere Flow-Protokollgruppen können dieselben AWS-Anmeldeinformationen verwenden.