NetFlow (Cisco) und sFlow (herstellerunabhängig) sind Protokolle, mit denen Netzwerkgeräte Verkehrsstatistiken an einen zentralen Kollektor senden. Du erhältst dadurch Informationen wie Quell- und Ziel-IP, Ports, Protokolltypen und Datenvolumen pro Verbindung. Diese Daten sind wertvoll für Anomalieerkennung, Kapazitätsplanung und forensische Untersuchungen. Im Unterschied zu Paketmitschnitten (PCAP) erfassen Flow-Protokolle nur Metadaten, was die Datenmenge und den Speicherbedarf deutlich reduziert. Für Dein ISMS liefern NetFlow/sFlow die Datenbasis, um ungewöhnliche Kommunikationsmuster (z. B. Datenexfiltration, C2-Verkehr) zu erkennen.