Přehled analýzy provozu
Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací ve vašich cloudových sítích. Analýzy provozu konkrétně analyzují protokoly toku služby Azure Network Watcher, aby poskytovaly přehled o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:
Vizualizujte síťovou aktivitu napříč předplatnými Azure.
Identifikace horkých míst
Zabezpečení sítě pomocí informací o následujících komponentách k identifikaci hrozeb:
- Otevřené porty
- Aplikace, které se pokoušejí o přístup k internetu
- Virtuální počítače, které se připojují k neautorným sítím
Optimalizujte nasazení sítě pro výkon a kapacitu tím, že rozumíte vzorům toku provozu napříč oblastmi Azure a internetem.
Připnutí chybných konfigurací sítě, které můžou vést k selhání připojení ve vaší síti.
Proč analýza provozu?
Je důležité monitorovat, spravovat a znát vlastní síť pro nekompromisní zabezpečení, dodržování předpisů a výkon. Znalost vlastního prostředí je pro ochranu a optimalizaci velmi důležitá. Často potřebujete znát aktuální stav sítě, včetně následujících informací:
- Kdo se připojuje k síti?
- Odkud se připojují?
- Které porty jsou otevřené na internetu?
- Jaké je očekávané chování sítě?
- Existuje nějaké nepravidelné chování sítě?
- Došlo k náhlému nárůstu provozu?
Cloudové sítě se liší od místních podnikových sítí. V místních sítích podporují směrovače a přepínače NetFlow a další ekvivalentní protokoly. Tato zařízení můžete použít ke shromažďování dat o síťovém provozu PROTOKOLU IP při jejich vstupu nebo ukončení síťového rozhraní. Analýzou dat toku provozu můžete vytvořit analýzu toku a objemu síťového provozu.
S virtuálními sítěmi Azure shromáždí protokoly toku data o síti. Tyto protokoly poskytují informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě nebo virtuální síť. Analýza provozu analyzuje nezpracované protokoly toku a kombinuje data protokolů s inteligentními informacemi o zabezpečení, topologii a geografické oblasti. Analýza provozu pak poskytuje přehled o toku provozu ve vašem prostředí.
Analýza provozu poskytuje následující informace:
- Většina komunikujících hostitelů
- Většina komunikačních aplikačních protokolů
- Většina párů hostitelů konversující
- Povolený a blokovaný provoz
- Příchozí a odchozí provoz
- Otevření internetových portů
- Většina blokujících pravidel
- Distribuce provozu na datacentrum Azure, virtuální síť, podsítě nebo podvodná síť
Klíčové komponenty
Pokud chcete použít analýzu provozu, potřebujete následující komponenty:
Network Watcher: Regionální služba, kterou můžete použít k monitorování a diagnostice podmínek na úrovni scénáře sítě v Azure. Pomocí služby Network Watcher můžete zapnout a vypnout protokoly toku skupiny zabezpečení sítě. Další informace najdete v tématu Co je Azure Network Watcher?
Log Analytics: Nástroj na webu Azure Portal, který používáte pro práci s daty protokolů služby Azure Monitor. Protokoly Azure Monitoru jsou služba Azure, která shromažďuje data monitorování a ukládá je v centrálním úložišti. Tato data můžou zahrnovat události, údaje o výkonu nebo vlastní data, která jsou poskytována prostřednictvím rozhraní Azure API. Po shromáždění těchto dat jsou k dispozici pro upozorňování, analýzu a export. Monitorování aplikací, jako je monitorování výkonu sítě a analýza provozu, používají protokoly Azure Monitoru jako základ. Další informace najdete v protokolech služby Azure Monitor. Log Analytics nabízí způsob, jak upravovat a spouštět dotazy na protokoly. Tento nástroj můžete také použít k analýze výsledků dotazu. Další informace najdete v tématu Přehled služby Log Analytics ve službě Azure Monitor.
Pracovní prostor Služby Log Analytics: Prostředí, ve které jsou uložená data protokolu služby Azure Monitor, která se týkají účtu Azure. Další informace o pracovních prostorech služby Log Analytics najdete v tématu Přehled pracovního prostoru služby Log Analytics.
Kromě toho potřebujete pro protokolování toku povolenou skupinu zabezpečení sítě, pokud k analýze protokolů toku skupiny zabezpečení sítě používáte analýzy provozu nebo virtuální síť s povoleným protokolováním toku, pokud k analýze protokolů toku virtuální sítě používáte analýzy provozu:
Skupina zabezpečení sítě (NSG): Prostředek, který obsahuje seznam pravidel zabezpečení, která povolují nebo zakazují síťový provoz do nebo z prostředků připojených k virtuální síti Azure. Skupiny zabezpečení sítě můžou být přidružené k podsítím, síťovým rozhraním (NIC), které jsou připojené k virtuálním počítačům (Resource Manager) nebo k jednotlivým virtuálním počítačům (classic). Další informace najdete v tématu Přehled skupiny zabezpečení sítě.
Protokoly toku skupiny zabezpečení sítě: Zaznamenané informace o příchozím a výchozím provozu IP přes skupinu zabezpečení sítě. Protokoly toku skupin zabezpečení sítě se zapisují ve formátu JSON a zahrnují:
- Odchozí a příchozí toky na základě pravidel.
- Síťová karta, na kterou se tok vztahuje.
- Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
- Stav provozu, například povolený nebo odepřený
Další informace o protokolech toků skupin zabezpečení sítě najdete v přehledu protokolů toků skupin zabezpečení sítě.
Virtuální síť: Prostředek, který umožňuje mnoha typům prostředků Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Další informace najdete v tématu Přehled virtuální sítě.
Protokoly toku virtuální sítě: Zaznamenané informace o příchozím a výchozím provozu IP přes virtuální síť. Protokoly toku virtuální sítě se zapisují ve formátu JSON a zahrnují:
- Odchozí a příchozí toky.
- Informace o toku, jako jsou zdrojové a cílové IP adresy, zdrojové a cílové porty a protokol.
- Stav provozu, například povolený nebo odepřený
Další informace o protokolech toku virtuální sítě najdete v přehledu protokolů toku virtuální sítě.
Poznámka:
Informace o rozdílech mezi protokoly toků skupin zabezpečení sítě a protokoly toku virtuální sítě najdete v tématu Protokoly toku virtuální sítě v porovnání s protokoly toků skupin zabezpečení sítě.
Jak funguje analýza provozu
Analýza provozu zkoumá nezpracované protokoly toku. Potom sníží svazek protokolu agregací toků, které mají společnou zdrojovou IP adresu, cílovou IP adresu, cílový port a protokol.
Příkladem může být hostitel 1 na IP adrese 10.10.10.10 a Hostitel 2 na IP adrese 10.10.20.10. Předpokládejme, že tito dva hostitelé komunikují 100krát za jednu hodinu. V tomto případě obsahuje nezpracovaný protokol toku 100 položek. Pokud tito hostitelé pro každou z těchto 100 interakcí používají protokol HTTP na portu 80, má zkrácený protokol jednu položku. Tato položka uvádí, že Hostitel 1 a Hostitel 2 komunikovaly 100krát po dobu jedné hodiny pomocí protokolu HTTP na portu 80.
Omezené protokoly se vylepšují s informacemi o zeměpisné oblasti, zabezpečení a topologii a pak jsou uložené v pracovním prostoru služby Log Analytics. Následující diagram znázorňuje tok dat:
Požadavky
Analýza provozu vyžaduje následující požadavky:
Předplatné s povolenou službou Network Watcher. Další informace najdete v tématu Povolení nebo zakázání služby Azure Network Watcher.
Protokoly toku skupiny zabezpečení sítě povolené pro skupiny zabezpečení sítě, které chcete monitorovat, nebo protokoly toku virtuální sítě povolené pro virtuální síť, kterou chcete monitorovat. Další informace najdete v tématu Vytvoření protokolu toku skupiny zabezpečení sítě nebo Vytvoření protokolu toku virtuální sítě.
Pracovní prostor Azure Log Analytics s přístupem pro čtení a zápis. Další informace najdete v tématu Vytvoření pracovního prostoru služby Log Analytics.
K vašemu účtu je potřeba přiřadit jednu z následujících předdefinovaných rolí Azure:
Model nasazení Role Správce zdrojů Vlastník Přispěvatel Přispěvatelsítě 1 a Přispěvatelmonitorování 2 Pokud k vašemu účtu nejsou přiřazeny žádné z předchozích předdefinovaných rolí, přiřaďte k účtu vlastní roli . Vlastní role by měla podporovat následující akce na úrovni předplatného:
Microsoft.Network/applicationGateways/readMicrosoft.Network/connections/readMicrosoft.Network/loadBalancers/readMicrosoft.Network/localNetworkGateways/readMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkSecurityGroups/readMicrosoft.Network/publicIPAddresses/readMicrosoft.Network/routeTables/readMicrosoft.Network/virtualNetworkGateways/readMicrosoft.Network/virtualNetworks/readMicrosoft.Network/expressRouteCircuits/readMicrosoft.OperationalInsights/workspaces/read1Microsoft.OperationalInsights/workspaces/sharedkeys/action1Microsoft.Insights/dataCollectionRules/read2Microsoft.Insights/dataCollectionRules/write2Microsoft.Insights/dataCollectionRules/delete2Microsoft.Insights/dataCollectionEndpoints/read2Microsoft.Insights/dataCollectionEndpoints/write2Microsoft.Insights/dataCollectionEndpoints/delete2
1 Přispěvatel sítě nepokrývá
Microsoft.OperationalInsights/workspaces/*akce.2 Vyžaduje se pouze při použití analýzy provozu k analýze protokolů toku virtuální sítě. Další informace najdete v tématu Pravidla shromažďování dat ve službě Azure Monitor a koncové body shromažďování dat ve službě Azure Monitor.
Informace o tom, jak zkontrolovat role přiřazené uživateli pro předplatné, najdete v tématu Výpis přiřazení rolí Azure pomocí webu Azure Portal. Pokud přiřazení rolí nevidíte, obraťte se na příslušného správce předplatného.
Upozornění
Pravidla shromažďování dat a prostředky koncového bodu shromažďování dat se vytvářejí a spravují pomocí analýz provozu. Pokud u těchto prostředků provedete nějakou operaci, analýza provozu nemusí fungovat podle očekávání.
Ceny
Podrobnosti o cenách najdete v tématu Ceny služby Network Watcher a ceny služby Azure Monitor.
Analýza provozu (nejčastější dotazy)
Odpovědi na nejčastější dotazy k analýze provozu najdete v tématu Nejčastější dotazy k analýze provozu.
Související obsah
- Informace o používání analýzy provozu najdete ve scénářích využití.
- Pokud chcete porozumět schématu a zpracování podrobností analýzy provozu, přečtěte si téma Schéma a agregace dat v Analýze provozu.