Traffic Analytics

Traffic Analytics ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Ihren Cloudnetzwerken bietet. Konkret analysiert Traffic Analytics die Datenflussprotokolle der Netzwerksicherheitsgruppe (NSG) von Azure Network Watcher, um Erkenntnisse über den Datenverkehrsfluss in Ihrer Azure-Cloud zu gewinnen. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:

  • Visualisieren der Netzwerkaktivität Ihrer Azure-Abonnements

  • Bestimmen von Hotspots

  • Absichern Ihres Netzwerks mithilfe von Informationen zu den folgenden Komponenten, um Bedrohungen auszumachen:

    • Öffnen von Ports
    • Anwendungen, die versuchen, auf das Internet zuzugreifen
    • Virtuelle Computer (VMs), die eine Verbindung mit nicht autorisierten Netzwerken herstellen
  • Optimieren Ihrer Netzwerkbereitstellung hinsichtlich Leistung und Kapazität, indem Sie sich mit den Mustern des Datenverkehrsflusses in Azure-Regionen und im Internet vertraut machen

  • Ermitteln von Fehlkonfigurationen im Netzwerk, die zum Ausfall von Verbindungen in Ihrem Netzwerk führen können

Hinweis

Traffic Analytics unterstützt nun das Erfassen von NSG-Flussprotokolldaten alle 10 Minuten.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Gründe für die Nutzung der Datenverkehrsanalyse

Es ist wichtig, dass Sie Ihr eigenes Netzwerk kennen, überwachen und verwalten, um Sicherheit, Compliance und Leistung zu gewährleisten. Eine genaue Kenntnis Ihrer eigenen Umgebung ist von großer Bedeutung für deren Schutz und Optimierung. Sie müssen oftmals den aktuellen Zustand des Netzwerks kennen, einschließlich der folgenden Informationen:

  • Wer stellt eine Verbindung mit dem Netzwerk her?
  • Was ist die Quelle der Verbindung?
  • Welche Ports zum Internet sind geöffnet?
  • Was ist das erwartete Netzwerkverhalten?
  • Gibt es unregelmäßiges Netzwerkverhalten?
  • Gibt es einen plötzlichen Anstieg des Datenverkehrs?

Cloudnetzwerke unterscheiden sich von lokalen Unternehmensnetzwerken. In lokalen Netzwerken unterstützen Router und Switches NetFlow und andere vergleichbare Protokolle. Sie können mit diesen Geräten Daten über den IP-Netzwerkdatenverkehr sammeln, sobald dieser an einer Netzwerkschnittstelle ein- oder ausgeht. Durch die Analyse der Daten zum Datenverkehr können Sie eine Analyse der Datenflüsse und Mengen des Netzwerkdatenverkehrs erstellen.

Bei virtuellen Azure-Netzwerken werden Daten zum Netzwerk in den NSG-Datenflussprotokollen gesammelt. Diese Protokolle enthalten Informationen über ein- und ausgehenden IP-Datenverkehr durch eine NSG, die einzelnen Schnittstellen, VMs oder Subnetzen zugeordnet ist. Nach Analyse der rohen NSG-Datenflussprotokolle kombiniert Traffic Analytics die Protokolldaten mit Informationen zu Sicherheit, Topologie und Region. Traffic Analytics liefert Ihnen dann Erkenntnisse über den Datenverkehrsfluss in Ihrer Umgebung.

Traffic Analytics liefert die folgenden Informationen:

  • Die am meisten kommunizierenden Hosts
  • Die am meisten kommunizierenden Anwendungsprotokolle
  • Die am meisten kommunizierenden Hostpaare
  • Zulässiger und blockierter Datenverkehr
  • Eingehender und ausgehender Datenverkehr
  • Offene Internetports
  • Die am meisten blockierenden Regeln
  • Datenverkehrsverteilung pro Azure-Rechenzentrum, virtuellem Netzwerk, Subnetz oder nicht autorisiertem Netzwerk

Wichtige Komponenten

  • Netzwerksicherheitsgruppe (NSG): Ressource mit einer Liste mit Sicherheitsregeln, mit denen Netzwerkdatenverkehr für Ressourcen, die mit einem virtuellen Azure-Netzwerk verbunden sind, zugelassen oder abgelehnt wird. NSGs können Subnetzen, einzelnen VMs (klassisch) oder einzelnen Netzwerkschnittstellen (NICs), die mit VMs (Resource Manager) verbunden sind, zugeordnet werden. Weitere Informationen finden Sie unter Übersicht über Netzwerksicherheit.

  • NSG-Datenflussprotokolle: aufgezeichnete Informationen zu ein- und ausgehendem IP-Datenverkehr über eine Netzwerksicherheitsgruppe. NSG-Datenflussprotokolle werden im JSON-Format geschrieben und enthalten Folgendes:

    • Aus- und eingehende Datenflüsse auf Regelbasis
    • Die Netzwerkkarte, auf die sich der Datenfluss bezieht
    • Informationen zum Datenfluss, wie z. B. Quell- und Ziel-IP-Adresse, Quell- und Zielport und Protokoll.
    • Status des Datenverkehrs, z. B. zulässig oder verweigert.

    Weitere Informationen zu NSG-Flussprotokollen finden Sie unter Einführung in die Datenflussprotokollierung für Netzwerksicherheitsgruppen.

  • Log Analytics: ein Tool im Azure-Portal zum Arbeiten mit Azure Monitor Logs-Daten. Azure Monitor Logs ist ein Azure-Dienst, der Überwachungsdaten sammelt und in einem zentralen Repository speichert. Bei diesen Daten kann es sich um Ereignis-, Leistungs- oder benutzerdefinierte Daten handeln, die über die Azure-API bereitgestellt wurden. Nach Sammeln dieser Daten stehen sie für Warnungen, Analysen und Export zur Verfügung. Überwachungsanwendungen wie Netzwerkleistungsmonitor und Traffic Analytics nutzen als Grundlage Azure Monitor-Protokolle. Weitere Informationen finden Sie unter Azure Monitor Logs. Log Analytics bietet eine Möglichkeit zum Bearbeiten und Anwenden von Abfragen auf Protokolle. Sie können mit diesem Tool auch Abfrageergebnisse analysieren. Weitere Informationen finden Sie unter Übersicht über Log Analytics in Azure Monitor.

  • Log Analytics-Arbeitsbereich: Umgebung, in der Azure Monitor-Protokolldaten gespeichert werden, die sich auf ein Azure-Konto beziehen. Weitere Informationen zu Log Analytics-Arbeitsbereichen finden Sie unter Erstellen eines Log Analytics-Arbeitsbereichs.

  • Network Watcher: regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in Azure überwachen und diagnostizieren können. Mit Network Watcher können Sie NSG-Datenflussprotokolle aktivieren und deaktivieren. Weitere Informationen finden Sie unter Network Watcher.

Funktionsweise der Datenverkehrsanalyse

Traffic Analytics untersucht rohe NSG-Datenflussprotokolle. Anschließend wird das Protokollvolumen reduziert, indem Datenflüsse aggregiert werden, die eine Quell-IP-Adresse, Ziel-IP-Adresse, einen Zielport und ein Protokoll gemeinsam haben.

Ein Beispiel ist Host 1 mit der IP-Adresse 10.10.10.10 und Host 2 mit der IP-Adresse 10.10.20.10. Angenommen, diese beiden Hosts kommunizieren in einer Stunde 100 Mal miteinander. Das rohe Datenflussprotokoll enthält in diesem Fall 100 Einträge. Wenn diese Hosts das HTTP-Protokoll an Port 80 für jede dieser 100 Interaktionen nutzen, enthält das reduzierte Protokoll lediglich einen Eintrag. Dieser Eintrag besagt, dass Host 1 und Host 2 innerhalb einer Stunde 100 Mal über das Protokoll HTTP an Port 80 kommuniziert haben.

Die reduzierten Protokolle werden durch Informationen zu Region, Sicherheit und Topologie erweitert und anschließend in einem Log Analytics-Arbeitsbereich gespeichert. Das folgende Diagramm zeigt den Datenfluss:

Diagramm, das zeigt, wie Netzwerkverkehrsdaten von einem NSG-Protokoll zu einem Analysedashboard fließen. Die mittleren Schritte umfassen Aggregation und Erweiterung.

Voraussetzungen

Ehe Sie Traffic Analytics einsetzen, stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt.

Benutzerzugriffsanforderungen

Eine der folgenden in Azure integrierten Rollen muss Ihrem Konto zugewiesen sein:

Bereitstellungsmodell Role
Ressourcen-Manager Besitzer
Mitwirkender
Leser
Mitwirkender von virtuellem Netzwerk

Wenn Ihrem Konto keine der vorherigen integrierten Rollen zugewiesen ist, weisen Sie Ihrem Konto eine benutzerdefinierte Rolle zu. Die benutzerdefinierte Rolle muss die folgenden Aktionen auf Abonnementebene unterstützen:

  • Microsoft.Network/applicationGateways/read
  • Microsoft.Network/connections/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/localNetworkGateways/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/publicIPAddresses/read"
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworkGateways/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/expressRouteCircuits/read

Informationen zum Überprüfen von Benutzerzugriffsberechtigungen finden Sie unter Häufig gestellte Fragen zu Traffic Analytics.

Häufig gestellte Fragen

Häufig gestellte Fragen zu Traffic Analytics finden Sie unter Häufig gestellte Fragen zu Traffic Analytics.

Nächste Schritte