A forgalomelemzés használati forgatókönyvei
Ebből a cikkből megtudhatja, hogyan kaphat elemzéseket a forgalomról, miután konfigurálta a forgalomelemzést különböző forgatókönyvekben.
Forgalmi hotspotok keresése
Keresni
- Mely gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoportok küldik vagy fogadják a legtöbb forgalmat, maximális kártékony forgalmat hajtanak be, és blokkolják a jelentős folyamatokat?
- Ellenőrizze a gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoportok összehasonlító diagramját. Annak megértése, hogy mely gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoport küldi vagy fogadja a legtöbb forgalmat, segíthet azonosítani a legnagyobb forgalmat feldolgozó gazdagépeket, és hogy a forgalomelosztás megfelelően történik-e.
- Kiértékelheti, hogy a forgalom mennyisége megfelelő-e egy gazdagéphez. Normális-e a forgalom mennyisége, vagy további vizsgálatot érdemel?
- Mennyi bejövő/kimenő forgalom van?
- A gazdagép várhatóan több bejövő forgalmat kap, mint a kimenő, vagy fordítva?
- A blokkolt forgalom statisztikái.
- Miért blokkolja egy gazdagép a jóindulatú forgalom jelentős mennyiségét? Ez a viselkedés további vizsgálatot és valószínűleg a konfiguráció optimalizálását igényli
- Rosszindulatú engedélyezett/blokkolt forgalom statisztikája
Miért fogad rosszindulatú forgalmat egy gazdagép, és miért engedélyezettek a rosszindulatú forrásokból származó folyamatok? Ez a viselkedés további vizsgálatot és valószínűleg a konfiguráció optimalizálását igényli.
Válassza az Összes megtekintése az IP-cím alatt az alábbi képen látható módon:
Az alábbi képen az első öt beszélő gazdagép időrendje és a gazdagépek folyamattal kapcsolatos adatai (engedélyezett – bejövő/kimenő és megtagadott – bejövő/kimenő folyamatok) láthatók:
Az 5 legfontosabb beszélő IP-cím részletei területen válassza a Továbbiak elemet az alábbi képen látható módon az összes gazdagépre vonatkozó elemzések megtekintéséhez:
Keresni
Melyek a leginkább konvergens gazdagéppárok?
- Várt viselkedés, például előtérbeli vagy háttérbeli kommunikáció vagy szabálytalan viselkedés, például háttérbeli internetes forgalom.
Az engedélyezett/blokkolt forgalom statisztikái
- Miért engedélyezi vagy blokkolja a gazdagép a jelentős forgalommennyiséget?
Leggyakrabban használt alkalmazásprotokoll a legtöbb konvergens gazdagéppár között:
Engedélyezettek ezek az alkalmazások ezen a hálózaton?
Megfelelően vannak konfigurálva az alkalmazások? A megfelelő protokollt használják a kommunikációhoz? Válassza az Összes megjelenítése a Gyakori beszélgetés csoportban, ahogy az alábbi képen is látható:
Az alábbi képen az első öt beszélgetéshez tartozó idő trendje látható, valamint a folyamattal kapcsolatos részletek, például a beszélgetéspárok engedélyezett és elutasított bejövő és kimenő folyamatai:
Keresni
Melyik alkalmazásprotokoll a leggyakrabban használt a környezetben, és melyik konvergens gazdapár használja a legtöbbet az alkalmazásprotokollt?
Engedélyezettek ezek az alkalmazások ezen a hálózaton?
Megfelelően vannak konfigurálva az alkalmazások? A megfelelő protokollt használják a kommunikációhoz? A várt viselkedés gyakori portok, például a 80-as és a 443-as. Normál kommunikáció esetén, ha szokatlan portok jelennek meg, konfigurációmódosításra lehet szükség. Válassza az Összes megtekintése az Alkalmazásport területen az alábbi képen:
Az alábbi képeken az első öt L7 protokoll időrendje, valamint az L7 protokoll folyamattal kapcsolatos részletei (például engedélyezett és elutasított folyamatok) láthatók:
Keresni
Egy VPN-átjáró kapacitáskihasználtsági trendjei a környezetben.
- Minden VPN-termékváltozat bizonyos sávszélességet tesz lehetővé. Kihasználatlanok a VPN-átjárók?
- Az átjárók elérik a kapacitást? Frissítsen a következő magasabb termékváltozatra?
Melyek a leginkább konvergens gazdagépek, melyik VPN-átjárón keresztül, melyik porton keresztül?
Ez a minta normális? Válassza az Összes megjelenítése a VPN-átjáró alatt, ahogy az alábbi képen is látható:
Az alábbi képen az Azure VPN Gateway kapacitáskihasználtságának időbeli trendje és a folyamattal kapcsolatos részletek (például engedélyezett folyamatok és portok) láthatók:
Forgalomeloszlás vizualizációja földrajzi hely szerint
Keresni
Adatközpontonkénti forgalomeloszlás, például az adatközpontba irányuló forgalom fő forrásai, az adatközponttal konvergens legfelső szintű hálózatok és az alkalmazásprotokollok legfelső szintű egyeztetése.
Ha nagyobb terhelést észlel egy adatközpontban, megtervezheti a hatékony forgalomelosztást.
Ha a hibás hálózatok az adatközpontban konvergensek, akkor a letiltásukhoz javítsa ki az NSG-szabályokat.
Válassza a Térkép megtekintése lehetőséget a Saját környezet alatt, ahogy az alábbi képen is látható:
A geotérképen az olyan paraméterek kiválasztására szolgáló felső menüszalag látható, mint az adatközpontok (Üzembe helyezett/Nincs üzembe helyezés/Aktív/Inaktív/Traffic Analytics engedélyezve/Traffic Analytics nincs engedélyezve) és az aktív üzembe helyezéshez jóindulatú/rosszindulatú forgalmat hozzájáruló országok/régiók:
A geotérképen a kék (jóindulatú forgalom) és a piros (rosszindulatú forgalom) színes vonalakkal kommunikáló országokból/régiókból és kontinensekről érkező adatközpontba érkező forgalom eloszlása látható:
Az Azure-régió További elemzés paneljén az adott régióban (azaz a forrás és a cél ugyanabban a régióban) fennmaradó teljes forgalom is látható. További elemzéseket nyújt az adatközpont rendelkezésre állási zónái között kicserélt forgalomról
Forgalomeloszlás vizualizációja virtuális hálózatok szerint
Keresni
Forgalomeloszlás virtuális hálózatonként, topológia, a virtuális hálózat felé irányuló forgalom legfontosabb forrásai, a virtuális hálózat felé konvergáló legfelső hálózatok és a legfelső szintű konvergens alkalmazásprotokollok.
Annak ismerete, hogy melyik virtuális hálózat melyik virtuális hálózathoz kapcsolódik. Ha a beszélgetés nem várható, kijavítható.
Ha a hibás hálózatok virtuális hálózattal konvergálnak, kijavíthatja az NSG-szabályokat a hibás hálózatok blokkolásához.
Válassza a Saját környezet alatti virtuális hálózatok megtekintése lehetőséget az alábbi képen látható módon:
A virtuális hálózat topológiája megjeleníti a felső menüszalagot olyan paraméterek kiválasztásához, mint a virtuális hálózat (inter virtual network Csatlakozás ions/Active/Inaktív), a külső Csatlakozás ions, az aktív folyamatok és a virtuális hálózat rosszindulatú folyamatai.
A virtuális hálózat topológiáját előfizetések, munkaterületek, erőforráscsoportok és időintervallumok alapján szűrheti. További szűrők, amelyek segítenek a folyamat megértésében: folyamat típusa (InterVNet, IntraVNET stb.), folyamatirány (bejövő, kimenő), folyamat állapota (Engedélyezett, Letiltva), VNET-ek (célzott és Csatlakozás), Csatlakozás ion típus (társviszony vagy átjáró – P2S és S2S) és NSG. Ezekkel a szűrőkkel azokra a virtuális hálózatokra összpontosíthat, amelyeket részletesen meg szeretne vizsgálni.
Az egér görgetőkerekével nagyíthatja és kicsinyítheti a virtuális hálózati topológiát. A bal gombbal kattintva az egérrel a kívánt irányba húzhatja a topológiát. A következő műveletek végrehajtásához billentyűparancsokat is használhat: A (balra húzáshoz), D (jobbra húzáshoz), W (felhúzáshoz), S (lefelé húzáshoz), + (nagyításhoz), - (kicsinyítéshez), R (a nagyítás visszaállításához).
A virtuális hálózat topológiája megjeleníti a virtuális hálózat felé irányuló forgalomelosztást a folyamatok felé (Engedélyezett/Letiltott/Bejövő/Kimenő/Jóindulatú/Rosszindulatú), alkalmazásprotokollt és hálózati biztonsági csoportokat, például:
Keresni
Az alhálózatonkénti forgalomeloszlás, a topológia, az alhálózat felé irányuló forgalom fő forrásai, az alhálózat felé konvergáló legfelső hálózatok és az alkalmazásprotokollok legfelső szintű konvergensei.
- Annak ismerete, hogy melyik alhálózat melyik alhálózathoz kapcsolódik. Ha váratlan beszélgetéseket lát, kijavíthatja a konfigurációt.
- Ha a hibás hálózatok alhálózattal konvergálnak, az NSG-szabályok konfigurálásával kijavíthatja a hibás hálózatokat.
Az alhálózatok topológiája a felső menüszalagot jeleníti meg az olyan paraméterek kiválasztásához, mint az Aktív/Inaktív alhálózat, a Külső Csatlakozás, az Aktív folyamatok és az alhálózat rosszindulatú folyamatai.
Az egér görgetőkerekével nagyíthatja és kicsinyítheti a virtuális hálózati topológiát. A bal gombbal kattintva az egérrel a kívánt irányba húzhatja a topológiát. A következő műveletek végrehajtásához billentyűparancsokat is használhat: A (balra húzáshoz), D (jobbra húzáshoz), W (felhúzáshoz), S (lefelé húzáshoz), + (nagyításhoz), - (kicsinyítéshez), R (a nagyítás visszaállításához).
Az alhálózati topológia megjeleníti a virtuális hálózat felé irányuló forgalomeloszlást a folyamatok (Engedélyezett/Letiltott/Bejövő/Kimenő/Jóindulatú/Rosszindulatú), az alkalmazásprotokoll és az NSG-k tekintetében, például:
Keresni
Forgalomeloszlás az Application Gateway és a Load Balancer szerint, a topológia, a legfontosabb forgalomforrások, az Application Gateway & Load Balancer felé konvergáló legfelső hálózatok és az alkalmazásprotokollok legfelső szintű konvergensei.
Annak ismerete, hogy melyik alhálózat melyik Application Gatewayhez vagy Load Balancerhez kapcsolódik. Ha váratlan beszélgetéseket észlel, kijavíthatja a konfigurációt.
Ha a hibás hálózatok egy Application Gatewayrel vagy Load Balancerrel konfigurálják, az NSG-szabályok konfigurálásával blokkolhatja a hibás hálózatokat.
Az internetről érkező forgalmat fogadó portok és virtuális gépek megtekintése
Keresni
- Mely nyitott portok konvergálnak az interneten keresztül?
Ha váratlan portok vannak megnyitva, kijavíthatja a konfigurációt:
Keresni
Rosszindulatú forgalom van a környezetében? Honnan származik? Hová van szánva?
Információk megtekintése a nyilvános IP-címek üzembe helyezéssel való interakciójáról
Keresni
- Mely nyilvános IP-címek kommunikálnak a hálózatommal? Mi az összes nyilvános IP-cím WHOIS-adatai és földrajzi helye?
- Mely rosszindulatú IP-címek küldik a forgalmat az üzemelő példányaimra? Mi a rosszindulatú IP-címek fenyegetéstípusa és fenyegetésleírása?
A Nyilvános IP-információk szakasz összefoglalja a hálózati forgalomban található nyilvános IP-címek összes típusát. A részletek megtekintéséhez válassza ki a nyilvános IP-címet. Ez a sémadokumentum határozza meg a megjelenített adatmezőket.
A forgalomelemzési irányítópulton válassza ki bármelyik IP-címet az adatainak megtekintéséhez
Az NSG/NSG-szabályok találatainak trendjeinek megjelenítése
Keresni
Mely NSG/NSG-szabályok rendelkeznek a legtöbb találattal az összehasonlító diagramban a folyamatok eloszlásával?
Melyek a fő forrás- és célbeszélgetési párok NSG/NSG-szabályok szerint?
Az alábbi képeken az NSG-szabályok és a forrás-cél folyamat részleteinek időbeli trendje látható egy hálózati biztonsági csoport esetében:
Gyorsan felismerheti, hogy mely NSG-k és NSG-szabályok haladnak át a rosszindulatú folyamatokon, és melyek a felhőkörnyezethez hozzáférő leggyakoribb rosszindulatú IP-címek
Annak azonosítása, hogy mely NSG/NSG-szabályok engedélyezik/blokkolják a jelentős hálózati forgalmat
Az NSG- vagy NSG-szabályok részletes ellenőrzéséhez válassza ki a legfontosabb szűrőket