Megosztás a következőn keresztül:

A forgalomelemzés használati forgatókönyvei

  • Cikk

Ebből a cikkből megtudhatja, hogyan kaphat elemzéseket a forgalomról, miután konfigurálta a forgalomelemzést különböző forgatókönyvekben.

Forgalmi hotspotok keresése

Keresni

  • Mely gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoportok küldik vagy fogadják a legtöbb forgalmat, maximális kártékony forgalmat hajtanak be, és blokkolják a jelentős folyamatokat?
    • Ellenőrizze a gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoportok összehasonlító diagramját. Annak megértése, hogy mely gazdagépek, alhálózatok, virtuális hálózatok és virtuálisgép-méretezési csoport küldi vagy fogadja a legtöbb forgalmat, segíthet azonosítani a legnagyobb forgalmat feldolgozó gazdagépeket, és hogy a forgalomelosztás megfelelően történik-e.
    • Kiértékelheti, hogy a forgalom mennyisége megfelelő-e egy gazdagéphez. Normális-e a forgalom mennyisége, vagy további vizsgálatot érdemel?
  • Mennyi bejövő/kimenő forgalom van?
    • A gazdagép várhatóan több bejövő forgalmat kap, mint a kimenő, vagy fordítva?
  • A blokkolt forgalom statisztikái.
    • Miért blokkolja egy gazdagép a jóindulatú forgalom jelentős mennyiségét? Ez a viselkedés további vizsgálatot és valószínűleg a konfiguráció optimalizálását igényli
  • Rosszindulatú engedélyezett/blokkolt forgalom statisztikája

    • Miért fogad rosszindulatú forgalmat egy gazdagép, és miért engedélyezettek a rosszindulatú forrásokból származó folyamatok? Ez a viselkedés további vizsgálatot és valószínűleg a konfiguráció optimalizálását igényli.

      Válassza az Összes megtekintése az IP-cím alatt az alábbi képen látható módon:

      Screenshot of dashboard showcasing host with most traffic details.

      Az alábbi képen az első öt beszélő gazdagép időrendje és a gazdagépek folyamattal kapcsolatos adatai (engedélyezett – bejövő/kimenő és megtagadott – bejövő/kimenő folyamatok) láthatók:

      Az 5 legfontosabb beszélő IP-cím részletei területen válassza a Továbbiak elemet az alábbi képen látható módon az összes gazdagépre vonatkozó elemzések megtekintéséhez:

      Screenshot of top five most-talking host trends.

Keresni

  • Melyek a leginkább konvergens gazdagéppárok?

    • Várt viselkedés, például előtérbeli vagy háttérbeli kommunikáció vagy szabálytalan viselkedés, például háttérbeli internetes forgalom.

  • Az engedélyezett/blokkolt forgalom statisztikái

    • Miért engedélyezi vagy blokkolja a gazdagép a jelentős forgalommennyiséget?

  • Leggyakrabban használt alkalmazásprotokoll a legtöbb konvergens gazdagéppár között:

    • Engedélyezettek ezek az alkalmazások ezen a hálózaton?

    • Megfelelően vannak konfigurálva az alkalmazások? A megfelelő protokollt használják a kommunikációhoz? Válassza az Összes megjelenítése a Gyakori beszélgetés csoportban, ahogy az alábbi képen is látható:

      Screenshot of dashboard showcasing most frequent conversations.

  • Az alábbi képen az első öt beszélgetéshez tartozó idő trendje látható, valamint a folyamattal kapcsolatos részletek, például a beszélgetéspárok engedélyezett és elutasított bejövő és kimenő folyamatai:

    Screenshot of top five chatty conversation details and trends.

Keresni

  • Melyik alkalmazásprotokoll a leggyakrabban használt a környezetben, és melyik konvergens gazdapár használja a legtöbbet az alkalmazásprotokollt?

    • Engedélyezettek ezek az alkalmazások ezen a hálózaton?

    • Megfelelően vannak konfigurálva az alkalmazások? A megfelelő protokollt használják a kommunikációhoz? A várt viselkedés gyakori portok, például a 80-as és a 443-as. Normál kommunikáció esetén, ha szokatlan portok jelennek meg, konfigurációmódosításra lehet szükség. Válassza az Összes megtekintése az Alkalmazásport területen az alábbi képen:

      Screenshot of dashboard showcasing top application protocols.

  • Az alábbi képeken az első öt L7 protokoll időrendje, valamint az L7 protokoll folyamattal kapcsolatos részletei (például engedélyezett és elutasított folyamatok) láthatók:

    Screenshot of top five layer 7 protocols details and trends.

    Screenshot of the flow details for application protocol in log search.

Keresni

  • Egy VPN-átjáró kapacitáskihasználtsági trendjei a környezetben.

    • Minden VPN-termékváltozat bizonyos sávszélességet tesz lehetővé. Kihasználatlanok a VPN-átjárók?
    • Az átjárók elérik a kapacitást? Frissítsen a következő magasabb termékváltozatra?

  • Melyek a leginkább konvergens gazdagépek, melyik VPN-átjárón keresztül, melyik porton keresztül?

    • Ez a minta normális? Válassza az Összes megjelenítése a VPN-átjáró alatt, ahogy az alábbi képen is látható:

      Screenshot of dashboard showcasing top active VPN connections.

  • Az alábbi képen az Azure VPN Gateway kapacitáskihasználtságának időbeli trendje és a folyamattal kapcsolatos részletek (például engedélyezett folyamatok és portok) láthatók:

    Screenshot of VPN gateway utilization trend and flow details.

Forgalomeloszlás vizualizációja földrajzi hely szerint

Keresni

  • Adatközpontonkénti forgalomeloszlás, például az adatközpontba irányuló forgalom fő forrásai, az adatközponttal konvergens legfelső szintű hálózatok és az alkalmazásprotokollok legfelső szintű egyeztetése.

    • Ha nagyobb terhelést észlel egy adatközpontban, megtervezheti a hatékony forgalomelosztást.

    • Ha a hibás hálózatok az adatközpontban konvergensek, akkor a letiltásukhoz javítsa ki az NSG-szabályokat.

      Válassza a Térkép megtekintése lehetőséget a Saját környezet alatt, ahogy az alábbi képen is látható:

      Screenshot of dashboard showcasing traffic distribution.

  • A geotérképen az olyan paraméterek kiválasztására szolgáló felső menüszalag látható, mint az adatközpontok (Üzembe helyezett/Nincs üzembe helyezés/Aktív/Inaktív/Traffic Analytics engedélyezve/Traffic Analytics nincs engedélyezve) és az aktív üzembe helyezéshez jóindulatú/rosszindulatú forgalmat hozzájáruló országok/régiók:

    Screenshot of geo map view showcasing active deployment.

  • A geotérképen a kék (jóindulatú forgalom) és a piros (rosszindulatú forgalom) színes vonalakkal kommunikáló országokból/régiókból és kontinensekről érkező adatközpontba érkező forgalom eloszlása látható:

    Screenshot of geo map view showcasing traffic distribution to countries/regions and continents.

    Screenshot of flow details for traffic distribution in log search.

  • Az Azure-régió További elemzés paneljén az adott régióban (azaz a forrás és a cél ugyanabban a régióban) fennmaradó teljes forgalom is látható. További elemzéseket nyújt az adatközpont rendelkezésre állási zónái között kicserélt forgalomról

    Screenshot of Inter Zone and Intra region traffic.

Forgalomeloszlás vizualizációja virtuális hálózatok szerint

Keresni

  • Forgalomeloszlás virtuális hálózatonként, topológia, a virtuális hálózat felé irányuló forgalom legfontosabb forrásai, a virtuális hálózat felé konvergáló legfelső hálózatok és a legfelső szintű konvergens alkalmazásprotokollok.

    • Annak ismerete, hogy melyik virtuális hálózat melyik virtuális hálózathoz kapcsolódik. Ha a beszélgetés nem várható, kijavítható.

    • Ha a hibás hálózatok virtuális hálózattal konvergálnak, kijavíthatja az NSG-szabályokat a hibás hálózatok blokkolásához.

      Válassza a Saját környezet alatti virtuális hálózatok megtekintése lehetőséget az alábbi képen látható módon:

      Screenshot of dashboard showcasing virtual network distribution.

  • A virtuális hálózat topológiája megjeleníti a felső menüszalagot olyan paraméterek kiválasztásához, mint a virtuális hálózat (inter virtual network Csatlakozás ions/Active/Inaktív), a külső Csatlakozás ions, az aktív folyamatok és a virtuális hálózat rosszindulatú folyamatai.

  • A virtuális hálózat topológiáját előfizetések, munkaterületek, erőforráscsoportok és időintervallumok alapján szűrheti. További szűrők, amelyek segítenek a folyamat megértésében: folyamat típusa (InterVNet, IntraVNET stb.), folyamatirány (bejövő, kimenő), folyamat állapota (Engedélyezett, Letiltva), VNET-ek (célzott és Csatlakozás), Csatlakozás ion típus (társviszony vagy átjáró – P2S és S2S) és NSG. Ezekkel a szűrőkkel azokra a virtuális hálózatokra összpontosíthat, amelyeket részletesen meg szeretne vizsgálni.

  • Az egér görgetőkerekével nagyíthatja és kicsinyítheti a virtuális hálózati topológiát. A bal gombbal kattintva az egérrel a kívánt irányba húzhatja a topológiát. A következő műveletek végrehajtásához billentyűparancsokat is használhat: A (balra húzáshoz), D (jobbra húzáshoz), W (felhúzáshoz), S (lefelé húzáshoz), + (nagyításhoz), - (kicsinyítéshez), R (a nagyítás visszaállításához).

  • A virtuális hálózat topológiája megjeleníti a virtuális hálózat felé irányuló forgalomelosztást a folyamatok felé (Engedélyezett/Letiltott/Bejövő/Kimenő/Jóindulatú/Rosszindulatú), alkalmazásprotokollt és hálózati biztonsági csoportokat, például:

    Screenshot of virtual network topology showcasing traffic distribution and flow details.

    Screenshot of virtual network topology showcasing top level and more filters.

    Screenshot of flow details for virtual network traffic distribution in log search.

Keresni

  • Az alhálózatonkénti forgalomeloszlás, a topológia, az alhálózat felé irányuló forgalom fő forrásai, az alhálózat felé konvergáló legfelső hálózatok és az alkalmazásprotokollok legfelső szintű konvergensei.

    • Annak ismerete, hogy melyik alhálózat melyik alhálózathoz kapcsolódik. Ha váratlan beszélgetéseket lát, kijavíthatja a konfigurációt.
    • Ha a hibás hálózatok alhálózattal konvergálnak, az NSG-szabályok konfigurálásával kijavíthatja a hibás hálózatokat.

  • Az alhálózatok topológiája a felső menüszalagot jeleníti meg az olyan paraméterek kiválasztásához, mint az Aktív/Inaktív alhálózat, a Külső Csatlakozás, az Aktív folyamatok és az alhálózat rosszindulatú folyamatai.

  • Az egér görgetőkerekével nagyíthatja és kicsinyítheti a virtuális hálózati topológiát. A bal gombbal kattintva az egérrel a kívánt irányba húzhatja a topológiát. A következő műveletek végrehajtásához billentyűparancsokat is használhat: A (balra húzáshoz), D (jobbra húzáshoz), W (felhúzáshoz), S (lefelé húzáshoz), + (nagyításhoz), - (kicsinyítéshez), R (a nagyítás visszaállításához).

  • Az alhálózati topológia megjeleníti a virtuális hálózat felé irányuló forgalomeloszlást a folyamatok (Engedélyezett/Letiltott/Bejövő/Kimenő/Jóindulatú/Rosszindulatú), az alkalmazásprotokoll és az NSG-k tekintetében, például:

    Screenshot of subnet topology showcasing traffic distribution to a virtual network subnet with regards to flows.

Keresni

Forgalomeloszlás az Application Gateway és a Load Balancer szerint, a topológia, a legfontosabb forgalomforrások, az Application Gateway & Load Balancer felé konvergáló legfelső hálózatok és az alkalmazásprotokollok legfelső szintű konvergensei.

  • Annak ismerete, hogy melyik alhálózat melyik Application Gatewayhez vagy Load Balancerhez kapcsolódik. Ha váratlan beszélgetéseket észlel, kijavíthatja a konfigurációt.

  • Ha a hibás hálózatok egy Application Gatewayrel vagy Load Balancerrel konfigurálják, az NSG-szabályok konfigurálásával blokkolhatja a hibás hálózatokat.

    Screenshot shows a subnet topology with traffic distribution to an application gateway subnet regarding flows.

Az internetről érkező forgalmat fogadó portok és virtuális gépek megtekintése

Keresni

  • Mely nyitott portok konvergálnak az interneten keresztül?

    • Ha váratlan portok vannak megnyitva, kijavíthatja a konfigurációt:

      Screenshot of dashboard showcasing ports receiving and sending traffic to the internet.

      Screenshot of Azure destination ports and hosts details.

Keresni

Rosszindulatú forgalom van a környezetében? Honnan származik? Hová van szánva?

Screenshot of malicious traffic flows detail in log search.

Információk megtekintése a nyilvános IP-címek üzembe helyezéssel való interakciójáról

Keresni

  • Mely nyilvános IP-címek kommunikálnak a hálózatommal? Mi az összes nyilvános IP-cím WHOIS-adatai és földrajzi helye?
  • Mely rosszindulatú IP-címek küldik a forgalmat az üzemelő példányaimra? Mi a rosszindulatú IP-címek fenyegetéstípusa és fenyegetésleírása?

    • A Nyilvános IP-információk szakasz összefoglalja a hálózati forgalomban található nyilvános IP-címek összes típusát. A részletek megtekintéséhez válassza ki a nyilvános IP-címet. Ez a sémadokumentum határozza meg a megjelenített adatmezőket.

      Screenshot that displays the public IP information.

    • A forgalomelemzési irányítópulton válassza ki bármelyik IP-címet az adatainak megtekintéséhez

      Screenshot that displays the external IP information in tool tip.

      Screenshot that displays the malicious IP information in tool tip.

Keresni

  • Mely NSG/NSG-szabályok rendelkeznek a legtöbb találattal az összehasonlító diagramban a folyamatok eloszlásával?

  • Melyek a fő forrás- és célbeszélgetési párok NSG/NSG-szabályok szerint?

    Screenshot of dashboard showcasing NSG hits statistics.

  • Az alábbi képeken az NSG-szabályok és a forrás-cél folyamat részleteinek időbeli trendje látható egy hálózati biztonsági csoport esetében:

    • Gyorsan felismerheti, hogy mely NSG-k és NSG-szabályok haladnak át a rosszindulatú folyamatokon, és melyek a felhőkörnyezethez hozzáférő leggyakoribb rosszindulatú IP-címek

    • Annak azonosítása, hogy mely NSG/NSG-szabályok engedélyezik/blokkolják a jelentős hálózati forgalmat

    • Az NSG- vagy NSG-szabályok részletes ellenőrzéséhez válassza ki a legfontosabb szűrőket

      Screenshot showcasing time trending for NSG rule hits and top NSG rules.

      Screenshot of top N S G rules statistics details in log search.