Hálózati biztonsági csoport folyamatnaplóinak vizualizációja a Power BI-val

  • Cikk

A hálózati biztonsági csoport folyamatnaplói lehetővé teszik a hálózati biztonsági csoportok bejövő és kimenő IP-forgalmával kapcsolatos információk megtekintését. Ezek a folyamatnaplók szabályonként jelenítik meg a kimenő és a bejövő folyamatokat, a folyamat által érintett hálózati adaptert, a folyamat 5 rekordos adatait (forrás/cél IP-címe, forrás/célport, protokoll), valamint azt, hogy a forgalom engedélyezve vagy megtagadva volt-e.

A naplófájlok manuális keresésével nehéz lehet betekintést nyerni a folyamatnaplózási adatokba. Ebben a cikkben megoldást kínálunk a legutóbbi folyamatnaplók vizualizációjára és a hálózat forgalmának megismerésére.

Figyelmeztetés

Az alábbi lépések a folyamatnaplók 1- es verziójával működnek. További információ: Bevezetés a hálózati biztonsági csoportok folyamatnaplózásába. Az alábbi utasítások módosítás nélkül nem működnek a naplófájlok 2. verziójával.

Eset

A következő forgatókönyvben a Power BI Desktopot az NSG-folyamatnaplózási adatok fogadójaként konfigurált tárfiókhoz csatlakoztatjuk. Miután csatlakoztunk a tárfiókhoz, a Power BI letölti és elemzi a naplókat, hogy vizuálisan ábrázolja a hálózati biztonsági csoportok által naplózott forgalmat.

A sablonban megadott vizualizációk használatával megvizsgálhatja a következőt:

  • Legjobb beszédesek
  • Time Series Flow Data irány és szabálydöntés szerint
  • Folyamatok hálózati adapter szerinti MAC-cím alapján
  • Folyamatok NSG és szabály szerint
  • Folyamatok célport szerint

A megadott sablon szerkeszthető, így az igényeinek megfelelően módosíthatja, hogy új adatokat, vizualizációkat vagy lekérdezéseket szerkesszen.

Beállítás

Mielőtt hozzákezdene, engedélyeznie kell a hálózati biztonsági csoportok folyamatnaplózását egy vagy több hálózati biztonsági csoporton a fiókjában. A hálózati biztonsági folyamatnaplók engedélyezésével kapcsolatos utasításokért tekintse meg a következő cikket: Bevezetés a hálózati biztonsági csoportok folyamatnaplózásába.

A gépen telepítve kell lennie a Power BI Desktop-ügyfélnek is, és elegendő szabad helynek kell lennie a gépen a tárfiókban található naplóadatok letöltéséhez és betöltéséhez.

Visio-diagram

Lépések

  1. Töltse le és nyissa meg a következő Power BI-sablont a Power BI Desktop Application Network Watcher Power BI-folyamatnaplók sablonjában

  2. Adja meg a szükséges lekérdezési paramétereket

    1. StorageAccountName – Megadja annak a tárfióknak a nevét, amely tartalmazza a betölteni és vizualizálni kívánt NSG-folyamatnaplókat.

    2. NumberOfLogFiles – Megadja a Power BI-ban letölteni és vizualizálni kívánt naplófájlok számát. Ha például 50 van megadva, az 50 legújabb naplófájl. Ha 2 NSG van engedélyezve, és konfigurálva van arra, hogy NSG-folyamatnaplókat küldjön erre a fiókra, akkor az elmúlt 25 óra naplói megtekinthetők.

      power BI main

  3. Adja meg a tárfiók hozzáférési kulcsát. Az érvényes hozzáférési kulcsokat az Azure Portal tárfiókjára lépve, a Gépház menüben pedig a hozzáférési kulcsok kiválasztásával találhatja meg. Kattintson a Csatlakozás, majd alkalmazza a módosításokat.

    hozzáférési kulcsok

    2. hozzáférési kulcs

  4. A naplók letöltésre és elemzésre kerülnek, és most már használhatja az előre létrehozott vizualizációkat.

A vizualizációk ismertetése

A sablonban megadott vizualizációk segítenek értelmezni az NSG-folyamatnapló adatait. Az alábbi képeken egy minta látható az irányítópult adataival való feltöltéskor. Az alábbiakban részletesebben vizsgáljuk meg az egyes vizualizációk részleteit.

powerbi

A Top Talkers vizualizáció azokat az IP-címeket jeleníti meg, amelyek a legtöbb kapcsolatot kezdeményezték a megadott időszakban. A mezők mérete a kapcsolatok relatív számának felel meg.

toptalkers

Az alábbi idősordiagramok az időszakon keresztüli folyamatok számát mutatják. A felső gráfot a folyamatirány szegmentáltja, az alsót pedig a döntés (engedélyezés vagy megtagadás) szegmentálta. Ezzel a vizualizációval idővel megvizsgálhatja a forgalmi trendeket, és észlelheti a rendellenes kiugró értékeket, illetve a forgalom vagy a forgalom szegmentálásának csökkenését.

flowoverperiod

Az alábbi grafikonok a hálózati adapterenkénti folyamatokat mutatják be, a felső szakaszt a folyamat iránya, az alsó pedig a döntés által szegmentált. Ezzel az információval betekintést nyerhet abba, hogy a virtuális gépek közül melyik kommunikálta a legtöbbet másokhoz képest, és hogy egy adott virtuális gép felé történő forgalom engedélyezve van-e vagy megtagadva.

flowpernic

Az alábbi fánkkerekes diagram a folyamatok célportok szerinti lebontását mutatja be. Ezzel az információval megtekintheti a megadott időszakon belül leggyakrabban használt célportokat.

Fánk

Az alábbi sávdiagramon az NSG és a szabály szerinti folyamat látható. Ezekkel az információkkal láthatja a legtöbb forgalomért felelős NSG-ket, valamint az NSG-k forgalmának szabály szerinti lebontását.

barchart

Az alábbi információs diagramok a naplókban található NSG-kkel, az időszak során rögzített folyamatok számával és a legkorábbi napló rögzítésének dátumával kapcsolatos információkat jelenítik meg. Ez az információ bemutatja, hogy milyen NSG-k naplózása és a folyamatok dátumtartománya történik.

infochart1

infochart2

Ez a sablon a következő szeletelőket tartalmazza, amelyek lehetővé teszik, hogy csak azokat az adatokat tekinthesse meg, amelyek a leginkább érdeklik. Szűrhet az erőforráscsoportokra, az NSG-kre és a szabályokra. Szűrheti az 5 rekordos információkat, a döntést és a napló írásának időpontját is.

szeletelők

Összegzés

Ebben a forgatókönyvben azt mutattuk be, hogy a Network Watcher és a Power BI által biztosított hálózati biztonsági csoportfolyamat-naplók használatával vizualizálhatjuk és megérthetjük a forgalmat. A megadott sablon használatával a Power BI közvetlenül a tárolóból tölti le a naplókat, és helyben dolgozza fel őket. A sablon betöltéséhez szükséges idő a kért fájlok számától és a letöltött fájlok teljes méretétől függően változik.

Igény szerint testre szabhatja ezt a sablont. A Power BI-t számos módon használhatja a hálózati biztonsági csoport folyamatnaplóival.

Jegyzetek

  • A naplók alapértelmezés szerint a következő helyen vannak tárolva: https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/

    • Ha más adatok is léteznek egy másik könyvtárban, módosítani kell az adatok lekérésére és feldolgozására vonatkozó lekérdezéseket.

  • A megadott sablon nem ajánlott 1 GB-nál több naplóhoz.

  • Ha nagy mennyiségű naplóval rendelkezik, javasoljuk, hogy vizsgálja meg a megoldást egy másik adattár, például a Data Lake vagy az SQL Server használatával.

Következő lépések

Megtudhatja, hogyan jelenítheti meg az NSG-folyamatnaplókat az Elastic Stack használatával az Azure Network Watcher NSG-folyamatnaplóinak vizualizációjával nyílt forráskód eszközökkel