Traffic Analytics – áttekintés
A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. A traffic analytics az Azure Network Watcher folyamatnaplóit elemzi, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. A forgalomelemzéssel az alábbiakat végezheti el:
Az Azure-előfizetések hálózati tevékenységeinek megjelenítése.
Azonosítsa a gyakori pontokat.
Biztonságossá teheti a hálózatot a következő összetevőkkel kapcsolatos információk használatával a fenyegetések azonosításához:
- Nyitott portok
- Az internethez hozzáférni próbáló alkalmazások
- Virtuális gépek (VM-ek), amelyek csatlakoznak a zsiványhálózatokhoz
Optimalizálhatja a hálózati üzembe helyezést a teljesítmény és a kapacitás szempontjából az Azure-régiók és az internet forgalmi mintáinak megismerésével.
Rögzítse a hálózati helytelen konfigurációkat, amelyek sikertelen kapcsolatokhoz vezethetnek a hálózaton.
Miért érdemes forgalomelemzést használni?
Elengedhetetlen a saját hálózat figyelése, kezelése és ismerete a kompromisszummentes biztonság, megfelelőség és teljesítmény érdekében. A saját környezet ismerete rendkívül fontos a védelem és az optimalizálás szempontjából. Gyakran ismernie kell a hálózat aktuális állapotát, beleértve a következő információkat:
- Ki csatlakozik a hálózathoz?
- Honnan csatlakoznak?
- Mely portok vannak nyitva az interneten?
- Mi a várt hálózati viselkedés?
- Van-e szabálytalan hálózati viselkedés?
- Hirtelen megnő a forgalom?
A felhőhálózatok eltérnek a helyszíni vállalati hálózatoktól. A helyszíni hálózatokban az útválasztók és kapcsolók támogatják a NetFlow-t és más, egyenértékű protokollokat. Ezekkel az eszközökkel adatokat gyűjthet az IP-hálózati forgalomról, amikor belép vagy kilép egy hálózati adapterről. A forgalmi adatok elemzésével létrehozhatja a hálózati forgalom és a kötet elemzését.
Az Azure-beli virtuális hálózatokban a folyamatnaplók adatokat gyűjtenek a hálózatról. Ezek a naplók egy hálózati biztonsági csoporton vagy virtuális hálózaton keresztül információt nyújtanak a bejövő és kimenő IP-forgalomról. A Traffic Analytics elemzi a nyers folyamatnaplókat, és egyesíti a naplóadatokat a biztonsággal, a topológiával és a földrajzi helyzettel kapcsolatos intelligenciával. A Traffic Analytics ezután betekintést nyújt a környezet forgalmi folyamatába.
A Traffic Analytics a következő információkat nyújtja:
- A legtöbb kommunikáló gazdagép
- A legtöbbet kommunikáló alkalmazásprotokollok
- A legtöbb konvergens gazdagéppár
- Engedélyezett és blokkolt forgalom
- Bejövő és kimenő forgalom
- Internetes portok megnyitása
- A legtöbb blokkolási szabály
- Forgalomeloszlás Azure-adatközpontonként, virtuális hálózaton, alhálózatokon vagy rogue-hálózatonként
A legfontosabb összetevők
A forgalomelemzés használatához a következő összetevőkre van szüksége:
Network Watcher: Regionális szolgáltatás, amellyel hálózati forgatókönyv szintjén figyelheti és diagnosztizálhatja a feltételeket az Azure-ban. A Network Watcher használatával be- és kikapcsolhatja a hálózati biztonsági csoport folyamatnaplóit. További információ: Mi az Az Azure Network Watcher?
Log Analytics: Az Azure Portalon az Azure Monitor-naplók adatainak kezeléséhez használt eszköz. Az Azure Monitor-naplók egy Olyan Azure-szolgáltatás, amely monitorozási adatokat gyűjt, és az adatokat egy központi adattárban tárolja. Ezek az adatok tartalmazhatnak eseményeket, teljesítményadatokat vagy az Azure API-on keresztül biztosított egyéni adatokat. Az adatok összegyűjtése után az adatok riasztáshoz, elemzéshez és exportáláshoz érhetők el. Az olyan alkalmazások monitorozása, mint a hálózati teljesítményfigyelő és a forgalomelemzés, az Azure Monitor-naplókat használják alapként. További információ: Azure Monitor-naplók. A Log Analytics lehetővé teszi a naplók lekérdezéseinek szerkesztését és futtatását. Ezzel az eszközzel is elemezheti a lekérdezési eredményeket. További információ: A Log Analytics áttekintése az Azure Monitorban.
Log Analytics-munkaterület: Az Azure Monitor egy Azure-fiókra vonatkozó naplóadatait tároló környezet. A Log Analytics-munkaterületekkel kapcsolatos további információkért lásd a Log Analytics-munkaterület áttekintését.
Emellett a forgalomnaplózáshoz engedélyezve kell lennie egy hálózati biztonsági csoportnak, ha forgalomelemzést használ a hálózati biztonsági csoportok folyamatnaplóinak elemzéséhez, vagy egy olyan virtuális hálózatra, amely engedélyezve van a forgalomnaplózáshoz, ha forgalomelemzést használ a virtuális hálózati folyamatnaplók elemzéséhez:
Hálózati biztonsági csoport (NSG):: Olyan biztonsági szabályok listáját tartalmazó erőforrás, amely engedélyezi vagy letiltja az Azure-beli virtuális hálózathoz csatlakozó erőforrások hálózati forgalmát. A hálózati biztonsági csoportok társíthatók a virtuális gépekhez (Resource Manager) csatlakoztatott alhálózatokhoz, hálózati adapterekhez (hálózati adapterekhez) vagy egyéni (klasszikus) virtuális gépekhez. További információ: Hálózati biztonsági csoport áttekintése.
Hálózati biztonsági csoport folyamatnaplói: Rögzített adatok a hálózati biztonsági csoporton keresztüli bejövő és kimenő IP-forgalomról. A hálózati biztonsági csoport folyamatnaplói JSON formátumban vannak megírva, és a következőket tartalmazzák:
- Kimenő és bejövő folyamatok szabályonként.
- Az a hálózati adapter, amelyre a folyamat vonatkozik.
- Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
- A forgalom állapota, például engedélyezett vagy elutasítva.
A hálózati biztonsági csoport folyamatnaplóiról további információt a hálózati biztonsági csoport folyamatnaplóinak áttekintésében talál.
Virtuális hálózat (VNet): Olyan erőforrás, amely lehetővé teszi, hogy számos Azure-erőforrás biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. További információ: Virtuális hálózat áttekintése.
Virtuális hálózati folyamatnaplók: Rögzített adatok a virtuális hálózaton keresztüli bejövő és kimenő IP-forgalomról. A virtuális hálózati folyamatnaplók JSON formátumban vannak megírva, és a következőket tartalmazzák:
- Kimenő és bejövő folyamatok.
- Információk a folyamatról, például a forrás- és cél IP-címekről, a forrás- és célportokról, valamint a protokollról.
- A forgalom állapota, például engedélyezett vagy elutasítva.
A virtuális hálózati folyamatnaplókkal kapcsolatos további információkért tekintse meg a virtuális hálózati folyamatok naplóinak áttekintését.
Feljegyzés
A hálózati biztonsági csoport folyamatnaplói és a virtuális hálózati folyamatnaplók közötti különbségekkel kapcsolatos információkért tekintse meg a virtuális hálózati forgalom naplóit a hálózati biztonsági csoport folyamatnaplóihoz képest.
A forgalomelemzés működése
A Traffic Analytics a nyers folyamatnaplókat vizsgálja. Ezt követően csökkenti a naplókötetet a közös forrás IP-címmel, cél IP-címmel, célporttal és protokolllal rendelkező folyamatok összesítésével.
Ilyen lehet például az 1. gazdagép a 10.10.10.10 IP-címen és a 2. gazdagép a 10.10.20.10 IP-címen. Tegyük fel, hogy ez a két gazdagép 100-szor kommunikál egy óra alatt. Ebben az esetben a nyers folyamatnapló 100 bejegyzést tartalmaz. Ha ezek a gazdagépek a 80-as porton a HTTP protokollt használják mind a 100 interakcióhoz, a csökkentett napló egy bejegyzéssel rendelkezik. Ez a bejegyzés azt állítja, hogy az 1. gazdagép és a 2. gazdagép 100-szor kommunikált egy óra alatt a 80-as portON található HTTP protokoll használatával.
A csökkentett naplókat földrajzi, biztonsági és topológiai adatokkal bővítik, majd egy Log Analytics-munkaterületen tárolják. Az alábbi ábra az adatfolyamot mutatja be:
Előfeltételek
A forgalomelemzéshez a következő előfeltételek szükségesek:
Network Watcher-kompatibilis előfizetés. További információ: Az Azure Network Watcher engedélyezése vagy letiltása.
A figyelni kívánt hálózati biztonsági csoportokhoz engedélyezett hálózati biztonsági csoportok vagy a figyelni kívánt virtuális hálózat virtuális hálózati folyamatnaplói engedélyezettek. További információ: Hálózati biztonsági csoport folyamatnaplójának létrehozása vagy Virtuális hálózati folyamatnapló létrehozása.
Egy Azure Log Analytics-munkaterület olvasási és írási hozzáféréssel. További információ: Log Analytics-munkaterület létrehozása.
Az alábbi beépített Azure-szerepkörök egyikét kell hozzárendelni a fiókjához:
Üzembehelyezési modell Szerepkör Resource Manager Tulajdonos Közreműködő 1. hálózati közreműködőés 2. monitorozási közreműködő Ha az előző beépített szerepkörök egyike sem van hozzárendelve a fiókjához, rendeljen hozzá egy egyéni szerepkört a fiókjához. Az egyéni szerepkörnek az előfizetés szintjén a következő műveleteket kell támogatnia:
Microsoft.Network/applicationGateways/read
Microsoft.Network/connections/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/localNetworkGateways/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/routeTables/read
Microsoft.Network/virtualNetworkGateways/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/expressRouteCircuits/read
Microsoft.OperationalInsights/workspaces/read
1Microsoft.OperationalInsights/workspaces/sharedkeys/action
1Microsoft.Insights/dataCollectionRules/read
2Microsoft.Insights/dataCollectionRules/write
2Microsoft.Insights/dataCollectionRules/delete
2Microsoft.Insights/dataCollectionEndpoints/read
2Microsoft.Insights/dataCollectionEndpoints/write
2Microsoft.Insights/dataCollectionEndpoints/delete
2
1 A hálózati közreműködő nem fedi le
Microsoft.OperationalInsights/workspaces/*
a műveleteket.2 Csak akkor szükséges, ha forgalomelemzést használ a virtuális hálózati folyamatnaplók elemzéséhez. További információ: Adatgyűjtési szabályok az Azure Monitorban és adatgyűjtési végpontok az Azure Monitorban.
Ha tudni szeretné, hogyan ellenőrizheti a felhasználóhoz hozzárendelt szerepköröket egy előfizetéshez, olvassa el az Azure-szerepkör-hozzárendelések listázása az Azure Portalon című témakört. Ha nem látja a szerepkör-hozzárendeléseket, forduljon az adott előfizetés rendszergazdájához.
Figyelemfelhívás
Az adatgyűjtési szabályt és az adatgyűjtési végpont erőforrásait a forgalomelemzés hozza létre és kezeli. Ha bármilyen műveletet hajt végre ezeken az erőforrásokon, előfordulhat, hogy a forgalomelemzés nem a várt módon működik.
Díjszabás
A díjszabás részleteiért tekintse meg a Network Watcher díjszabását és az Azure Monitor díjszabását.
Forgalomelemzés (GYIK)
A forgalomelemzéssel kapcsolatos leggyakrabban feltett kérdésekre a Traffic Analytics gyakori kérdéseiben talál választ.
Kapcsolódó tartalom
- A forgalomelemzés használatának megismeréséhez tekintse meg a használati forgatókönyveket.
- A forgalomelemzés séma- és feldolgozási részleteinek megismeréséhez tekintse meg a Traffic Analytics sémáját és adatösszesítését.