Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le acquisizioni di pacchetti contengono dati di rete che consentono di eseguire analisi forensi di rete e analisi approfondita dei pacchetti. Sono disponibili molti strumenti open source per analizzare le acquisizioni di pacchetti e ottenere informazioni dettagliate sulla rete. Uno di questi strumenti è CapAnalysis, uno strumento di visualizzazione open source per le acquisizioni di pacchetti.
La visualizzazione dei dati di acquisizione pacchetti permette di ottenere rapidamente informazioni approfondite sui modelli e le anomalie all'interno della rete Le visualizzazioni offrono anche un modo per condividere tali informazioni in un formato facilmente utilizzabile.
Con Azure Network Watcher è possibile acquisire dati eseguendo acquisizioni di pacchetti nella rete. Questo articolo illustra come visualizzare e ottenere informazioni dettagliate dalle acquisizioni di pacchetti usando CapAnalysis con Network Watcher.
Sceneggiatura
In questo articolo si supponga di avere una semplice applicazione Web distribuita in una macchina virtuale (VM) in Azure. Si vogliono usare strumenti open source per visualizzare il traffico di rete e identificare rapidamente i modelli di flusso e le eventuali anomalie. Con Network Watcher è possibile ottenere un'acquisizione di pacchetti dell'ambiente di rete e archiviarla direttamente nell'account di archiviazione. CapAnalysis può quindi inserire l'acquisizione pacchetto direttamente dal BLOB di archiviazione e visualizzarne il contenuto.
Installare CapAnalysis
Per installare CapAnalysis in una macchina virtuale, vedere le istruzioni ufficiali di CapAnalysis.
Per accedere in remoto a CapAnalysis, è necessario aprire la porta 9877 nella macchina virtuale aggiungendo una nuova regola di sicurezza in ingresso. Per altre informazioni sulla creazione di regole nei gruppi di sicurezza di rete, vedere Creare una regola di sicurezza. Dopo aver aggiunto correttamente la regola, dovrebbe essere possibile accedere a CapAnalysis da http://<PublicIP>:9877.
Usare Azure Network Watcher per avviare una sessione di acquisizione pacchetti
Con Network Watcher è possibile acquisire pacchetti per tenere traccia del traffico da e verso una macchina virtuale. Per avviare una sessione di acquisizione pacchetti, seguire le istruzioni riportate nell'articolo Gestire acquisizioni di pacchetti con Network Watcher . Un'acquisizione di pacchetti può essere archiviata in un BLOB di archiviazione accessibile da CapAnalysis.
Caricare un'acquisizione pacchetti in CapAnalysis
È possibile caricare direttamente un'acquisizione di pacchetti da Network Watcher. Usare la scheda Importa da URL e fornire un collegamento al BLOB di archiviazione in cui è archiviata l'acquisizione di pacchetti.
Quando si fornisce un collegamento a CapAnalysis, assicurarsi di aggiungere un token di firma di accesso condiviso (SAS) all'URL del BLOB di archiviazione. Passare a Firma di accesso condiviso dall'account di archiviazione, designare le autorizzazioni consentite e selezionare il pulsante Genera firma di accesso condiviso per creare un token. È quindi possibile aggiungere il token di firma di accesso condiviso all'URL del BLOB di archiviazione dell'acquisizione pacchetti.
L'URL risultante è simile a http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere.
Analizzare le acquisizioni di pacchetti
CapAnalysis offre varie opzioni per visualizzare l'acquisizione di pacchetti. Ognuno fornisce un'analisi da un punto di vista diverso. Questi riepiloghi visivi permettono di comprendere le tendenze del traffico di rete e individuare rapidamente eventuali attività inconsuete.
L'elenco seguente descrive alcune delle funzionalità di CapAnalysis:
Tabelle di flusso
La scheda Flussi elenca i flussi nei dati del pacchetto. Per ogni flusso, la scheda mostra informazioni come timestamp, indirizzi IP di origine e destinazione e protocolli associati.
Panoramica del protocollo
La scheda Panoramica mostra la distribuzione del traffico di rete sui vari protocolli e aree geografiche.
Statistiche
La scheda Statistiche mostra le statistiche del traffico di rete. Queste informazioni includono i byte inviati e ricevuti dagli INDIRIZZI IP di origine e di destinazione, i flussi per ognuno degli INDIRIZZI IP di origine e di destinazione, i protocolli usati per vari flussi e la durata dei flussi.
Mappa geografica
La scheda GeoMAP fornisce una visualizzazione mappa del traffico di rete. I colori si adattano al volume di traffico da ogni paese/area geografica. È possibile selezionare paesi/aree geografiche evidenziate per visualizzare statistiche aggiuntive sul flusso, ad esempio la percentuale di dati inviati e ricevuti dagli INDIRIZZI IP in un paese o area geografica.
Filtri
CapAnalysis include un set di filtri per l'analisi rapida di pacchetti specifici. Ad esempio, è possibile scegliere di filtrare i dati in base al protocollo per ottenere informazioni specifiche su tale subset del traffico.
Per altre informazioni su tutte le funzionalità di CapAnalysis, visitare il sito Web dello strumento.
Conclusione
È possibile usare la funzionalità di acquisizione pacchetti network Watcher per acquisire i dati necessari per eseguire analisi forensi di rete e comprendere meglio il traffico di rete. Lo scenario in questo articolo ha illustrato come integrare acquisizioni di pacchetti da Network Watcher usando strumenti di visualizzazione open source. Usando strumenti come CapAnalysis per visualizzare le acquisizioni di pacchetti, è possibile eseguire un'ispezione approfondita dei pacchetti e identificare rapidamente le tendenze nel traffico di rete.
Passaggi successivi
- Informazioni sui log dei flussi del gruppo di sicurezza di rete.
- Informazioni su come visualizzare i log dei flussi del gruppo di sicurezza di rete usando Power BI.