トラフィック分析

Traffic Analytics は、クラウド ネットワーク内のユーザーとアプリケーションのアクティビティを可視化するクラウドベースのソリューションです。 Traffic Analytics では、特に Azure Network Watcher のネットワーク セキュリティ グループ (NSG) フロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 トラフィック分析を使用すると、次のことが可能になります。

  • Azure サブスクリプション全体のネットワーク アクティビティを視覚化します。

  • ホット スポットを特定します。

  • 次のコンポーネントに関する情報を使用して脅威を特定することで、ネットワークをセキュリティで保護します。

    • ポートを開く
    • インターネットへのアクセスを試みるアプリケーション
    • 不正なネットワークに接続する仮想マシン (VM)
  • Azure リージョンとインターネット全体にわたるトラフィック フロー パターンを把握して、パフォーマンスと容量に関してネットワークのデプロイを最適化します。

  • ネットワークでの接続の失敗の原因になる可能性があるネットワークの構成の誤りを特定します。

注意

Traffic Analytics では、10 分ごとの頻度で NSG フロー ログ データを収集することがサポートされるようになりました。

注意

Azure を操作するには、Azure Az PowerShell モジュールをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

トラフィック分析が必要な理由

情報漏えいのないセキュリティ、コンプライアンス、パフォーマンスを実現するには、独自のネットワークを監視、管理し、把握することが不可欠です。 独自の環境を保護および最適化するうえで最も重要なのは、環境を理解することです。 多くの場合、次の情報をはじめとするネットワークの現在の状態を把握する必要があります。

  • 誰がネットワークに接続しているか?
  • どこから接続しているか?
  • どのポートがインターネットからアクセスできるか?
  • 予想されるネットワーク動作はどのようなものか?
  • 不規則なネットワーク動作があるか?
  • トラフィックの急激な増加はあるか?

クラウド ネットワークは、オンプレミスのエンタープライズ ネットワークとは異なります。 オンプレミス ネットワークでは、ルーターとスイッチは NetFlow やその他の同等のプロトコルをサポートします。 これらのデバイスを使用して、IP ネットワーク トラフィックがネットワーク インターフェイスに出入りするときに、それに関するデータを収集できます。 トラフィック フロー データを分析することで、ネットワークのトラフィック フローとトラフィック量の分析を構築できます。

Azure 仮想ネットワークでは、NSG フロー ログによってネットワークに関するデータが収集されます。 これらのログは、個々のネットワーク インターフェイス、VM、またはサブネットに関連付けられている NSG を介したイングレスおよびエグレスの IP トラフィックに関する情報を提供します。 Traffic Analytics では、未加工の NSG フロー ログの分析後、ログ データと、セキュリティ、トポロジ、地理に関する分析情報とが組み合わせられます。 次に、Traffic Analytics により、環境内のトラフィック フローに関する分析情報が提供されます。

Traffic Analytics で提供される情報は、次のとおりです。

  • 最も通信が多いホスト
  • 最も通信が多いアプリケーション プロトコル
  • 最も会話が多いホスト ペア
  • 許可およびブロックされたトラフィック
  • 受信および送信トラフィック
  • 開かれたインターネット ポート
  • 最もブロックが多いルール
  • Azure データセンター、仮想ネットワーク、サブネット、または不正なネットワークごとのトラフィック分布

主なコンポーネント

  • ネットワーク セキュリティ グループ (NSG): Azure 仮想ネットワークに接続されたリソースへのネットワーク トラフィックを許可または拒否する一連のセキュリティ規則が含まれているリソース。 NSG は、サブネット、個々の VM (クラシックの場合)、または VM にアタッチされた個々のネットワーク インターフェイス (NIC) (Resource Manager の場合) に関連付けることができます。 詳細については、ネットワーク セキュリティ グループの概要に関する記事をご覧ください。

  • NSG フロー ログ: NSG を介した IP トラフィックのイングレスとエグレスに関して記録された情報。 NSG フロー ログは JSON 形式で記述され、次の内容が含まれます。

    • ルールごとの送信と受信のフロー。
    • フローの適用先の NIC。
    • 送信元と宛先の IP アドレス、送信元と宛先のポート、プロトコルなどの、フローに関する情報。
    • 許可または拒否などのトラフィックの状態。

    NSG フロー ログの詳細については、NSG フロー ログに関する記事をご覧ください。

  • Log Analytics: Azure Monitor ログ データの操作に使用する Azure portal 内のツール。 Azure Monitor ログは、監視データを収集し、そのデータを中央リポジトリに格納する Azure サービスです。 このデータには、Azure API によって提供されるイベント、パフォーマンス データ、またはカスタム データを含めることができます。 収集されたデータは、アラート、分析、エクスポートに使用できます。 Network Performance Monitor や Traffic Analytics などの監視アプリケーションは、Azure Monitor ログを基盤として使用します。 詳細については、Azure Monitor ログに関するページを参照してください。 Log Analytics には、ログに対するクエリを編集して実行する方法が用意されています。 このツールを使用してクエリ結果を分析することもできます。 詳細については、「Azure Monitor の Log Analytics の概要」を参照してください。

  • Log Analytics ワークスペース: Azure アカウントに関連する Azure Monitor ログ データを格納する環境。 Log Analytics ワークスペースの詳細については、Log Analytics ワークスペースの作成に関するページを参照してください。

  • Network Watcher: ネットワーク シナリオ レベルでの Azure の状態の監視および診断に使用できるリージョン サービス。 Network Watcher を使用して NSG フロー ログを有効または無効にできます。 詳細については、「Network Watcher」をご覧ください。

トラフィック分析のしくみ

Traffic Analytics では、未加工の NSG フロー ログを調べます。 次に、共通の送信元 IP アドレス、宛先 IP アドレス、宛先ポート、プロトコルを持つフローを集約して、ログ ボリュームを削減します。

たとえば、IP アドレス 10.10.10.10 のホスト 1 と IP アドレス 10.10.20.10 のホスト 2 が含まれる場合があります。 これら 2 つのホストが 1 時間にわたって 100 回通信するとします。 この場合、未加工のフロー ログには 100 個のエントリがあります。 これらのホストが 100 回の対話それぞれにポート 80 で HTTP プロトコルを使用する場合、縮小されたログのエントリは 1 つになります。 このエントリは、ホスト 1 とホスト 2 がポート 80 で HTTP プロトコルを使用して 1 時間にわたって 100 回通信したことを示します。

削減されたログは、地域、セキュリティ、トポロジの情報が追加された後に、Log Analytics ワークスペースに格納されます。 このデータ フローを次の図に示します。

NSG ログから Analytics ダッシュボードへのネットワーク トラフィック データのフローを示す図。中間の手順には、集計と機能強化が含まれています。

前提条件

Traffic Analytics を使用する前に、環境が次の要件を満たしていることを確認します。

ユーザー アクセスの要件

次のいずれかの Azure 組み込みロールがアカウントに割り当てられている必要があります。

デプロイメント モデル Role
リソース マネージャー 所有者
Contributor
Reader
Network Contributor

アカウントに上記の組み込みロールのいずれも割り当てられてない場合は、アカウントにカスタム ロールを割り当てます。 カスタム ロールは、サブスクリプション レベルで次のアクションをサポートします。

  • Microsoft.Network/applicationGateways/read
  • Microsoft.Network/connections/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/localNetworkGateways/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/publicIPAddresses/read"
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworkGateways/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/expressRouteCircuits/read

ユーザーのアクセス許可を確認する方法については、「Traffic Analytics - よく寄せられる質問」を参照してください。

よくある質問

Traffic Analytics に関してよく寄せられる質問の回答を確認するには、「Traffic Analytics - よく寄せられる質問」 を参照してください。

次の手順