次の方法で共有

トラフィック分析の使用シナリオ

  • [アーティクル]

この記事では、さまざまなシナリオでトラフィック分析を構成してから、トラフィックに関する分析情報を取得する方法について説明します。

トラフィックのホットスポットを見つける

調査項目

  • どのホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットが、ほとんどのトラフィックを送受信し、最も悪意のあるトラフィックを走査し、重大なフローをブロックしているか。
    • ホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットの比較グラフを確認してください。 送受信するトラフィックの量が多いホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットを把握すると、ほとんどのトラフィックを処理しているホストの特定と、トラフィック分布が適切に行われているかどうかの特定に役立ちます。
    • トラフィックの量がホストに適しているかどうかを評価できます。 トラフィックの量は通常の動作ですか。あるいは、さらに調査するだけの価値がありますか。
  • どれくらいの量の受信/送信トラフィックがあるか。
    • ホストでは、送信トラフィックよりも受信トラフィックの方が多いと予想されますか。それともその逆ですか。
  • ブロックされたトラフィックの統計。
    • ホストが大量の開始トラフィックをブロックしているのはなぜですか。 この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。
  • 許可/ブロックされた悪意のあるトラフィックの統計

    • ホストは悪意のあるトラフィックをなぜ受信しているのですか、また、悪意のあるソースからのフローがなぜ許可されているのですか。 この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。

      次の図に示すように、[IP] の下で [すべて表示] を選択することで、トラフィックが多い上位 5 個のホストの時間的傾向と、ホストのフロー関連の詳細 (許可された受信/送信フローと、拒否された受信/送信フロー) を確認します。

      トラフィックが多いホストの詳細を示すダッシュボードのスクリーンショット。

調査項目

  • 会話が多いホスト ペアはどれか。

    • 想定された動作 (フロントエンドまたはバックエンド間の通信など) または不規則な動作 (バックエンドのインターネット トラフィックなど)。

  • 許可/ブロックされたトラフィックの統計。

    • ホストが大量のトラフィックを許可またはブロックしている理由。

  • 会話が多いホスト ペアの間で最も頻繁に使用されるアプリケーション プロトコル:

    • これらのアプリケーションは、このネットワークで許可されていますか。

    • アプリケーションは正しく構成されていますか。 それらは適切なプロトコルを通信に使用していますか。 次の図に示すように、[頻度が最大の会話][すべて表示] を選択します。

      頻度が最大の会話を示すダッシュボードのスクリーンショット。

  • 次の図は、上位 5 個の会話の時間的傾向と、フロー関連の詳細 (会話ペアの許可および拒否された受信/送信フローなど) を示しています。

    上位 5 個の頻繁な会話の詳細と傾向のスクリーンショット。

調査項目

  • 環境で最も使用されているのはどのアプリケーション プロトコルか。また、そのアプリケーション プロトコルを最も使用しているのは、会話しているどのホスト ペアか。

    • これらのアプリケーションは、このネットワークで許可されていますか。

    • アプリケーションは正しく構成されていますか。 それらは適切なプロトコルを通信に使用していますか。 想定された動作は、80 や 443 などの一般的なポートです。 標準の通信で通常とは異なるポートが表示された場合、構成を変更する必要があります。 次の図に示すように、[アプリケーション ポート][すべて表示] を選択します。

      上位のアプリケーション プロトコルを示すダッシュ ボードのスクリーンショット。

  • 次の図は、上位 5 個の L7 プロトコルの時間的傾向と、L7 プロトコルのフロー関連の詳細 (許可および拒否されたフローなど) を示しています。

    上位 5 個のレイヤー 7 プロトコルの詳細と傾向のスクリーンショット。

    ログ検索におけるアプリケーション プロトコルのフローの詳細のスクリーンショット。

調査項目

  • 環境内の VPN ゲートウェイの容量使用率の傾向。

    • 各 VPN SKU では一定量の帯域幅を許可します。 VPN ゲートウェイは十分に活用されていますか。
    • ゲートウェイは容量に達しつつありますか。 1 つ上位の SKU にアップグレードする必要はありますか。

  • 会話が多いホストはどれか。それらのホストが使用しているポートと VPN ゲートウェイはどれか。

    • これは通常のパターンですか。 次の図に示すように、[VPN ゲートウェイ] にある [すべて表示] を選択します。

      上位のアクティブな VPN 接続を示すダッシュボードのスクリーンショット。

  • 次の図は、Azure VPN Gateway の容量使用率の時間的傾向と、フロー関連の詳細 (許可されたフローやポートなど) を示しています。

    VPN ゲートウェイの利用傾向とフローの詳細のスクリーンショット。

地域ごとのトラフィック分布を視覚化する

調査項目

  • データ センターごとのトラフィック分布 (データ センターへのトラフィックの上位の送信元、データ センターと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコルなど)。

    • データ センターの負荷の増加が見られる場合は、効率的なトラフィック分布を計画できます。

    • 非承認のネットワークがデータ センター内で通信を行っている場合は、ネットワーク セキュリティ グループ ルールを設定することで、それらをブロックできます。

      次の図に示すように、[環境][マップの表示] を選択します。

      トラフィック分布を示すダッシュボードのスクリーンショット。

  • geo マップの上部には、データ センター (デプロイ済み/デプロイなし/アクティブ/非アクティブ/Traffic Analytics 有効/Traffic Analytics 無効) や、アクティブなデプロイへの問題のないトラフィックまたは悪意のあるトラフィックに関与している国/リージョンなどのパラメーターを選択できるリボンが表示されます。

    アクティブなデプロイを示す geo マップ ビューのスクリーンショット。

  • geo マップには、通信している国/リージョンや大陸からデータ センターへのトラフィック分布が、青色 (問題のないトラフィック) と赤色 (悪意のあるトラフィック) の線で表示されます。

    国/リージョンや大陸へのトラフィック分布を示す geo マップ ビューのスクリーンショット。

  • また、Azure リージョンの [その他の分析情報] ブレードには、そのリージョン内に残っている合計トラフィック (つまり、同じリージョン内の送信元と宛先) が表示されます。 これによって、データセンターの可用性ゾーン間でやり取りされたトラフィックの追加の分析情報が提供されます。

    ゾーン間およびリージョン内のトラフィックのスクリーンショット。

仮想ネットワークごとのトラフィック分布を視覚化する

調査項目

  • 仮想ネットワークごとのトラフィック分布、トポロジ、仮想ネットワークへのトラフィックの上位の送信元、仮想ネットワークと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコル。

    • どの仮想ネットワークがどの仮想ネットワークと会話しているかを把握します。 会話が想定外の場合は修正できます。

    • 非承認のネットワークが仮想ネットワークと会話している場合は、ネットワーク セキュリティ グループ ルールを修正することで、それらの非承認のネットワークをブロックできます。

      次の図に示すように、[環境][VNet の表示] を選択します。

      仮想ネットワークの分布を示すダッシュボードのスクリーンショット。

  • 仮想ネットワーク トポロジの上部には、仮想ネットワーク (仮想ネットワーク間接続/アクティブ/非アクティブ)、仮想ネットワークの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。

  • サブスクリプション、ワークスペース、リソース グループ、および時間間隔に基づいて、仮想ネットワーク トポロジをフィルター処理することができます。 フローの理解に役立つ追加のフィルターは次のとおりです。フローの種類 (InterVNet、IntraVNET など)、フローの方向 (受信、送信)、フローの状態 (許可、ブロック)、VNet (対象および接続)、接続の種類 (ピアリングまたはゲートウェイ - P2S および S2S)、NSG。 これらのフィルターを使用して、詳細に調べる VNet に照準を絞ります。

  • マウスのスクロールホイールを使用して Virtual Network トポロジを表示するときに、ズームインとズームアウトを行うことができます。 マウスを左クリックして移動すると、トポロジを目的の方向にドラッグできるようになります。 また、キーボードショートカットを使用して、A (左にドラッグ)、D (右にドラッグ)、W (上へドラッグ)、S (下へドラッグ)、+ (ズームイン)、- (ズームアウト)、R (ズームリセット) を実行することもできます。

  • 仮想ネットワーク トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、ネットワーク セキュリティ グループなどについて、仮想ネットワークへのトラフィック分布が表示されます。

    トラフィック分布とフローの詳細を示す仮想ネットワーク トポロジのスクリーンショット。

    最上位ほかのフィルターを例示した仮想ネットワーク トポロジのスクリーンショット。

調査項目

  • サブネットごとのトラフィック分布、トポロジ、サブネットへのトラフィックの上位の送信元、サブネットと会話している上位の非承認ネットワーク、上位の会話しているアプリケーション プロトコル。

    • どのサブネットがどのサブネットと会話しているかを把握します。 想定外の会話がある場合は、構成を修正できます。
    • 非承認ネットワークがサブネットと会話している場合は、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。

  • サブネット トポロジの上部には、アクティブ/非アクティブなサブネット、サブネットの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。

  • マウスのスクロールホイールを使用して Virtual Network トポロジを表示するときに、ズームインとズームアウトを行うことができます。 マウスを左クリックして移動すると、トポロジを目的の方向にドラッグできるようになります。 また、キーボードショートカットを使用して、A (左にドラッグ)、D (右にドラッグ)、W (上へドラッグ)、S (下へドラッグ)、+ (ズームイン)、- (ズームアウト)、R (ズームリセット) を実行することもできます。

  • サブネット トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、NSG などについて、仮想ネットワークへのトラフィック分布が表示されます。

    フローの観点から仮想ネットワーク サブネットへのトラフィックの分配の様子を示すサブネット トポロジのスクリーンショット。

調査項目

Application Gateway および Load Balancer ごとのトラフィック分布、トポロジ、トラフィックの上位の送信元、Application Gateway および Load Balancer と会話している上位の非承認ネットワーク、および上位の会話しているアプリケーション プロトコル。

  • どのサブネットがどの Application Gateway または Load Balancer と会話しているかを把握します。 想定外の会話を見つけた場合は、構成を修正できます。

  • 非承認ネットワークが、Application Gateway または Load Balancer と会話している場合、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。

    フローに関するアプリケーション ゲートウェイ サブネットへのトラフィック分散を含むサブネット トポロジを示すスクリーンショット。

インターネットからのトラフィックを受信するポートと仮想マシンを表示する

調査項目

  • インターネット経由で会話しているのは開いているどのポートか。

    • 想定外のポートが開いていることがわかった場合は、構成を修正できます。

      インターネットとの間でトラフィックを送受信するポートを示すダッシュボードのスクリーンショット。

      Azure の宛先ポートとホストの詳細のスクリーンショット。

お使いのデプロイと対話するパブリック IP に関する情報を表示する

調査項目

  • 私のネットワークと通信しているパブリック IP はどれですか? すべてのパブリック IP の WHOIS データおよび地理的な場所とは何か。
  • どの悪意のある IP がトラフィックを自分のデプロイに送信しているか。 悪意のある IP の脅威の種類と脅威の説明。

パブリック IP 情報セクションには、ご自身のネットワーク トラフィック内に提示される、すべての種類のパブリック IP の概要が提供されます。 詳細を表示するには、目的のパブリック IP の種類を選択します。 トラフィック分析ダッシュボード上で、任意の IP を選択すると、その情報が表示されます。 表示されるデータ フィールドの詳細については、「パブリック IP 詳細スキーマ」を参照してください。

パブリック IP 情報セクションを示すスクリーンショット。

調査項目

  • フロー分布の比較グラフでは、どの NSG/NSG ルールが最も多くヒットしているか。

  • NSG/NSG ルールごとの上位の送信元と宛先の会話ペアはどれか。

    ダッシュボード内の NSG ヒット統計情報を示すスクリーンショット。

  • 次の図は、NSG ルールのヒット数の時間的傾向と、ネットワーク セキュリティ グループの送信元と宛先間のフローの詳細を示しています。

    • どの NSG および NSG ルールで悪意のあるフローを走査していて、お使いのクラウド環境に最もよくアクセスしている IP アドレスはどれかを迅速に検出する

    • どの NSG/NSG ルールが重大なネットワーク トラフィックを許可/ブロックしているかを特定する

    • 上位のフィルターを選択して、NSG または NSG ルールをより詳細に検査する

      NSG ルール ヒットと上位 NSG ルールの時間的傾向を示すスクリーンショット。

      ログ検索における上位 NSG ルールの統計情報の詳細のスクリーンショット。

次のステップ

トラフィック分析スキーマとデータ集計