パケット キャプチャには、ネットワーク フォレンジックとディープ パケット検査を実行するのに役立つネットワーク データが含まれています。 多くのオープンソース ツールを使用して、パケット キャプチャを分析し、ネットワークに関する分析情報を得ることができます。 そのようなツールの 1 つは、パケット キャプチャ用のオープンソース視覚化ツールである CapAnalysis です。
パケット キャプチャ データを視覚化することは、ネットワーク内のパターンや異常に関する分析情報をすばやく導き出す貴重な方法です。 視覚エフェクトは、このような分析情報を簡単に利用できる形式で共有する方法も提供します。
Azure Network Watcher を使用すると、ネットワーク上でパケット キャプチャを実行することでデータをキャプチャできます。 この記事では、Network Watcher で CapAnalysis を使用してパケット キャプチャを視覚化し、分析情報を取得する方法について説明します。
Scenario
この記事では、Azure の仮想マシン (VM) にデプロイされた単純な Web アプリケーションがあることを前提としています。 オープン ソース ツールを使用してネットワーク トラフィックを視覚化し、フロー パターンや異常をすばやく特定したいと考えています。 Network Watcher を使用すると、ネットワーク環境のパケット キャプチャを取得し、ストレージ アカウントに直接格納できます。 CapAnalysis は、ストレージ BLOB から直接パケット キャプチャを取り込み、その内容を視覚化できます。
CapAnalysis のインストール
仮想マシンに CapAnalysis をインストールするには、 CapAnalysis の公式手順を参照してください。
CapAnalysis にリモートでアクセスするには、新しい受信セキュリティ規則を追加して、VM でポート 9877 を開く必要があります。 ネットワーク セキュリティ グループ (NSG) での規則の作成の詳細については、「 セキュリティ規則の作成」を参照してください。 ルールを正常に追加すると、 http://<PublicIP>:9877から CapAnalysis にアクセスできるようになります。
Azure Network Watcher を使用してパケット キャプチャ セッションを開始する
Network Watcher を使用すると、パケットをキャプチャして、仮想マシンとの間のトラフィックを追跡できます。 パケット キャプチャ セッションを開始するには、 Network Watcher を使用したパケット キャプチャの管理に関する記事の手順に従います。 パケット キャプチャは、CapAnalysis がアクセスできるストレージ BLOB に格納できます。
CapAnalysis にパケット キャプチャをアップロードする
Network Watcher からパケット キャプチャを直接アップロードできます。 [ URL からインポート ] タブを使用し、パケット キャプチャが格納されているストレージ BLOB へのリンクを指定します。
CapAnalysis へのリンクを指定するときは、ストレージ BLOB URL に Shared Access Signature (SAS) トークンを追加してください。 ストレージ アカウントから Shared Access Signature に移動し、許可されているアクセス許可を指定し、[ SAS の生成 ] ボタンを選択してトークンを作成します。 その後、SAS トークンをパケット キャプチャのストレージ BLOB URL に追加できます。
結果の URL は、 http://storageaccount.blob.core.windows.net/container/location?addSASkeyhereのようになります。
パケット キャプチャの分析
CapAnalysis には、パケット キャプチャを視覚化するためのさまざまなオプションが用意されています。 それぞれが異なる観点から分析を提供します。 これらの視覚的な概要を使用すると、ネットワーク トラフィックの傾向を理解し、異常なアクティビティをすばやく見つけることができます。
次の一覧では、CapAnalysis の機能の一部について説明します。
フロー テーブル
[ フロー ] タブには、パケット データ内のフローが一覧表示されます。 各フローについて、タイム スタンプ、送信元 IP と宛先 IP、関連するプロトコルなどの情報がタブに表示されます。
プロトコルの概要
[ 概要 ] タブには、さまざまなプロトコルと地域を介したネットワーク トラフィックの分散が表示されます。
Statistics
[ 統計 ] タブには、ネットワーク トラフィックの統計情報が表示されます。 この情報には、送信元 IP と宛先 IP から送受信されたバイト数、各送信元 IP と宛先 IP のフロー、さまざまなフローに使用されるプロトコル、およびフローの期間が含まれます。
地理的な地図
[ GeoMAP ] タブには、ネットワーク トラフィックのマップ ビューが表示されます。 色は、各国/地域からのトラフィックの量に合わせてスケーリングされます。 強調表示された国/地域を選択すると、国/地域の IP から送受信されたデータの割合など、追加のフロー統計を表示できます。
フィルター
CapAnalysis には、特定のパケットをすばやく分析するための一連のフィルターが用意されています。 たとえば、プロトコルでデータをフィルター処理して、そのトラフィックのサブセットに関する特定の分析情報を得ることを選択できます。
CapAnalysis のすべての機能の詳細については、 ツールの Web サイトを参照してください。
Conclusion
Network Watcher パケット キャプチャ機能を使用して、ネットワーク フォレンジックを実行し、ネットワーク トラフィックをより深く理解するために必要なデータをキャプチャできます。 この記事のシナリオでは、オープンソースの視覚化ツールを使用して Network Watcher からのパケット キャプチャを統合する方法を示しました。 CapAnalysis などのツールを使用してパケット キャプチャを視覚化することで、パケットの詳細な検査を実行し、ネットワーク トラフィックの傾向をすばやく特定できます。
次のステップ
- NSG フロー ログについて説明します。
- Power BI を使用して NSG フロー ログを視覚化する方法について説明します。