트래픽 분석의 사용 시나리오

이 문서에서는 다양한 시나리오에서 트래픽 분석을 구성한 후 트래픽에 대한 인사이트를 얻는 방법을 알아봅니다.

트래픽 핫스폿 찾기

검색

• 최대 악성 트래픽을 트래버스하고 상당한 흐름을 차단하는 대부분의 트래픽을 전송하거나 수신하는 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합은 무엇인가요?
  • 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합의 비교 차트를 확인하세요. 어떤 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합이 트래픽을 가장 많이 전송 또는 수신하는지 파악하면 가장 많은 트래픽을 처리하는 호스트를 식별하고, 트래픽이 적절하게 배포되는지 여부를 확인하는 데 도움이 될 수 있습니다.
  • 트래픽 볼륨이 호스트에 적절한지 평가할 수 있습니다. 트래픽 볼륨이 정상 동작인지 아니면 추가 조사가 필요한지 여부
• 인바운드/아웃바운드 트래픽의 양
  • 호스트가 아웃바운드 트래픽보다 인바운드 트래픽을 더 많이 받을 것으로 또는 그 반대일 것으로 예상되는지 여부
• 차단된 트래픽 통계
  • 호스트가 상당한 양의 무해 트래픽을 차단하는 이유 이 동작을 수행하려면 더 많은 조사와 구성의 최적화가 필요합니다.
• 허용된/차단된 악성 트래픽 통계

  • 호스트가 악성 트래픽을 수신하는 이유 및 악성 원본의 흐름이 허용되는 이유는 무엇인가요? 이 동작을 수행하려면 더 많은 조사와 구성의 최적화가 필요합니다.

    다음 그림과 같이 IP에서 모두 보기를 선택합니다.

    

    다음 그림은 통신 양이 가장 많은 상위 5개 호스트와 흐름 관련 세부 정보(호스트에 대해 허용된 인바운드/아웃바운드 흐름 및 거부된 인바운드/아웃바운드 흐름)에 대한 시간 추세를 보여 줍니다.

    모든 호스트에 대한 인사이트를 얻으려면 다음 그림과 같이 통신 중인 상위 5개 IP에 대한 세부 정보에서 자세히 보기를 선택합니다.

    

검색

• 가장 대화가 많은 호스트 쌍

  • 프런트 엔드 또는 백 엔드 통신과 같은 예상된 동작 또는 백 엔드 인터넷 트래픽과 같은 비정상 동작.

• 허용된/차단된 트래픽 통계

  • 호스트가 상당한 양의 트래픽을 허용 또는 차단하는 이유

• 가장 대화가 많은 호스트 쌍 중에서 가장 많이 사용되는 애플리케이션 프로토콜:

  • 이러한 애플리케이션이 이 네트워크에서 허용되는지 여부

  • 애플리케이션이 올바르게 구성되었는지 여부 통신에 적절한 프로토콜을 사용하는지 여부 다음 그림처럼 자주 하는 대화 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 상위 5개 대화 및 흐름 관련 세부 정보(예: 대화 쌍에 대해 허용된/거부된 인바운드 및 아웃바운드 흐름)에 대한 시간 추세를 보여 줍니다.

  

검색

• 환경에서 가장 많이 사용되는 애플리케이션 프로토콜 및 애플리케이션 프로토콜을 가장 많이 사용하는 호스트 쌍

  • 이러한 애플리케이션이 이 네트워크에서 허용되는지 여부

  • 애플리케이션이 올바르게 구성되었는지 여부 통신에 적절한 프로토콜을 사용하는지 여부 예상되는 동작은 80 및 443 같은 공통 포트입니다. 표준 통신의 겨우 비정상적인 포트가 표시되는 경우 구성 변경이 필요할 수 있습니다. 다음 그림처럼 애플리케이션 포트 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 상위 5개 L7 프로토콜 및 L7 프로토콜의 흐름 관련 세부 정보(예: 허용된 흐름 및 거부된 흐름)에 대한 시간 추세를 보여 줍니다.

  

  

검색

• 환경 내 VPN 게이트웨이의 용량 사용률 추세.

  • 각 VPN SKU는 일정량의 대역폭을 허용합니다. VPN 게이트웨이 사용률이 낮습니까?
  • 게이트웨이가 용량 제한에 근접했습니까? 그 다음 상위 SKU로 업그레이드해야 합니까?

• 가장 대화가 많은 호스트는 어떤 것입니까? 어떤 VPN 게이트웨이, 어떤 포트를 통해 대화가 이루어집니까?

  • 이 패턴이 정상입니까? 다음 그림처럼 VPN 게이트웨이 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 Azure VPN Gateway의 용량 활용도에 대한 시간 추세 및 흐름 관련 세부 정보(예: 허용되는 흐름 및 포트)를 보여 줍니다.

  

지리별로 트래픽 분포 시각화

검색

• 데이터 센터 상위 트래픽 소스, 데이터 센터와의 상위 불량 네트워크 대화, 상위 대화 애플리케이션 프로토콜 같은 데이터 센터별 트래픽 분포.

  • 데이터 센터에서 더 많은 부하가 목격되는 경우 효율적인 트래픽 분포를 계획할 수 있습니다.

  • 불량 네트워크가 데이터 센터에서 대화하는 경우 해당 네트워크를 차단하도록 NSG 규칙을 수정합니다.

    다음 그림처럼 환경 아래에서 맵 보기를 선택합니다.

    

• 지역 지도에는 데이터 센터(배포됨/배포되지 않음/활성/비활성/트래픽 분석 사용/트래픽 분석 사용 안 함)와 같은 매개 변수 및 활성 배포에 대한 무해/악성 트래픽에 기여하는 국가/지역을 선택할 수 있는 상단 리본이 표시됩니다.

  

• 지역 지도에는 데이터 센터와 통신하는 국가/지역 및 대륙의 트래픽 분포가 파란색(무해 트래픽)과 빨간색(악성 트래픽) 선으로 표시됩니다.

  

  

• Azure 지역의 추가 인사이트 블레이드에서는 해당 지역 내에 남아 있는 총 트래픽(즉, 동일한 지역의 원본 및 대상)도 보여 줍니다. 또한 데이터 센터의 가용성 영역 간에 교환되는 트래픽 관련 인사이트를 제공합니다.

  

가상 네트워크별로 트래픽 분포 시각화

검색

• 가상 네트워크, 토폴로지, 가상 네트워크로 가는 상위 트래픽 소스, 가상 네트워크와 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

  • 어떤 가상 네트워크가 어떤 가상 네트워크와 대화하는지 파악. 대화가 예상되지 않는 경우 수정할 수 있습니다.

  • 불량 네트워크가 가상 네트워크와 대화하는 경우 불량 네트워크를 차단하도록 NSG 규칙을 수정할 수 있습니다.

    다음 그림처럼 환경 아래에서 VNet 보기를 선택합니다.

    

• 가상 네트워크 토폴로지는 가상 네트워크(상호 가상 네트워크 연결/활성/비활성), 외부 연결, 활성 흐름, 가상 네트워크의 악의적 흐름 등과 같은 매개 변수를 선택할 수 있는 상단 리본을 표시합니다.

• 구독, 작업 영역, 리소스 그룹 및 시간 간격에 따라 가상 네트워크 토폴로지를 필터링할 수 있습니다. 흐름을 이해하는 데 도움이 되는 추가 필터는 흐름 유형(InterVNet, IntraVNET 등), 흐름 방향(인바운드, 아웃바운드), 흐름 상태(허용됨, 차단됨) VNET(대상으로 지정됨 및 연결됨), 연결 형식(피어링 또는 게이트웨이 - P2S 및 S2S) 및 NSG입니다. 이러한 필터를 사용하여 자세히 살펴볼 VNet에 초점을 맞춥니다.

• 마우스 스크롤 휠을 사용하여 Virtual Network 토폴로지를 보는 동안 확대 및 축소할 수 있습니다. 마우스 왼쪽 단추를 클릭하고 이동하면 토폴로지를 원하는 방향으로 끌 수 있습니다. 바로 가기 키를 사용하여 이러한 작업을 수행할 수도 있습니다. A(왼쪽으로 끌어다 놓기), D(오른쪽으로 끌기), W(위로 끌어다 놓기), S(아래로 끌어다 놓기), +(확대), -(축소), R(확대/축소 다시 설정).

• 가상 네트워크 토폴로지는 흐름(허용됨/차단됨/인바운드/아웃바운드/양성/악성), 애플리케이션 프로토콜, 네트워크 보안 그룹과 관련하여 가상 네트워크의 트래픽 분포를 보여 줍니다. 예를 들면, 다음과 같습니다.

  

  

  

검색

• 서브넷, 토폴로지, 서브넷으로 가는 상위 트래픽 소스, 서브넷과 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

  • 어떤 서브넷이 어떤 서브넷과 대화하는지 파악. 예기치 않은 대화가 발견되면 구성을 수정할 수 있습니다.
  • 불량 네트워크가 서브넷과 대화하는 경우 불량 네트워크를 차단하도록 NSG 규칙을 구성하여 수정할 수 있습니다.

• 서브넷 토폴로지는 활성/비활성 서브넷, 외부 연결, 활성 흐름, 서브넷의 악의적인 흐름 등과 같은 매개 변수를 선택할 수 있는 상단 리본을 보여줍니다.

• 마우스 스크롤 휠을 사용하여 Virtual Network 토폴로지를 보는 동안 확대 및 축소할 수 있습니다. 마우스 왼쪽 단추를 클릭하고 이동하면 토폴로지를 원하는 방향으로 끌 수 있습니다. 바로 가기 키를 사용하여 이러한 작업을 수행할 수도 있습니다. A(왼쪽으로 끌어다 놓기), D(오른쪽으로 끌기), W(위로 끌어다 놓기), S(아래로 끌어다 놓기), +(확대), -(축소), R(확대/축소 다시 설정).

• 서브넷 토폴로지는 흐름(허용됨/차단됨/인바운드/아웃바운드/양성/악성), 애플리케이션 프로토콜, NSG와 관련하여 가상 네트워크의 트래픽 분포를 보여 줍니다. 예를 들면, 다음과 같습니다.

  

검색

애플리케이션 게이트웨이 및 Load Balancer, 토폴로지, 상위 트래픽 소스, 애플리케이션 게이트웨이 및 Load Balancer와 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

• 애플리케이션 게이트웨이 또는 Load Balancer와 대화하는 서브넷을 알고 있음. 예기치 않은 대화가 발견되면 구성을 수정할 수 있습니다.

• 불량 네트워크가 애플리케이션 게이트웨이 또는 Load Balancer와 대화하는 경우 불량 네트워크를 차단하도록 NSG 규칙을 구성하여 수정할 수 있습니다.

  

인터넷에서 트래픽을 수신하는 포트 및 가상 머신 보기

검색

• 인터넷을 통해 대화하는 열린 포트

  • 예상치 않은 포트가 열려 있는 것이 발견되면 구성을 수정할 수 있습니다.

    

    

검색

환경 내 악성 트래픽의 존재 여부 악성 트래픽의 출처 악성 트래픽의 목적지

배포와 상호 작용하는 공용 IP에 대한 정보 보기

검색

• 내 네트워크와 대화하는 공용 IP는 무엇인가요? 모든 공용 IP의 WHOIS 데이터와 지리적 위치는 무엇인가요?
• 내 배포로 트래픽을 보내는 악성 IP는 무엇인가요? 악성 IP의 위협 형식과 위협 설명은 무엇인가요?

  • 공용 IP 정보 섹션에서는 네트워크 트래픽에 있는 모든 유형의 공용 IP 요약 정보를 제공합니다. 세부 정보를 보려면 관심 있는 공용 IP 형식을 선택하세요. 이 스키마 문서는 표시되는 데이터 필드를 정의합니다.

    

  • 트래픽 분석 대시보드에서 IP를 선택하여 관련 정보를 확인합니다.

    

    

NSG/NSG 규칙 적중의 추세 시각화

검색

• 흐름 분포와 비교 차트에서 대부분 적중하는 NSG/NSG 규칙은 무엇인가요?

• NSG/NSG 규칙당 최상위 원본 및 대상 대화 쌍

  

• 다음 그림은 NSG 규칙에 대한 시간 추세와 네트워크 보안 그룹에 대한 원본-대상 흐름 세부 정보를 보여 줍니다.

  • 악성 흐름을 트래버스하는 NSG 및 NSG 규칙과 클라우드 환경에 액세스하는 상위 악성 IP 주소를 빠르게 검색합니다.

  • 상당한 네트워크 트래픽을 허용/차단하는 NSG/NSG 규칙 식별

  • NSG 또는 NSG 규칙의 세부적인 검사에 대한 상위 필터 선택