Azure Network Watcher 트래픽 분석의 스키마 및 데이터 집계
트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. 트래픽 분석은 Azure Network Watcher 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. 트래픽 분석을 사용하면 다음과 같은 작업을 수행할 수 있습니다.
- Azure 구독에서 이루어지는 네트워크 작업을 시각화하고 핫스폿을 식별합니다.
- 개방형 포트, 인터넷 액세스를 시도하는 애플리케이션, 불량 네트워크에 연결하는 VM(가상 머신) 같은 정보를 통해 보안 위협을 식별하고 네트워크를 보호합니다.
- Azure 지역 및 인터넷의 트래픽 흐름 패턴을 파악하여 네트워크 성능 및 용량에 맞게 네트워크 배포를 최적화합니다.
- 네트워크에서 연결 실패의 원인이 되는 네트워크 구성 오류를 정확히 파악합니다.
- 네트워크 사용량(바이트, 패킷 또는 흐름)을 파악합니다.
데이터 집계
FlowIntervalStartTime_t및FlowIntervalEndTime_t사이의 네트워크 보안 그룹의 모든 흐름 로그는 스토리지 계정의 BLOB으로 1분 간격으로 캡처됩니다.- 트래픽 분석의 기본 처리 간격은 60분입니다. 즉, 매시간 트래픽 분석은 집계를 위해 스토리지 계정에서 BLOB을 선택합니다. 그러나 처리 간격이 10분인 경우 트래픽 분석은 대신 10분마다 스토리지 계정에서 BLOB을 선택합니다.
- 동일한
Source IP,Destination IP,Destination port,NSG name,NSG rule,Flow Direction및Transport layer protocol (TCP or UDP)가 있는 흐름은 트래픽 분석을 통해 단일 흐름으로 연결됩니다(참고: 집계를 위해 원본 포트는 제외됨). - 이 단일 레코드는 트래픽 분석을 통해 Azure Monitor 로그에 데코레이팅되고(아래 섹션의 세부 정보) 수집됩니다. 이 프로세스는 최대 1시간까지 걸릴 수 있습니다.
FlowStartTime_t필드는FlowIntervalStartTime_t와FlowIntervalEndTime_t사이의 흐름 로그 처리 간격에서 이러한 집계 흐름(동일한 4튜플)이 처음 발생했음을 나타냅니다.- 트래픽 분석의 모든 리소스에 대해 Azure Portal에 표시된 흐름은 네트워크 보안 그룹에서 볼 수 있는 총 흐름이지만 Azure Monitor 로그에서 사용자는 축소된 단일 레코드만 볼 수 있습니다. 모든 흐름을 보려면 스토리지에서 참조할 수 있는
blob_id필드를 사용합니다. 해당 레코드의 총 흐름 수는 BLOB에 있는 개별 흐름과 일치합니다.
다음 쿼리는 지난 30일 동안 Azure가 아닌 공용 IP와 상호 작용한 모든 서브넷을 확인하는 데 도움이 됩니다.
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s
이전 쿼리에서 흐름의 BLOB 경로를 보려면 다음 쿼리를 사용합니다.
let TableWithBlobId =
(AzureNetworkAnalytics_CL
| where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
| extend binTime = bin(TimeProcessed_t, 6h),
nsgId = strcat(Subscription_g, "/", Name_s),
saNameSplit = split(FlowLogStorageAccount_s, "/")
| extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
| distinct nsgId, saName, binTime)
| join kind = rightouter (
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog"
| extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
"@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
"/RESOURCEGROUPS/", nsgComponents[1],
"/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
"/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
"/m=00/macAddress=", replace(@"-", "", MACAddress_s),
"/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;
TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath
이전 쿼리는 BLOB에 직접 액세스하기 위한 URL을 생성합니다. 자리 표시자가 있는 URL은 다음과 같습니다.
https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
트래픽 분석 스키마
트래픽 분석은 Azure Monitor 로그 위에 빌드되었으므로 트래픽 분석을 통해 데코레이트된 데이터에 대해 사용자 지정 쿼리를 실행하고 경고를 설정할 수 있습니다.
다음 표에는 스키마의 필드와 NSG 흐름 로그를 나타내는 필드가 나열되어 있습니다.
| 필드 | 형식 | 설명 |
|---|---|---|
| TableName | AzureNetworkAnalytics_CL | 트래픽 분석 데이터에 대한 표입니다. |
| SubType_s | FlowLog | 흐름 로그의 하위 유형. FlowLog 만 사용하고 SubType_s의 다른 값은 내부용입니다. |
| FASchemaVersion_s | 2 | 스키마 버전. NSG 흐름 로그 버전을 반영하지 않습니다. |
| TimeProcessed_t | 날짜 및 시간(UTC) | 트래픽 분석이 스토리지 계정의 원시 흐름 로그를 처리한 시간입니다. |
| FlowIntervalStartTime_t | 날짜 및 시간(UTC) | 흐름 로그 처리 간격의 시작 시간(흐름 간격이 측정되는 시간)입니다. |
| FlowIntervalEndTime_t | 날짜 및 시간(UTC) | 흐름 로그 처리 간격의 종료 시간입니다. |
| FlowStartTime_t | 날짜 및 시간(UTC) | FlowIntervalStartTime_t 및 FlowIntervalEndTime_t 사이의 흐름 로그 처리 간격에서 흐름의 처음 발생입니다(집계됨). 이 흐름은 집계 논리에 따라 집계됩니다. |
| FlowEndTime_t | 날짜 및 시간(UTC) | FlowIntervalStartTime_t 및 FlowIntervalEndTime_t 사이의 흐름 로그 처리 간격에서 흐름의 마지막 발생입니다(집계됨). 흐름 로그 v2에서는 이 필드에 동일한 4튜플을 가진 마지막 흐름이 시작된 시간이 포함됩니다(원시 흐름 레코드에서 B로 표시됨). |
| FlowType_s | - IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - 알 수 없는 프라이빗 - 알 수 없음 |
정의에 대한 참고를 참조하세요. |
| SrcIP_s | 원본 IP 주소 | AzurePublic 및 ExternalPublic 흐름에서 비어 있습니다. |
| DestIP_s | 대상 IP 주소 | AzurePublic 및 ExternalPublic 흐름에서 비어 있습니다. |
| VMIP_s | VM의 IP | AzurePublic 및 ExternalPublic 흐름에 사용됩니다. |
| DestPort_d | 대상 포트 | 트래픽이 들어오는 포트입니다. |
| L4Protocol_s | - T U- |
전송 프로토콜합니다. T = TCP U = UDP. |
| L7Protocol_s | 프로토콜 이름 | 대상 포트에서 파생됩니다. |
| FlowDirection_s | - I = 인바운드 - O = 아웃바운드 |
흐름 방향: 흐름 로그당 네트워크 보안 그룹 내/외부. |
| FlowStatus_s | - A = 허용됨 - D = 거부됨 |
흐름 로그당 네트워크 보안 그룹에서 허용 또는 거부되는지 여부의 흐름 상태입니다. |
| NSGList_s | <SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> | 흐름과 연결된 네트워크 보안 그룹입니다. |
| NSGRules_s | <인덱스 값 0>|<NSG_RULENAME>|<흐름 방향>|<흐름 상태>|<FlowCount ProcessedByRule> | 이 흐름을 허용하거나 거부한 네트워크 보안 그룹 규칙입니다. |
| NSGRule_s | NSG_RULENAME | 이 흐름을 허용하거나 거부한 네트워크 보안 그룹 규칙입니다. |
| NSGRuleType_s | - 사용자 정의 - Default |
흐름에서 사용하는 네트워크 보안 그룹 규칙의 유형입니다. |
| MACAddress_s | MAC 주소 | 흐름이 캡처된 NIC의 MAC 주소입니다. |
| Subscription_g | 이 필드에는 Azure 가상 네트워크/네트워크 인터페이스/가상 머신의 구독이 채워집니다. | FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, UnknownPrivate 흐름 유형(한쪽만 Azure인 흐름 유형)인 경우에만 적용할 수 있습니다. |
| Subscription1_g | 구독 ID | 흐름의 원본 IP가 속한 가상 네트워크/네트워크 인터페이스/가상 머신의 구독 ID입니다. |
| Subscription2_g | 구독 ID | 흐름의 대상 IP가 속한 가상 네트워크/네트워크 인터페이스/가상 머신의 구독 ID입니다. |
| Region_s | 흐름의 IP가 속한 가상 네트워크/네트워크 인터페이스/가상 머신의 Azure 지역입니다. | FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow, UnknownPrivate 흐름 유형(한쪽만 Azure인 흐름 유형)인 경우에만 적용할 수 있습니다. |
| Region1_s | Azure 지역 | 흐름의 원본 IP가 속한 가상 네트워크/네트워크 인터페이스/가상 머신의 Azure 지역입니다. |
| Region2_s | Azure 지역 | 흐름의 대상 IP가 속한 가상 네트워크의 Azure 지역입니다. |
| NIC_s | <resourcegroup_Name>/<NetworkInterfaceName> | 트래픽을 전송하거나 수신하는 VM과 연결된 NIC입니다. |
| NIC1_s | <resourcegroup_Name>/<NetworkInterfaceName> | 흐름의 원본 IP와 연결된 NIC입니다. |
| NIC2_s | <resourcegroup_Name>/<NetworkInterfaceName> | 흐름의 대상 IP와 연결된 NIC입니다. |
| VM_s | <resourcegroup_Name>/<NetworkInterfaceName> | 네트워크 인터페이스 NIC_s와 연결된 가상 머신입니다. |
| VM1_s | <resourcegroup_Name>/<VirtualMachineName> | 흐름의 원본 IP와 연결된 가상 머신입니다. |
| VM2_s | <resourcegroup_Name>/<VirtualMachineName> | 흐름의 대상 IP와 연결된 가상 머신입니다. |
| Subnet_s | <ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName> | NIC_s 연결된 서브넷입니다. |
| Subnet1_s | <ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName> | 흐름의 원본 IP와 연결된 서브넷입니다. |
| Subnet2_s | <ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName> | 흐름의 대상 IP와 연결된 서브넷입니다. |
| ApplicationGateway1_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | 흐름의 원본 IP와 연결된 애플리케이션 게이트웨이입니다. |
| ApplicationGateway2_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | 흐름의 대상 IP와 연결된 애플리케이션 게이트웨이입니다. |
| ExpressRouteCircuit1_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute 회로 ID - 흐름이 ExpressRoute를 통해 사이트에서 전송되는 경우입니다. |
| ExpressRouteCircuit2_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute 회로 ID - ExpressRoute에서 클라우드에서 흐름을 수신하는 경우입니다. |
| ExpressRouteCircuitPeeringType_s | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
흐름에 관련된 ExpressRoute 피어링 유형입니다. |
| LoadBalancer1_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | 흐름의 원본 IP와 연결된 부하 분산 장치입니다. |
| LoadBalancer2_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | 흐름의 대상 IP와 연결된 부하 분산 장치입니다. |
| LocalNetworkGateway1_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | 흐름의 원본 IP와 연결된 로컬 네트워크 게이트웨이입니다. |
| LocalNetworkGateway2_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | 흐름의 대상 IP와 연결된 로컬 네트워크 게이트웨이입니다. |
| ConnectionType_s | - VNetPeering - VpnGateway - ExpressRoute |
연결 유형입니다. |
| ConnectionName_s | <SubscriptionID>/<ResourceGroupName>/<ConnectionName> | 연결 이름입니다. 흐름 유형 P2S의 경우 <게이트웨이 이름>_<VPN 클라이언트 IP>로 형식으로 지정됩니다. |
| ConnectingVNets_s | 공백으로 구분된 가상 네트워크 이름 목록 | 허브 및 스포크 토폴로지의 경우 허브 가상 네트워크가 여기에 채워집니다. |
| Country_s | 두 자로 된 국가 코드(ISO 3166-1 alpha-2) | 흐름 유형이 ExternalPublic인 경우에 채워집니다. PublicIPs_s 필드의 모든 IP 주소는 동일한 국가 번호를 공유합니다. |
| AzureRegion_s | Azure 지역 위치 | 흐름 유형이 AzurePublic인 경우에 채워집니다. PublicIPs_s 필드의 모든 IP 주소는 Azure 지역을 공유합니다. |
| AllowedInFlows_d | 허용된 인바운드 흐름의 수이며, 흐름이 캡처된 네트워크 인터페이스로 인바운드되는 동일한 4튜플을 공유한 흐름 수를 나타냅니다. | |
| DeniedInFlows_d | 거부된 인바운드 흐름 수 (흐름이 캡처된 네트워크 인터페이스로 인바운드됨). | |
| AllowedOutFlows_d | 허용된 아웃바운드 흐름 수입니다(흐름이 캡처된 네트워크 인터페이스로 아웃바운드됨). | |
| DeniedOutFlows_d | 거부된 아웃바운드 흐름 수입니다(흐름이 캡처된 네트워크 인터페이스로 아웃바운드됨). | |
| FlowCount_d | 사용되지 않음. 동일한 4튜플과 일치하는 총 흐름입니다. 흐름 유형이 ExternalPublic 및 AzurePublic인 경우 다양한 PublicIP 주소의 흐름도 개수에 포함됩니다. | |
| InboundPackets_d | 대상에서 흐름의 원본으로 전송된 패킷을 나타냅니다 | NSG 흐름 로그 스키마 버전 2에 대해서만 채워집니다. |
| OutboundPackets_d | 원본에서 흐름 대상으로 전송된 패킷을 나타냅니다 | NSG 흐름 로그 스키마 버전 2에 대해서만 채워집니다. |
| InboundBytes_d | 대상에서 흐름의 원본으로 전송된 바이트를 나타냅니다 | NSG 흐름 로그 스키마 버전 2에 대해서만 채워집니다. |
| OutboundBytes_d | 원본에서 흐름 대상으로 전송된 바이트를 나타냅니다 | NSG 흐름 로그 스키마 버전 2에 대해서만 채워집니다. |
| CompletedFlows_d | NSG 흐름 로그 스키마 버전 2에 대해서만 0이 아닌 값으로 채워집니다. | |
| PublicIPs_s | <PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | 막대로 구분된 항목입니다. |
| SrcPublicIPs_s | <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | 막대로 구분된 항목입니다. |
| DestPublicIPs_s | <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | 막대로 구분된 항목입니다. |
| IsFlowCapturedAtUDRHop_b | - True - False |
흐름이 UDR 홉에서 캡처된 경우 값은 True입니다. |
Important
트래픽 분석 스키마는 2019년 8월 22일에 업데이트되었습니다. 새 스키마는 원본 및 대상 IP를 별도로 제공하므로 쿼리가 더 간단하도록 FlowDirection 필드를 구문 분석할 필요가 없습니다. 업데이트된 스키마는 다음과 같이 변경되었습니다.
FASchemaVersion_s가 1에서 2로 업데이트되었습니다.- 사용되지 않는 필드:
VMIP_s,Subscription_g,Region_s,NSGRules_s,Subnet_s,VM_s,NIC_s,PublicIPs_s,FlowCount_d - 새 필드:
SrcPublicIPs_s,DestPublicIPs_s,NSGRule_s
공용 IP 세부 정보 스키마
트래픽 분석은 사용자 환경의 모든 공용 IP에 대한 WHOIS 데이터 및 지리적 위치를 제공합니다. 악성 IP의 경우, 트래픽 분석은 Microsoft 보안 인텔리전스 솔루션에서 식별한 DNS 도메인, 위협 유형, 스레드 설명을 제공합니다. IP 세부 정보는 사용자 지정 쿼리를 생성하고 경고를 표시할 수 있도록 Log Analytics 작업 영역에 게시됩니다. 트래픽 분석 대시보드에서 미리 채워진 쿼리에 액세스할 수도 있습니다.
다음 표에서는 공용 IP 스키마에 대해 자세히 설명합니다.
| 필드 | 형식 | 설명 |
|---|---|---|
| TableName | AzureNetworkAnalyticsIPDetails_CL | 트래픽 분석 IP 세부 정보 데이터가 포함된 표입니다. |
| SubType_s | FlowLog | 흐름 로그의 하위 유형. “FlowLog”만 사용하며, SubType_s의 다른 값은 제품의 내부 작업에 사용됩니다 |
| FASchemaVersion_s | 2 | 스키마 버전. NSG 흐름 로그 버전을 반영하지 않습니다. |
| FlowIntervalStartTime_t | 날짜 및 시간(UTC) | 흐름 로그 처리 간격의 시작 시간(흐름 간격이 측정되는 시간)입니다. |
| FlowIntervalEndTime_t | 날짜 및 시간(UTC) | 흐름 로그 처리 간격의 종료 시간입니다. |
| FlowType_s | - AzurePublic - ExternalPublic - MaliciousFlow |
정의에 대한 참고를 참조하세요. |
| IP | 공용 IP | 레코드에 정보가 제공되는 공용 IP입니다. |
| 위치 | IP의 위치 | - Azure 공용 IP의 경우: IP가 속한 가상 네트워크/네트워크 인터페이스/가상 머신의 Azure 지역 또는 IP가 168.63.129.16인 경우 전역. - 외부 공용 IP 및 악성 IP의 경우: IP가 있는 두 자로 된 국가 번호(ISO 3166-1 alpha-2). |
| PublicIPDetails | IP에 대한 정보 | - AzurePublic IP의 경우: 168.63.129.16에 대한 IP 또는 Microsoft 가상 공용 IP를 소유하는 Azure 서비스입니다. - ExternalPublic/악성 IP: IP의 WhoIS 정보입니다. |
| ThreatType | 악성 IP로 인한 위협 | 악성 IP만 해당: 현재 허용되는 값 목록의 위협 중 하나입니다(다음 표에 설명되어 있음). |
| ThreatDescription | 위협에 대한 설명 | 악성 IP에만 해당: 악성 IP에서 제기되는 위협에 대한 설명입니다. |
| DNSDomain | DNS 도메인 | 악성 IP에만 해당: IP와 연결된 도메인 이름입니다. |
위협 유형 목록:
| 값 | 설명 |
|---|---|
| 봇넷 | 봇넷 노드/멤버를 자세히 설명하는 표시기입니다. |
| C2 | 봇넷의 명령 및 제어 노드를 자세히 설명하는 표시기입니다. |
| CryptoMining | 이 네트워크 주소/URL과 관련된 트래픽은 CyrptoMining/리소스 남용을 나타냅니다. |
| DarkNet | Darknet 노드/네트워크의 표시기입니다. |
| DDos | 활성 또는 예정된 DDoS 캠페인과 관련된 지표입니다. |
| MaliciousUrl | 맬웨어를 처리하는 URL입니다. |
| 맬웨어 | 악성 파일을 설명하는 표시기입니다. |
| 피싱 | 피싱 캠페인과 관련된 표시기입니다. |
| 프록시 | 프록시 서비스의 표시기입니다. |
| PUA | 사용자 동의 없이 설치된 애플리케이션. |
| WatchList | 위협이 무엇인지 정확하게 확인할 수 없거나 수동 해석이 필요한 경우 표시기가 배치되는 일반 버킷입니다. WatchList는 일반적으로 데이터를 시스템으로 전송하는 파트너가 사용하지 않아야 합니다. |
주의
AzurePublic및ExternalPublic흐름의 경우 고객 소유의 Azure 가상 머신 IP는VMIP_s필드에 채워지고 공용 IP 주소는PublicIPs_s필드에 채워집니다. 이러한 두 흐름 형식의 경우SrcIP_s및DestIP_s필드 대신VMIP_s및PublicIPs_s필드를 사용해야 합니다. AzurePublic 및 ExternalPublic IP 주소의 경우 Log Analytics 작업 영역에 수집된 레코드 수가 최소화되도록 추가로 집계합니다. (이 필드는 곧 더 이상 사용되지 않으며 가상 머신이 흐름의 원본인지 아니면 대상인지에 따라 SrcIP_ 및 DestIP_s를 사용해야 합니다.)- 일부 필드 이름은 원본 및 대상을 의미하지는 않지만 각각 데이터 형식 문자열과 10진수를 나타내는
_s또는_d와 함께 추가됩니다. - 흐름과 관련된 IP 주소를 기준으로 흐름은 다음과 같은 흐름 유형으로 분류됩니다.
IntraVNet: IntraVNet – 흐름의 IP 주소가 모두 동일한 Azure Virtual Network에 상주합니다.InterVNet: InterVNet - 흐름의 IP 주소가 서로 다른 두 개의 Azure Virtual Network에 상주합니다.S2S(사이트 간): IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 VPN Gateway 또는 ExpressRoute를 통해 Virtual Network에 연결된 고객 네트워크(사이트)에 속합니다.P2S(지점 및 사이트 간): IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 VPN Gateway를 통해 Azure Virtual Network에 연결된 고객 네트워크(사이트)에 속합니다.AzurePublic: IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 Microsoft가 소유한 Azure 공용 IP 주소입니다. 고객 소유 공용 IP 주소는 이 흐름 유형의 일부가 아닙니다. 예를 들어 Azure 서비스(스토리지 엔드포인트)로 트래픽을 전송하는 고객 소유 VM은 이 흐름 유형으로 분류됩니다.ExternalPublic: IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 Azure에 없고, “FlowIntervalStartTime_t”와 “FlowIntervalEndTime_t” 사이의 처리 간격에 트래픽 분석이 사용하는 ASC 피드에서 악성으로 보고되지 않은 공용 IP입니다.MaliciousFlow: IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 Azure에 없고, “FlowIntervalStartTime_t”와 “FlowIntervalEndTime_t” 사이의 처리 간격에 트래픽 분석이 사용하는 ASC 피드에서 악성으로 보고되는 공용 IP입니다.UnknownPrivate: IP 주소 중 하나는 Azure Virtual Network에 속하지만 다른 IP 주소는 RFC 1918에 정의된 대로 개인 IP 범위에 속하며 트래픽 분석을 통해 고객 소유 사이트 또는 Azure Virtual Network에 매핑할 수 없습니다.Unknown: 흐름의 IP 주소 중 하나를 Azure의 고객 토폴로지 및 온-프레미스(사이트)와 매핑할 수 없습니다.
관련 콘텐츠
- 트래픽 분석에 대한 자세한 내용은 트래픽 분석 개요를 참조하세요.
- 가장 자주 묻는 트래픽 분석에 대한 답변은 트래픽 분석 FAQ를 참조하세요.