Delen via


Overzicht van verkeersanalyse

Trafficanalyse is een cloudgebaseerde oplossing die inzicht biedt in gebruikers- en applicatieactiviteit in uw cloudnetwerken. Specifiek, verkeersanalyse analyseert Azure Network Watcher stroomlogs om inzichten te bieden in de verkeersstroom in jouw Azure-cloud. Met verkeersanalyse kunt u:

  • Visualiseer netwerkactiviteit binnen je Azure-abonnementen.

  • Identificeer de hotspots.

  • Beveilig uw netwerk door informatie over de volgende componenten te gebruiken om bedreigingen te identificeren:

    • Openstaande poorten
    • Applicaties die proberen toegang te krijgen tot het internet
    • Virtuele machines (VMs) die verbinding maken met kwaadwillende netwerken
  • Optimaliseer uw netwerkimplementatie voor prestaties en capaciteit door de patronen van verkeersstromen in Azure-regio's en het internet te begrijpen.

  • Identificeer netwerkmisconfiguraties die kunnen leiden tot mislukte verbindingen in uw netwerk.

Waarom verkeersanalyse?

Het is essentieel om je eigen netwerk te monitoren, beheren en kennen voor ongecompromitteerde beveiliging, naleving en prestaties. Het kennen van je eigen omgeving is van groot belang om deze te beschermen en optimaliseren. Je moet vaak de huidige staat van het netwerk weten, inclusief de volgende informatie:

  • Wie maakt verbinding met het netwerk?
  • Vanwaar maken ze verbinding?
  • Welke poorten zijn open voor het internet?
  • Wat is het verwachte netwerkgedrag?
  • Is er sprake van onregelmatig netwerkgedrag?
  • Zijn er plotselinge stijgingen in het verkeer?

Clouddatacenters verschillen van bedrijfsnetwerken op locatie. In lokale netwerken ondersteunen routers en switches NetFlow en andere, gelijkwaardige protocollen. Je kunt deze apparaten gebruiken om gegevens te verzamelen over IP-netwerkverkeer zodra het een netwerkinterface binnenkomt of verlaat. Door verkeersstroomgegevens te analyseren, kunt u een analyse maken van het netwerkverkeer en het volume daarvan opbouwen.

Met Azure virtuele netwerken verzamelen stroomlogs gegevens over het netwerk. Deze logs bieden informatie over inkomend en uitgaand IP-verkeer via een netwerkbeveiligingsgroep of een virtueel netwerk. Traffic analytics analyseert ruwe stroomlogs en combineert de loggegevens met intelligentie over beveiliging, topologie en geografie. Verkeersanalyse biedt u vervolgens inzicht in de verkeersstromen in uw omgeving.

Verkeersanalyse biedt de volgende informatie:

  • Meest communicerende hosts
  • Meest communicerende applicatieprotocollen
  • Meest-communicerende hostparen
  • Toegestane en geblokkeerde verkeer
  • Inkomende en uitgaande verkeer
  • Open internetpoorten
  • Meest-blokkerende regels
  • Verkeersverdeling per Azure-datacenter, virtueel netwerk, subnetten of ongeoorloofd netwerk

Belangrijkste onderdelen

Om verkeersanalyses te gebruiken, heeft u de volgende componenten nodig:

  • Network Watcher: Een regionale dienst die je kunt gebruiken om omstandigheden op netwerkscenario-niveau in Azure te bewaken en diagnosticeren. Je kunt Network Watcher gebruiken om stroomlogs in en uit te schakelen in je abonnement. Voor meer informatie, zie Wat is Azure Network Watcher? en Azure Network Watcher in- of uitschakelen.

  • Log Analytics: Een tool in het Azure-portaal die je gebruikt om met Azure Monitor Logs-gegevens te werken. Azure Monitor Logs is een Azure-service die bewakingsgegevens verzamelt en de gegevens opslaat in een centrale repository. Deze gegevens kunnen evenementen, prestatiedata of aangepaste gegevens omvatten die via de Azure API worden verstrekt. Nadat deze gegevens zijn verzameld, zijn ze beschikbaar voor waarschuwingen, analyse en export. Monitoringtoepassingen zoals netwerkprestatiemonitor en verkeersanalyses gebruiken Azure Monitor Logs als basis. Voor meer informatie, zie Azure Monitor Logs. Log Analytics biedt een manier om queries op logs te bewerken en uit te voeren. Je kunt deze tool ook gebruiken om zoekresultaten te analyseren. Voor meer informatie, zie Overzicht van Log Analytics in Azure Monitor.

  • Log Analytics-werkruimte: De omgeving die Azure Monitor-loggegevens opslaat die betrekking hebben op een Azure-account. Voor meer informatie over Log Analytics-werkruimten, zie Overzicht van Log Analytics-werkruimte en Een Log Analytics-werkruimte maken.

  • Daarnaast heeft u een netwerkbeveiligingsgroep nodig die is ingeschakeld voor stroomlogboekregistratie als u verkeersanalyse gebruikt om de stroomlogboeken van netwerkbeveiligingsgroepen te analyseren, of een virtueel netwerk dat is ingeschakeld voor stroomlogboekregistratie als u verkeersanalyse gebruikt om de stroomlogboeken van virtuele netwerken te analyseren.

    • Network security group (NSG): Een hulpmiddel dat een lijst bevat van beveiligingsregels die netwerktrafiek naar of van bronnen die verbonden zijn met een Azure virtueel netwerk toestaan of weigeren. Netwerkbeveiligingsgroepen kunnen worden geassocieerd met subnets, netwerkinterfaces (NIC's) die zijn gekoppeld aan VM's (Resource Manager), of individuele VM's (klassiek). Voor meer informatie, zie Overzicht van de netwerkbeveiligingsgroep.

    • Netwerkbeveiligingsgroep stroomlogs: Opgenomen informatie over binnenkomende en uitgaande IP-verkeer via een netwerkbeveiligingsgroep. Flowlogs van netwerkbeveiligingsgroepen worden geschreven in JSON-indeling en bevatten:

      • Uitgaande en inkomende stromen op basis van individuele regels.
      • De NIC waarop de flow van toepassing is.
      • Informatie over de stroom, zoals de bron- en bestemmings-IP-adressen, de bron- en bestemmingspoorten, en het protocol.
      • De status van het verkeer, zoals toegestaan of geweigerd.

      Voor meer informatie, zie Network security group flow logs overzicht en Een network security group flow log maken.

    • Virtueel netwerk (VNet): Een bron die veel soorten Azure-bronnen in staat stelt om veilig met elkaar, het internet en netwerken op locatie te communiceren. Voor meer informatie, zie Overzicht van virtueel netwerk.

    • Virtuele netwerkstroomlogboeken: Opgenomen informatie over inkomend en uitgaand IP-verkeer via een virtueel netwerk. Virtuele netwerkstroomlogboeken worden geschreven in JSON-indeling en omvatten:

      • Uitgaande en inkomende stromingen.
      • Informatie over de stroom, zoals de bron- en bestemmings-IP-adressen, de bron- en bestemmingspoorten, en het protocol.
      • De status van het verkeer, zoals toegestaan of geweigerd.

      Voor meer informatie, zie Overzicht van virtuele netwerkverkeerslogboeken en Een virtueel netwerkverkeerslogboek maken. Om meer te weten te komen over de verschillen tussen netwerkbeveiligingsgroepstroomlogboeken en virtuele netwerkstroomlogboeken, zie Vergelijking van virtuele netwerkstroomlogboeken met netwerkbeveiligingsgroepstroomlogboeken.

Opmerking

Om Traffic analytics te gebruiken, moet u over de vereiste machtigingen beschikken. Voor meer informatie, zie Traffic analytics permissions.

Hoe verkeersanalyse werkt

Trafficanalyses onderzoeken ruwe verkeerslogbestanden. Het vermindert vervolgens het logvolume door stromen te aggregeren die een gemeenschappelijke bron IP-adres, bestemmings IP-adres, bestemmingspoort en protocol hebben.

Een voorbeeld kan Host 1 met IP-adres 10.10.10.10 en Host 2 met IP-adres 10.10.20.10 betreffen. Stel dat deze twee hosts 100 keer communiceren gedurende een uur. Het ruwe stroomlogboek bevat in dit geval 100 vermeldingen. Als deze hosts het HTTP-protocol gebruiken op poort 80 voor elk van die 100 interacties, heeft de gereduceerde log één vermelding. Die invoer vermeldt dat Host 1 en Host 2 honderd keer hebben gecommuniceerd gedurende een periode van één uur, met behulp van het HTTP-protocol op poort 80.

Gereduceerde logboeken worden verrijkt met geografische, beveiligings- en topologie-informatie en vervolgens opgeslagen in een Log Analytics-werkruimte. Het volgende diagram toont de gegevensstroom.

Diagram dat laat zien hoe netwerkverkeersgegevens stromen van een netwerkbeveiligingsgroeplog naar een analysetool. Middelste stappen omvatten aggregatie en verbetering.

Beschikbaarheid

De volgende tabellen bevatten een lijst van de ondersteunde regio's waar je verkeersanalyse voor je stroomlogboeken kunt inschakelen, en de Log Analytics-werkruimten die je kunt gebruiken.

Regio Stroomlogboeken van netwerkbeveiligingsgroepen Virtuele netwerkverkeerslogboeken Verkeersanalyse Log Analytics-werkruimte
Brazilië Zuid
Zuidoost-Brazilië
Centraal Canada
Oost-Canada
Centraal VS
Oostelijke VS
Oost VS 2
Centraal-Mexico
Noord-Centraal VS
Zuid-centraal VS
West Centraal VS
Westelijke VS
Westelijk VS 2
Westelijke VS 3

Opmerking

Als stroomlogboeken in een regio worden ondersteund, maar de Log Analytics-werkruimte wordt niet ondersteund in die regio voor verkeersanalyse, kunt u een Log Analytics-werkruimte uit een andere ondersteunde regio gebruiken. In dit geval zijn er geen extra kosten voor gegevensoverdracht tussen regio's bij het gebruik van een Log Analytics-werkruimte uit een andere regio.

Prijzen

Voor prijsdetails, zie Network Watcher-prijzen en Azure Monitor-prijzen.

Veelgestelde vragen over verkeersanalyses

Om antwoorden te krijgen op de meest gestelde vragen over verkeersanalyses, zie Veelgestelde vragen over verkeersanalyses.