Partilhar via


Visão geral da análise de tráfego

A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade da atividade do usuário e do aplicativo em suas redes de nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo do Observador de Rede do Azure para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Com a análise de tráfego, você pode:

  • Visualize a atividade de rede em suas assinaturas do Azure.

  • Identifique pontos quentes.

  • Proteja sua rede usando informações sobre os seguintes componentes para identificar ameaças:

    • Portas abertas
    • Aplicações que tentam aceder à internet
    • Máquinas virtuais (VMs) que se conectam a redes não autorizadas
  • Otimize sua implantação de rede para desempenho e capacidade entendendo os padrões de fluxo de tráfego nas regiões do Azure e na Internet.

  • Identifique configurações incorretas de rede que podem levar a conexões com falha em sua rede.

Porquê a análise de tráfego?

É vital monitorar, gerenciar e conhecer sua própria rede para garantir segurança, conformidade e desempenho sem compromisso. Conhecer o seu próprio ambiente é de suma importância para protegê-lo e otimizá-lo. Muitas vezes, você precisa saber o estado atual da rede, incluindo as seguintes informações:

  • Quem está se conectando à rede?
  • De onde eles estão se conectando?
  • Que portas estão abertas para a Internet?
  • Qual é o comportamento esperado da rede?
  • Existe algum comportamento irregular na rede?
  • Há algum aumento repentino no tráfego?

As redes na nuvem são diferentes das redes empresariais locais. Em redes locais, roteadores e switches suportam NetFlow e outros protocolos equivalentes. Você pode usar esses dispositivos para coletar dados sobre o tráfego de rede IP à medida que ele entra ou sai de uma interface de rede. Ao analisar dados de fluxo de tráfego, você pode criar uma análise do fluxo e volume de tráfego de rede.

Com as redes virtuais do Azure, os logs de fluxo coletam dados sobre a rede. Esses logs fornecem informações sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede ou de uma rede virtual. A análise de tráfego analisa logs de fluxo brutos e combina os dados de log com informações sobre segurança, topologia e geografia. Em seguida, a análise de tráfego fornece informações sobre o fluxo de tráfego em seu ambiente.

A análise de tráfego fornece as seguintes informações:

  • Anfitriões que comunicam a maioria
  • Protocolos de aplicativos que mais comunicam
  • Pares de anfitriões que mais conversam
  • Tráfego permitido e bloqueado
  • Tráfego de entrada e de saída
  • Abrir portas de internet
  • A maioria das regras de bloqueio
  • Distribuição de tráfego por datacenter do Azure, rede virtual, sub-redes ou rede não autorizada

Componentes principais

Para usar a análise de tráfego, você precisa dos seguintes componentes:

  • Inspetor de Rede: um serviço regional que você pode usar para monitorar e diagnosticar condições em um nível de cenário de rede no Azure. Você pode usar o Inspetor de Rede para ativar e desativar os logs de fluxo do grupo de segurança de rede. Para obter mais informações, consulte O que é o Azure Network Watcher?

  • Log Analytics: uma ferramenta no portal do Azure que você usa para trabalhar com dados do Azure Monitor Logs. O Azure Monitor Logs é um serviço do Azure que coleta dados de monitoramento e armazena os dados em um repositório central. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos por meio da API do Azure. Depois que esses dados são coletados, eles ficam disponíveis para alerta, análise e exportação. Aplicativos de monitoramento, como monitor de desempenho de rede e análise de tráfego, usam os Logs do Azure Monitor como base. Para obter mais informações, consulte Azure Monitor Logs. O Log Analytics fornece uma maneira de editar e executar consultas em logs. Você também pode usar essa ferramenta para analisar os resultados da consulta. Para obter mais informações, consulte Visão geral do Log Analytics no Azure Monitor.

  • Espaço de trabalho do Log Analytics: o ambiente que armazena os dados de log do Azure Monitor que pertencem a uma conta do Azure. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Visão geral do espaço de trabalho do Log Analytics.

  • Além disso, você precisa de um grupo de segurança de rede habilitado para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de grupo de segurança de rede ou uma rede virtual habilitada para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de rede virtual:

    • Grupo de segurança de rede (NSG): um recurso que contém uma lista de regras de segurança que permitem ou negam tráfego de rede de ou para recursos conectados a uma rede virtual do Azure. Os grupos de segurança de rede podem ser associados a sub-redes, interfaces de rede (NICs) anexadas a VMs (Gerenciador de Recursos) ou VMs individuais (clássicas). Para obter mais informações, consulte Visão geral do grupo de segurança de rede.

    • Logs de fluxo do grupo de segurança de rede: informações registradas sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede. Os logs de fluxo do grupo de segurança de rede são escritos no formato JSON e incluem:

      • Fluxos de saída e entrada por regra.
      • A NIC à qual o fluxo se aplica.
      • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
      • O status do tráfego, como permitido ou negado.

      Para obter mais informações sobre logs de fluxo de grupos de segurança de rede, consulte Visão geral de logs de fluxo de grupos de segurança de rede.

    • Rede virtual (VNet): um recurso que permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Para obter mais informações, consulte Visão geral da rede virtual.

    • Logs de fluxo de rede virtual: informações gravadas sobre o tráfego IP de entrada e saída através de uma rede virtual. Os logs de fluxo de rede virtual são escritos no formato JSON e incluem:

      • Fluxos de saída e entrada.
      • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
      • O status do tráfego, como permitido ou negado.

      Para obter mais informações sobre logs de fluxo de rede virtual, consulte Visão geral dos logs de fluxo de rede virtual.

      Nota

      Para obter informações sobre as diferenças entre os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual, consulte Logs de fluxo de rede virtual comparados aos logs de fluxo do grupo de segurança de rede.

Como funciona a análise de tráfego

A análise de tráfego examina os logs de fluxo brutos. Em seguida, ele reduz o volume de log agregando fluxos que têm um endereço IP de origem comum, endereço IP de destino, porta de destino e protocolo.

Um exemplo pode envolver o Host 1 no endereço IP 10.10.10.10 e o Host 2 no endereço IP 10.10.20.10. Suponha que esses dois hosts se comuniquem 100 vezes durante um período de uma hora. O log de fluxo bruto tem 100 entradas neste caso. Se esses hosts usarem o protocolo HTTP na porta 80 para cada uma dessas 100 interações, o log reduzido terá uma entrada. Essa entrada afirma que o Host 1 e o Host 2 se comunicaram 100 vezes durante um período de uma hora usando o protocolo HTTP na porta 80.

Os logs reduzidos são aprimorados com informações de geografia, segurança e topologia e, em seguida, armazenados em um espaço de trabalho do Log Analytics. O diagrama a seguir mostra o fluxo de dados:

Diagrama que mostra como os dados de tráfego de rede fluem de um log de grupo de segurança de rede para um painel de análise. As etapas intermediárias incluem agregação e aprimoramento.

Pré-requisitos

A análise de tráfego requer os seguintes pré-requisitos:

  • Uma assinatura habilitada para o Observador de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Azure Network Watcher.

  • Logs de fluxo de grupo de segurança de rede habilitados para os grupos de segurança de rede que você deseja monitorar ou logs de fluxo de rede virtual habilitados para a rede virtual que você deseja monitorar. Para obter mais informações, consulte Criar um log de fluxo de grupo de segurança de rede ou Criar um log de fluxo de rede virtual.

  • Um espaço de trabalho do Azure Log Analytics com acesso de leitura e gravação. Para obter mais informações, consulte Criar um espaço de trabalho do Log Analytics.

  • Uma das seguintes funções internas do Azure precisa ser atribuída à sua conta:

    Modelo de implementação Role
    Gestor de Recursos Proprietário
    Contribuinte
    Contribuidor de rede 1 e contribuidor de monitoramento 2

    Se nenhuma das funções internas anteriores for atribuída à sua conta, atribua uma função personalizada à sua conta. A função personalizada deve suportar as seguintes ações no nível de assinatura:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action
    • Microsoft.Insights/dataCollectionRules/read 2
    • Microsoft.Insights/dataCollectionRules/write 2
    • Microsoft.Insights/dataCollectionRules/delete 2
    • Microsoft.Insights/dataCollectionEndpoints/read 2
    • Microsoft.Insights/dataCollectionEndpoints/write 2
    • Microsoft.Insights/dataCollectionEndpoints/delete 2

    1 O contribuidor da rede não cobre Microsoft.OperationalInsights/workspaces/* ações.

    2 Necessário apenas ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.

    Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de função, contacte o respetivo administrador de subscrição.

    Atenção

    A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego pode não funcionar conforme o esperado.

Preços

Para obter detalhes de preços, consulte Preços do Observador de Rede e Preços do Azure Monitor.

Análise de tráfego (FAQ)

Para obter respostas às perguntas mais frequentes sobre análise de tráfego, consulte Perguntas frequentes sobre análise de tráfego.