Cenários de uso da análise de tráfego

  • Artigo

Neste artigo, você aprenderá como obter informações sobre seu tráfego depois de configurar a análise de tráfego em diferentes cenários.

Encontrar hotspots de tráfego

Procurar

  • Quais hosts, sub-redes, redes virtuais e conjunto de dimensionamento de máquinas virtuais estão enviando ou recebendo mais tráfego, atravessando o máximo de tráfego mal-intencionado e bloqueando fluxos significativos?
    • Verifique o gráfico comparativo para hosts, sub-rede, rede virtual e conjunto de escala de máquina virtual. Entender quais hosts, sub-redes, redes virtuais e conjunto de dimensionamento de máquinas virtuais estão enviando ou recebendo mais tráfego pode ajudá-lo a identificar os hosts que estão processando mais tráfego e se a distribuição de tráfego é feita corretamente.
    • Você pode avaliar se o volume de tráfego é apropriado para um host. O volume de tráfego é normal ou merece uma investigação mais aprofundada?
  • Quanto tráfego de entrada/saída existe?
    • Espera-se que o host receba mais tráfego de entrada do que de saída ou vice-versa?
  • Estatísticas de tráfego bloqueado.
    • Por que um host está bloqueando um volume significativo de tráfego benigno? Esse comportamento requer mais investigação e, provavelmente, otimização da configuração
  • Estatísticas de tráfego malicioso permitido/bloqueado

    • Por que um host está recebendo tráfego mal-intencionado e por que fluxos de fontes mal-intencionadas são permitidos? Esse comportamento requer uma investigação mais aprofundada e, provavelmente, a otimização da configuração.

      Selecione Ver tudo em IP , conforme mostrado na imagem a seguir:

      Screenshot of dashboard showcasing host with most traffic details.

      A imagem a seguir mostra a tendência de tempo para os cinco principais hosts falantes e os detalhes relacionados ao fluxo (permitido – entrada/saída e negado – fluxos de entrada/saída) para um host:

      Selecione Ver mais em Detalhes dos 5 principais IPs falantes, conforme mostrado na imagem a seguir, para obter informações sobre todos os hosts:

      Screenshot of top five most-talking host trends.

Procurar

  • Quais são os pares de anfitriões mais conversadores?

    • Comportamento esperado, como comunicação front-end ou back-end ou comportamento irregular, como tráfego de internet back-end.

  • Estatísticas de tráfego permitido/bloqueado

    • Por que um host está permitindo ou bloqueando um volume significativo de tráfego

  • Protocolo de aplicação usado com mais freqüência entre os pares de hosts mais conversantes:

    • Estas aplicações são permitidas nesta rede?

    • Os aplicativos estão configurados corretamente? Eles estão usando o protocolo apropriado para a comunicação? Selecione Ver tudo em Conversa frequente, conforme mostrado na imagem a seguir:

      Screenshot of dashboard showcasing most frequent conversations.

  • A imagem a seguir mostra a tendência de tempo para as cinco principais conversas e os detalhes relacionados ao fluxo, como fluxos de entrada e saída permitidos e negados para um par de conversas:

    Screenshot of top five chatty conversation details and trends.

Procurar

  • Qual protocolo de aplicativo é mais usado em seu ambiente e quais pares de hosts conversantes estão usando mais o protocolo de aplicativo?

    • Estas aplicações são permitidas nesta rede?

    • Os aplicativos estão configurados corretamente? Eles estão usando o protocolo apropriado para a comunicação? O comportamento esperado são as portas comuns, como 80 e 443. Para comunicação padrão, se alguma porta incomum for exibida, ela poderá exigir uma alteração de configuração. Selecione Ver tudo em Porta do aplicativo, na imagem a seguir:

      Screenshot of dashboard showcasing top application protocols.

  • As imagens a seguir mostram a tendência de tempo para os cinco principais protocolos L7 e os detalhes relacionados ao fluxo (por exemplo, fluxos permitidos e negados) para um protocolo L7:

    Screenshot of top five layer 7 protocols details and trends.

    Screenshot of the flow details for application protocol in log search.

Procurar

  • Tendências de utilização da capacidade de um gateway VPN em seu ambiente.

    • Cada VPN SKU permite uma certa quantidade de largura de banda. Os gateways VPN são subutilizados?
    • Os seus gateways estão a atingir a sua capacidade? Você deve atualizar para o próximo SKU superior?

  • Quais são os hosts que mais conversam, através de qual gateway VPN, sobre qual porta?

    • Este padrão é normal? Selecione Ver tudo em Gateway VPN, conforme mostrado na imagem a seguir:

      Screenshot of dashboard showcasing top active VPN connections.

  • A imagem a seguir mostra a tendência de tempo para utilização da capacidade de um Gateway de VPN do Azure e os detalhes relacionados ao fluxo (como fluxos e portas permitidos):

    Screenshot of VPN gateway utilization trend and flow details.

Visualize a distribuição do tráfego por geografia

Procurar

  • Distribuição de tráfego por data center, como as principais fontes de tráfego para um datacenter, as principais redes não autorizadas conversando com o data center e os principais protocolos de aplicativos de conversação.

    • Se você observar mais carga em um data center, poderá planejar uma distribuição eficiente do tráfego.

    • Se redes fraudulentas estiverem conversando no data center, corrija as regras do NSG para bloqueá-las.

      Selecione Exibir mapa em Seu ambiente, conforme mostrado na imagem a seguir:

      Screenshot of dashboard showcasing traffic distribution.

  • O mapa geográfico mostra a faixa de opções superior para a seleção de parâmetros como data centers (Implantado/Sem implantação/Ativo/Inativo/Análise de tráfego habilitado/Análise de tráfego não habilitado) e países/regiões que contribuem com tráfego benigno/mal-intencionado para a implantação ativa:

    Screenshot of geo map view showcasing active deployment.

  • O mapa geográfico mostra a distribuição do tráfego para um data center de países/regiões e continentes que se comunicam com ele em linhas coloridas azuis (tráfego benigno) e vermelho (tráfego malicioso):

    Screenshot of geo map view showcasing traffic distribution to countries/regions and continents.

    Screenshot of flow details for traffic distribution in log search.

  • A folha Mais Informações de uma região do Azure também mostra o tráfego total restante dentro dessa região (ou seja, origem e destino na mesma região). Ele ainda fornece informações sobre o tráfego trocado entre zonas de disponibilidade de um datacenter

    Screenshot of Inter Zone and Intra region traffic.

Visualize a distribuição de tráfego por redes virtuais

Procurar

  • Distribuição de tráfego por rede virtual, topologia, principais fontes de tráfego para a rede virtual, principais redes não autorizadas conversando com a rede virtual e principais protocolos de aplicativos de conversação.

    • Saber qual rede virtual está conversando com qual rede virtual. Se a conversa não for esperada, ela pode ser corrigida.

    • Se as redes não autorizadas estiverem conversando com uma rede virtual, você poderá corrigir as regras do NSG para bloquear as redes não autorizadas.

      Selecione Exibir redes virtuais em Seu ambiente , conforme mostrado na imagem a seguir:

      Screenshot of dashboard showcasing virtual network distribution.

  • A Topologia de Rede Virtual mostra a faixa de opções superior para a seleção de parâmetros como Conexões de rede virtual (Conexões de rede intervirtual/Ativas/Inativas), Conexões externas, Fluxos ativos e Fluxos mal-intencionados da rede virtual.

  • Você pode filtrar a Topologia de Rede Virtual com base em assinaturas, espaços de trabalho, grupos de recursos e intervalo de tempo. Os filtros extras que ajudam a entender o fluxo são: Tipo de fluxo (InterVNet, IntraVNET e assim por diante), Direção do fluxo (entrada, saída), Status do fluxo (permitido, bloqueado), VNETs (direcionado e conectado), Tipo de conexão (emparelhamento ou gateway - P2S e S2S) e NSG. Use esses filtros para se concentrar em VNets que você deseja examinar em detalhes.

  • Você pode aumentar e diminuir o zoom enquanto visualiza a Topologia de Rede Virtual usando a roda de rolagem do mouse. Clique com o botão esquerdo e mova o mouse permite arrastar a topologia na direção desejada. Você também pode usar atalhos de teclado para realizar estas ações: A (para arrastar para a esquerda), D (para arrastar para a direita), W (para arrastar para cima), S (para arrastar para baixo), + (para aumentar o zoom), - (para reduzir), R (para redefinir o zoom).

  • A Topologia de Rede Virtual mostra a distribuição de tráfego para uma rede virtual para fluxos (Permitido/Bloqueado/Entrada/Saída/Benigno/Mal-intencionado), protocolo de aplicativo e grupos de segurança de rede, por exemplo:

    Screenshot of virtual network topology showcasing traffic distribution and flow details.

    Screenshot of virtual network topology showcasing top level and more filters.

    Screenshot of flow details for virtual network traffic distribution in log search.

Procurar

  • Distribuição de tráfego por sub-rede, topologia, principais fontes de tráfego para a sub-rede, principais redes não autorizadas conversando com a sub-rede e principais protocolos de aplicativos de conversação.

    • Saber qual sub-rede está conversando com qual sub-rede. Se vir conversas inesperadas, pode corrigir a sua configuração.
    • Se as redes não autorizadas estiverem conversando com uma sub-rede, você poderá corrigi-la configurando as regras do NSG para bloquear as redes não autorizadas.

  • A Topologia de Sub-redes mostra a faixa de opções superior para seleção de parâmetros como Sub-rede Ativa/Inativa, Conexões Externas, Fluxos Ativos e Fluxos Mal-Intencionados da sub-rede.

  • Você pode aumentar e diminuir o zoom enquanto visualiza a Topologia de Rede Virtual usando a roda de rolagem do mouse. Clique com o botão esquerdo e mova o mouse permite arrastar a topologia na direção desejada. Você também pode usar atalhos de teclado para realizar estas ações: A (para arrastar para a esquerda), D (para arrastar para a direita), W (para arrastar para cima), S (para arrastar para baixo), + (para aumentar o zoom), - (para reduzir), R (para redefinir o zoom).

  • A topologia de sub-rede mostra a distribuição de tráfego para uma rede virtual em relação a fluxos (permitido/bloqueado/de entrada/de saída/benigno/mal-intencionado), protocolo de aplicativo e NSGs, por exemplo:

    Screenshot of subnet topology showcasing traffic distribution to a virtual network subnet with regards to flows.

Procurar

Distribuição de tráfego por Application gateway & Load Balancer, topologia, principais fontes de tráfego, principais redes não autorizadas conversando com o Application gateway & Load Balancer e principais protocolos de aplicativos conversantes.

  • Saber qual sub-rede está conversando com qual gateway de aplicativo ou balanceador de carga. Se observar conversas inesperadas, pode corrigir a sua configuração.

  • Se redes não autorizadas estiverem conversando com um gateway de aplicativo ou balanceador de carga, você poderá corrigi-lo configurando regras NSG para bloquear as redes não autorizadas.

    Screenshot shows a subnet topology with traffic distribution to an application gateway subnet regarding flows.

Exibir portas e máquinas virtuais que recebem tráfego da Internet

Procurar

  • Quais portas abertas estão conversando pela internet?

    • Se portas inesperadas forem encontradas abertas, você pode corrigir sua configuração:

      Screenshot of dashboard showcasing ports receiving and sending traffic to the internet.

      Screenshot of Azure destination ports and hosts details.

Procurar

Você tem tráfego mal-intencionado em seu ambiente? De onde vem? Para onde se destina?

Screenshot of malicious traffic flows detail in log search.

Exibir informações sobre IPs públicos interagindo com sua implantação

Procurar

  • Quais IPs públicos estão conversando com minha rede? Quais são os dados WHOIS e a localização geográfica de todos os IPs públicos?
  • Quais IPs mal-intencionados estão enviando tráfego para minhas implantações? Qual é o tipo de ameaça e a descrição da ameaça para IPs maliciosos?

    • A seção Informações de IP Público fornece um resumo de todos os tipos de IPs públicos presentes no tráfego da rede. Selecione o tipo de IP público de interesse para ver os detalhes. Este documento de esquema define os campos de dados apresentados.

      Screenshot that displays the public IP information.

    • No painel de análise de tráfego, selecione qualquer IP para visualizar suas informações

      Screenshot that displays the external IP information in tool tip.

      Screenshot that displays the malicious IP information in tool tip.

Procurar

  • Quais regras NSG/NSG têm mais acertos no gráfico comparativo com a distribuição de fluxos?

  • Quais são os principais pares de conversação de origem e destino de acordo com as regras NSG/NSG?

    Screenshot of dashboard showcasing NSG hits statistics.

  • As imagens a seguir mostram a tendência de tempo para acessos às regras NSG e detalhes de fluxo de origem-destino para um grupo de segurança de rede:

    • Detete rapidamente quais NSGs e regras NSG estão atravessando fluxos maliciosos e quais são os principais endereços IP mal-intencionados acessando seu ambiente de nuvem

    • Identificar quais regras NSG/NSG estão permitindo/bloqueando tráfego de rede significativo

    • Selecionar filtros superiores para inspeção granular de regras NSG ou NSG

      Screenshot showcasing time trending for NSG rule hits and top NSG rules.

      Screenshot of top N S G rules statistics details in log search.