Аналитика трафика

Аналитика трафика — это облачное решение, которое позволяет следить за действиями пользователя и приложения в ваших облачных сетях. В частности, решение "Аналитика трафика" позволяет выполнять анализ журналов потоков группы безопасности сети (NSG) Наблюдателя за сетями Azure и предоставляет сведения о потоке трафика в облаке Azure. Решение "Аналитика трафика" позволяет выполнять следующее:

  • Визуализация действий в сети в подписках Azure.

  • Определение точек доступа.

  • Защита сети с помощью сведений о следующих компонентах для выявления угроз:

    • Открытие портов
    • приложения, которые пытаются получить доступ к Интернету;
    • виртуальные машины, подключающиеся к несанкционированным сетям.
  • Оптимизация развертывания сети для повышения производительности и эффективного использования емкости путем изучения закономерностей потока трафика в регионах Azure и Интернете.

  • Оперативное обнаружение неверных конфигураций сети, которые могут привести к сбоям подключений в сети.

Примечание

Решение "Аналитика трафика" теперь поддерживает сбор данных журналов потоков NSG с периодичностью раз в 10 минут.

Примечание

Для взаимодействия с Azure рекомендуется использовать модуль PowerShell Azure Az. Чтобы приступить к работе, изучите статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Преимущества решения "Аналитика трафика"

Крайне важно выполнять мониторинг своей сети, управлять ею и знать ее структуру для обеспечения соответствия требованиям, высокой производительности и защиты от несанкционированного доступа. Знание собственной среды имеет первостепенное значение для ее защиты и оптимизации. Во многих случаях нужно иметь представление о текущем состоянии сети, в частности знать следующее:

  • Кто подключается к сети?
  • Откуда устанавливается подключение?
  • Какие порты открыты в Интернете?
  • Каково ожидаемое поведение сети?
  • Наблюдается ли нерегулярное поведение в сети?
  • Есть ли внезапный рост трафика?

Облачные сети отличаются от локальных корпоративных сетей. В локальных сетях маршрутизаторы и коммутаторы поддерживают NetFlow и другие эквивалентные протоколы. Эти устройства позволяют выполнять сбор данных об IP-трафике при входе или выходе из сетевого интерфейса. С помощью анализа данных потока трафика можно выполнить анализ потока и объема трафика.

С помощью виртуальных сетей Azure журналы потоков NSG выполняют сбор данных о сети. Эти журналы предоставляют сведения о входящем и исходящем IP-трафике через NSG, связанную с отдельными сетевыми интерфейсами, виртуальными машинами или подсетями. После анализа необработанных журналов потоков NSG решение "Аналитика трафика" объединяет данные журнала с аналитическими сведениями о безопасности, топологии и географии. Затем решение предоставляет аналитические сведения о потоке трафика в вашей среде.

Аналитика трафика предоставляет следующие данные:

  • узлы с наибольшим объемом передаваемых данных;
  • протоколы приложений с наибольшим объемом передаваемых данных;
  • пара узлов, больше всего взаимодействующих между собой;
  • разрешенный и заблокированный трафик;
  • Входящие и исходящие SMS.
  • Открытые порты Интернета.
  • правила, устанавливающие самый высокий уровень блокировки;
  • распределение трафика для каждого центра обработки данных Azure, виртуальной сети, подсетей или несанкционированной сети.

Ключевые компоненты

  • Группа безопасности сети (NSG). Ресурс, который содержит список правил безопасности, разрешающих или запрещающих передачу трафика к ресурсам, подключенным к виртуальным сетям Azure. Группы NSG можно связать с подсетями, отдельными виртуальными машинами (классическими) или отдельными сетевыми интерфейсами (сетевыми картами), которые подключены к виртуальным машинам (Resource Manager). Дополнительные сведения см. в статье Безопасность сети.

  • Журналы потоков NSG. Записанные сведения о входящем и исходящем IP-трафике в NSG. Журналы потоков NSG сохраняются в формате JSON и содержат следующие сведения:

    • входящие и исходящие потоки для каждого правила;
    • Сетевой адаптер, к которому относится данный поток.
    • сведения о потоке, такие как IP-адреса источника и назначения, порты источника и назначения, а также протокол;
    • сведения о состоянии трафика, например "Разрешен" или "Запрещен".

    Дополнительные сведения о журналах потоков NSG см. в статье Общие сведения о ведении журнала потоков для групп безопасности сети.

  • Log Analytics. Средство на портале Azure, используемое для работы с данными журналов Azure Monitor. Журналы Azure Monitor — служба Azure, которая собирает данные мониторинга и сохраняет их в центральный репозиторий. Эти данные могут содержать события, данные о производительности или пользовательские данные, полученные с помощью API Azure. Собранные данные доступны для оповещения, анализа и экспорта. Приложения мониторинга, например "Монитор производительности сети" и "Аналитика трафика", используют журналы Azure Monitor в качестве основы. Дополнительные сведения см. в статье Журналы Azure Monitor. Log Analytics предоставляет способ изменения и выполнения запросов к журналам. Кроме того, с помощью этого средства можно анализировать результаты запроса. Дополнительные сведения см. в статье Обзор Log Analytics в Azure Monitor.

  • Рабочая область Log Analytics. Среда, в которой хранятся данные журналов Azure Monitor, относящиеся к учетной записи Azure. Дополнительные сведения о рабочих областях Log Analytics см. в статье Создание рабочей области Log Analytics на портале Azure.

  • Наблюдатель за сетями — это региональная служба, с помощью которой вы можете выполнять мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Наблюдатель за сетями позволяет включать и отключать журналы потоков NSG. Дополнительные сведения см. в разделе Наблюдатель за сетями.

Как работает решение "Аналитика трафика"

Решение "Аналитика трафика" проверяет необработанные журналы потоков NSG. Затем решение уменьшает объем журнала, агрегируя потоки с общим IP-адресом источника, IP-адресом назначения, портом назначения и протоколом.

Для примера возьмем узел 1 с IP-адресом 10.10.10.10 и узел 2 с IP-адресом 10.10.20.10. Предположим, что эти два узла взаимодействуют 100 раз в течение одного часа. В этом случае необработанный журнал потоков будет содержать 100 записей. Если эти узлы используют протокол HTTP в порте 80 для каждой из этих 100 операций взаимодействия, в сокращенном журнале будет одна запись. Эта запись указывает на то, что узел 1 и узел 2 обмениваются данными 100 раз в течение одного часа с помощью протокола HTTP через порт 80.

Сокращенные журналы дополняются сведениями о географии, безопасности и топологии, а затем сохраняются в рабочей области Log Analytics. На следующей схеме показано представление потока данных:

Схема: как передаются данные сетевого трафика из журнала NSG в панель мониторинга аналитики. Промежуточные шаги включают в себя агрегирование и улучшение.

Предварительные требования

Прежде чем использовать решение "Аналитика трафика", убедитесь, что среда соответствует следующим требованиям.

Требования к доступу пользователей

Вашей учетной записи нужно назначить одну из следующих встроенных ролей Azure:

Модель развертывания Роль
Resource Manager Владелец
Участник
Читатель
Участник сети

Если ни одна из предыдущих встроенных ролей не назначена вашей учетной записи, назначьте настраиваемую роль вашей учетной записи. Настраиваемая роль должна поддерживать следующие действия на уровне подписки:

  • Microsoft.Network/applicationGateways/read
  • Microsoft.Network/connections/read
  • Microsoft.Network/loadBalancers/read
  • Microsoft.Network/localNetworkGateways/read
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/publicIPAddresses/read"
  • Microsoft.Network/routeTables/read
  • Microsoft.Network/virtualNetworkGateways/read
  • Microsoft.Network/virtualNetworks/read
  • Microsoft.Network/expressRouteCircuits/read

Дополнительные сведения о том, как проверить пользовательские права доступа, см. в статье Часто задаваемые вопросы о решении "Аналитика трафика".

Часто задаваемые вопросы

Ответы на распространенные вопросы вы найдете в статье Часто задаваемые вопросы о решении "Аналитика трафика".

Следующие шаги