Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. Analisi del traffico analizza i log dei flussi di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:
- Visualizzare l'attività della rete nelle sottoscrizioni di Azure e identificare le aree sensibili.
- Identificare le minacce alla sicurezza e proteggere la rete con informazioni quali porte aperte, applicazioni che tentano l'accesso a Internet e macchine virtuali (VM) che si connettono a reti non autorizzate.
- Conoscere i modelli di flusso di traffico nelle aree di Azure e in Internet per ottimizzare le prestazioni e la capacità della distribuzione della rete.
- Trovare le configurazioni di rete errate che comportano connessioni non riuscite nella rete.
- Conoscere l'utilizzo della rete in byte, pacchetti o flussi.
Aggregazione dei dati
- Tutti i log dei flussi tra
FlowIntervalStartTimeeFlowIntervalEndTimevengono acquisiti a intervalli di un minuto come BLOB in un account di archiviazione. - L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ovvero ogni ora l'analisi del traffico seleziona i BLOB dall'account di archiviazione per effettuare l'aggregazione. Tuttavia, se viene selezionato un intervallo di elaborazione di 10 minuti, l'analisi del traffico selezionerà invece i BLOB dall'account di archiviazione ogni 10 minuti.
- I flussi con gli stessi
Source IP,Destination IP,Destination port,NSG name,NSG rule,Flow DirectioneTransport layer protocol (TCP or UDP)vengono suddivisi in un singolo flusso tramite l'analisi del traffico (nota: la porta di origine è esclusa per l'aggregazione). - Questo singolo record è decorato (dettagli nella sezione seguente) e inserito nei log di Monitoraggio di Azure dall'analisi del traffico. L'operazione può richiedere fino a un'ora.
- Il campo
FlowStartTimeindica la prima occorrenza di tale flusso aggregato (con la stessa tupla a quattro) nell'intervallo di elaborazione del log dei flussi traFlowIntervalStartTimeeFlowIntervalEndTime. - Per tutte le risorse nell'analisi del traffico i flussi indicati nel portale di Azure rappresentano i flussi totali visualizzati, ma nei log di Monitoraggio di Azure l'utente vede solo il singolo record ridotto. Per visualizzare tutti i flussi, usare il campo
blob_ida cui è possibile fare riferimento dalla risorsa di archiviazione. Il numero totale di flussi per tale record corrisponde ai singoli flussi visualizzati nel BLOB.
La query seguente consente di esaminare tutte le subnet che hanno interagito negli ultimi 30 giorni con gli IP pubblici che non sono di Azure.
NTANetAnalytics
| where SubType == "FlowLog" and FlowStartTime >= ago(30d) and FlowType == "ExternalPublic"
| project SrcSubnet, DestSubnet
Schema di analisi del traffico
L'analisi del traffico si basa sui log di Monitoraggio di Azure, quindi è possibile eseguire query personalizzate sui dati decorati dall'analisi del traffico e impostare avvisi.
Nella tabella seguente sono elencati i campi dello schema e ciò che indicano per i log dei flussi di rete virtuale. Per altre informazioni, vedere NTANetAnalytics.
| Campo | Format | Commenti |
|---|---|---|
| Nome della tabella | NTANetAnalytics | Tabella dei dati di analisi del traffico. |
| SubType | FlowLog | Sottotipo per i log del flusso. Usare solo FlowLog, altri valori di SubType sono per uso interno. |
| FASchemaVersion | 3 | Versione dello schema. Non viene visualizzata la versione del log del flusso di rete virtuale. |
| TimeProcessed | Data e ora in formato UTC | Ora in cui l'analisi del traffico ha elaborato i log del flusso non elaborato dall'account di archiviazione. |
| FlowIntervalStartTime | Data e ora in formato UTC | Ora di inizio dell'intervallo di elaborazione del log del flusso (tempo da cui viene misurato l'intervallo di flusso). |
| FlowIntervalEndTime | Data e ora in formato UTC | Ora di fine dell'intervallo di elaborazione del log di flusso. |
| FlowStartTime | Data e ora in formato UTC | Prima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log dei flussi tra FlowIntervalStartTime e FlowIntervalEndTime. Questo flusso viene aggregato in base alla logica di aggregazione. |
| FlowEndTime | Data e ora in formato UTC | Ultima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log dei flussi tra FlowIntervalStartTime e FlowIntervalEndTime. |
| Tipo di flusso | - IntraVNet - InterVNet - S2S - P2S - AzurePubblico - ExternalPublic - MaliciousFlow - Soldato sconosciuto - Sconosciuto |
Vedere Note per le definizioni. |
| SrcIp | Indirizzo IP di origine | Vuoto nei flussi AzurePublic ed ExternalPublic. |
| DestIp | Indirizzo IP di destinazione | Vuoto nei flussi AzurePublic ed ExternalPublic. |
| TargetResourceId | ResourceGroupName/ResourceName | ID della risorsa in cui è abilitata la registrazione del flusso e l'analisi del traffico. |
| TargetResourceType | Rete virtuale/Subnet/Interfaccia di rete | Tipo di risorsa in cui è abilitata la registrazione del flusso e l'analisi del traffico (rete virtuale, subnet, scheda di interfaccia di rete o gruppo di sicurezza di rete). |
| FlowLogResourceId | ResourceGroupName/NetworkWatcherName/FlowLogName | ID risorsa del log del flusso. |
| Porta di Destinazione | Porta di destinazione | Porta in cui il traffico è in ingresso. |
| Protocollo L4 | - T - U |
Protocollo di trasporto: T = TCP U = UDP |
| Protocollo L7 | Nome protocollo | Derivato dalla porta di destinazione. |
| Direzione del flusso | - I = Inbound - O = In uscita |
Direzione del flusso: all'interno o all'esterno della risorsa di destinazione per ogni log del flusso. |
| Stato del flusso | - A = Consentito - D = Negato |
Stato del flusso: consentito o negato dalla risorsa di destinazione per ogni log del flusso. |
| AclList | <SubscriptionID>/<resourcegroup_Name>/<NSG_Name> | Gruppo di sicurezza di rete associato al flusso. |
| AclRule | Nome della regola del gruppo di sicurezza di rete | Regola del gruppo di sicurezza di rete che ha consentito o negato il flusso. |
| MACAddress | Indirizzo MAC | Indirizzo MAC della scheda di interfaccia di rete in cui è stato acquisito il flusso. |
| SrcSubscription | ID sottoscrizione | ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'IP di origine nel flusso. |
| DestSubscription | ID sottoscrizione | ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'IP di destinazione nel flusso. |
| SrcRegion | Area di Azure | Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'indirizzo IP di origine nel flusso. |
| DestRegion | Area di Azure | Area di Azure della rete virtuale a cui appartiene l'indirizzo IP di destinazione nel flusso. |
| SrcNic | <resourcegroup_Name>/<NetworkInterfaceName> | Scheda di interfaccia di rete associata all'IP di origine nel flusso. |
| DestNic | <resourcegroup_Name>/<NetworkInterfaceName> | Scheda di interfaccia di rete associata all'IP di destinazione nel flusso. |
| SrcVm | <resourcegroup_Name>/<VirtualMachineName> | Macchina virtuale associata all'IP di origine nel flusso. |
| DestVm | <resourcegroup_Name>/<VirtualMachineName> | Macchina virtuale associata all'IP di destinazione nel flusso. |
| SrcSubnet | <ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName> | Subnet associata all'IP di origine nel flusso. |
| DestSubnet | <ResourceGroup_Name>/<VirtualNetwork_Name>/<SubnetName> | Subnet associata all'IP di destinazione nel flusso. |
| SrcApplicationGateway | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | Gateway applicazione associato all'IP di origine nel flusso. |
| DestApplicationGateway | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | Gateway applicazione associato all'IP di destinazione nel flusso. |
| SrcExpressRouteCircuit | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ID circuito ExpressRoute: quando il flusso viene inviato dal sito tramite ExpressRoute. |
| DestExpressRouteCircuit | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ID circuito ExpressRoute: quando il flusso viene ricevuto dal cloud da ExpressRoute. |
| Tipo di Peering del Circuito ExpressRoute | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
Tipo di peering ExpressRoute coinvolto nel flusso. |
| SrcLoadBalancer | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | Bilanciamento del carico associato all'IP di origine nel flusso. |
| DestLoadBalancer | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | Bilanciamento del carico associato all'IP di destinazione nel flusso. |
| SrcLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | Gateway di rete locale associato all'IP di origine nel flusso. |
| DestLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | Gateway di rete locale associato all'IP di destinazione nel flusso. |
| Tipo di Connessione | - VNetPeering - VpnGateway - ExpressRoute |
Tipo di connessione. |
| ConnectionName | <SubscriptionID>/<ResourceGroupName>/<ConnectionName> | Nome della connessione. Il tipo di flusso connessione da punto a sito (P2S) viene formattato come <GatewayName>_<VPNClientIP> |
| ConnectingVNets | Elenco di nomi di rete virtuale separati da spazi. | Nella topologia gruppo a ruota le reti virtuali hub vengono popolate qui. |
| Paese | Codice paese a due lettere (ISO 3166-1 alfa-2) | Popolato per il tipo di flusso ExternalPublic. Tutti gli indirizzi IP nel campo PublicIPs condividono lo stesso codice paese. |
| azureRegion | Località dell'area di Azure | Popolato per il tipo di flusso AzurePublic. Tutti gli indirizzi IP nel campo PublicIPs condividono l'area di Azure. |
| AllowedInFlows | - | Numero di flussi in ingresso consentiti che rappresenta il numero di flussi che hanno condiviso l'ingresso, con la stessa tupla a quattro, all'interfaccia di rete in cui è stato acquisito il flusso. |
| DeniedInFlows | - | Numero di flussi in ingresso negati. In ingresso nell'interfaccia di rete in cui è stato acquisito il flusso. |
| AllowedOutFlows | - | Numero di flussi in uscita consentiti (in uscita dall'interfaccia di rete in cui è stato acquisito il flusso). |
| DeniedOutFlows | - | Numero di flussi in uscita negati (in uscita dall'interfaccia di rete in cui è stato acquisito il flusso). |
| PacketsDestToSrc | - | Rappresenta i pacchetti inviati dalla destinazione all'origine del flusso. |
| PacketsSrcToDest | - | Rappresenta i pacchetti inviati dall'origine alla destinazione del flusso. |
| BytesDestToSrc | - | Rappresenta i byte inviati dalla destinazione all'origine del flusso. |
| BytesSrcToDest | - | Rappresenta i byte inviati dall'origine alla destinazione del flusso. |
| Flussi completati | - | Numero totale di flussi completati (popolati con valore diverso da zero quando un flusso ottiene un evento completato). |
| SrcPublicIPs | <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | Voci separate da barre. |
| DestPublicIPs | <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | Voci separate da barre. |
| FlowEncryption | - Crittografato - Senza crittografia - Hardware non supportato - Software non pronto - Eliminazione a causa di mancanza di crittografia - Individuazione non supportata - Destinazione nello stesso host - Fallback in nessuna crittografia. |
Livello di crittografia dei flussi. |
| PrivateEndpointResourceId | <ResourceGroup/privateEndpointResource> | ID risorsa della risorsa dell'endpoint privato. Popolato quando il traffico passa da o verso una risorsa con endpoint privato. |
| PrivateLinkResourceId | <ResourceGroup/ResourceType/privateLinkResource> | ID risorsa del servizio di collegamento privato. Popolato quando il traffico passa da o verso una risorsa con endpoint privato. |
| PrivateLinkResourceName | Testo normale | Nome della risorsa del servizio di collegamento privato. Popolato quando il traffico passa da o verso una risorsa con endpoint privato. |
| IsFlowCapturedAtUDRHop | -Vero - False |
Se il flusso è stato acquisito in corrispondenza di un hop UDR, il valore è True. |
Note
NTANetAnalytics nei log dei flussi di rete virtuale sostituisce AzureNetworkAnalytics_CL usato nei log dei flussi del gruppo di sicurezza di rete.
Schema dei dettagli dell'IP pubblico
Analisi del traffico fornisce i dati WHOIS e la posizione geografica per tutti gli IP pubblici nell'ambiente in uso. Per un IP dannoso, Analisi del traffico fornisce descrizioni di dominio DNS, tipo di minaccia e thread identificati dalle soluzioni di Intelligence per la sicurezza Microsoft. I dettagli IP vengono pubblicati nell'area di lavoro Log Analytics in modo da poter creare query personalizzate e inserire avvisi. È anche possibile accedere alle query prepopolate dal dashboard di analisi del traffico.
La tabella seguente illustra in dettaglio lo schema IP pubblico. Per altre informazioni, vedere NTAIpDetails.
| Campo | Format | Commenti |
|---|---|---|
| Nome della tabella | NTAIpDetails | Tabella contenente i dati dei dettagli IP di Analisi del traffico. |
| SubType | FlowLog | Sottotipo per i log del flusso. Usare solo FlowLog. Altri valori di SubType sono per i lavori interni del prodotto. |
| FASchemaVersion | 2 | Versione dello schema. Non viene visualizzata la versione del log del flusso di rete virtuale. |
| FlowIntervalStartTime | Data e ora in formato UTC | Ora di inizio dell'intervallo di elaborazione del log di flusso (ora da cui viene misurato l'intervallo di flusso). |
| FlowIntervalEndTime | Data e ora in formato UTC | Ora di fine dell'intervallo di elaborazione del log del flusso. |
| Tipo di flusso | - AzurePubblico - ExternalPublic - Flusso malevolo |
Vedere Note per le definizioni. |
| IP | IP pubblico | IP pubblico le cui informazioni vengono fornite nel record. |
| PublicIPDetails | Informazioni sull'IP | Per l'indirizzo IP pubblico di Azure: servizio di Azure proprietario dell'indirizzo IP o dell'IP pubblico virtuale Microsoft per l'IP 168.63.129.16. ExternalPublic/IP dannoso: informazioni WhoIS dell'IP. |
| Tipo di minaccia | Minaccia rappresentata da un IP dannoso | Solo per indirizzi IP dannosi. Una delle minacce dell'elenco dei valori attualmente consentiti. Per altre informazioni, vedere Note. |
| DNSDomain | Dominio DNS | Solo per indirizzi IP dannosi. Nome di dominio associato all'IP. |
| MinacciaDescrizione | Descrizione della minaccia | Solo per indirizzi IP dannosi. Descrizione della minaccia rappresentata dall'IP dannoso. |
| Ubicazione | Posizione dell'IP | Per IP pubblico di Azure: area di Azure di rete virtuale / interfaccia di rete / macchina virtuale a cui appartiene l'IP o OPPURE globale per IP 168.63.129.16. Per IP pubblico esterno e IP dannoso: prefisso internazionale a due lettere (ISO 3166-1 alfa-2) in cui si trova l'IP. |
| Url | URL corrispondente all'IP dannoso | Solo per indirizzi IP dannosi. |
| Porta | Porta corrispondente all'IP dannoso | Solo per indirizzi IP dannosi. |
Note
NTAIPDetails nei log dei flussi di rete virtuale sostituisce AzureNetworkAnalyticsIPDetails_CL usato nei log dei flussi del gruppo di sicurezza di rete.
Analisi del traffico può registrare qualsiasi FQDN dannoso associato all'IP per flussi dannosi. Per escluderli, usare la porta, l'URL e i campi di dominio in base alle esigenze.
Tipi di minacce
Nella tabella seguente sono elencati i valori attualmente consentiti per il ThreatType campo nello schema dei dettagli IP di Analisi del traffico.
| valore | Descrizione |
|---|---|
| Botnet (rete di bot) | Indicatore che descrive in dettaglio un nodo/membro botnet. |
| C2 | Indicatore che descrive in dettaglio un nodo Command & Control di un botnet. |
| CryptoMining | Il traffico che coinvolge questo indirizzo di rete/URL è un'indicazione dell'uso improprio di cyrptoMining/della risorsa. |
| DarkNet | Indicatore di un nodo/rete Darknet. |
| DDoS | Indicatori relativi a una campagna DDoS attiva o futura. |
| MaliciousUrl | URL che serve malware. |
| Malware | Indicatore che descrive un file o un file dannoso. |
| Phishing | Indicatori relativi a una campagna di phishing. |
| Intermediario | Indicatore di un servizio proxy. |
| PUA | Applicazione potenzialmente indesiderata. |
| WatchList | Bucket generico in cui vengono posizionati gli indicatori quando non è possibile determinare esattamente qual è la minaccia o richiede un'interpretazione manuale. WatchList in genere non deve essere usato dai partner che inviano dati nel sistema. |
Note
- In caso di flussi
AzurePubliceExternalPublic, l'indirizzo IP della macchina virtuale di Azure di proprietà del cliente viene popolato nel campoVMIP_s, mentre gli indirizzi IP pubblici vengono popolati nel campoPublicIPs_s. Per questi due tipi di flusso, è consigliabile usareVMIP_sePublicIPs_sanziché i campiSrcIP_seDestIP_s. Per gli indirizzi IP AzurePublic ed ExternalPublic, viene effettuata un'ulteriore aggregazione, in modo che il numero di record inseriti nell'area di lavoro Log Analytics sia minimo. Questo campo verrà deprecato. Usare SrcIP_s e DestIP_s a seconda che la macchina virtuale sia l'origine o la destinazione nel flusso. - Ad alcuni nomi di campo vengono accodati
_so_d, che non indicano l'origine e la destinazione, ma indicano, rispettivamente, la stringa e il decimal dei tipi di dati. - In base agli indirizzi IP coinvolti nel flusso, i flussi vengono classificati nei tipi di flusso seguenti:
IntraVNet: entrambi gli indirizzi IP nel flusso si trovano nella stessa rete virtuale di Azure.InterVNet: gli indirizzi IP nel flusso si trovano in due reti virtuali di Azure diverse.S2S(Da sito a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa alla rete virtuale tramite gateway VPN o ExpressRoute.P2S(Da punto a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa alla rete virtuale di Azure tramite gateway VPN.AzurePublic: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un IP pubblico di Azure di proprietà di Microsoft. Gli indirizzi IP pubblici di proprietà del cliente non fanno parte di questo tipo di flusso. Ad esempio, qualsiasi macchina virtuale di proprietà del cliente che invia traffico a un servizio di Azure (endpoint di archiviazione) viene categorizzata in questo tipo di flusso.ExternalPublic: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro è un indirizzo IP pubblico che non è di proprietà di Microsoft né parte di una sottoscrizione di proprietà del cliente visibile all'analisi del traffico e non viene segnalato come dannoso nei feed del Centro sicurezza di Azure usati dall'analisi del traffico per l'intervallo di elaborazione traFlowIntervalStartTime_teFlowIntervalEndTime_t.MaliciousFlow: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro è un indirizzo IP pubblico che non è di proprietà di Microsoft né parte di una sottoscrizione di proprietà del cliente visibile all'analisi del traffico e non viene segnalato come dannoso nei feed del Centro sicurezza di Azure usati dall'analisi del traffico per l'intervallo di elaborazione traFlowIntervalStartTime_teFlowIntervalEndTime_t.UnknownPrivate: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene all'intervallo IP privato definito in RFC 1918 e non è stato possibile eseguire il mapping dall'analisi del traffico a un sito di proprietà del cliente o a una rete virtuale di Azure.Unknown: non è possibile eseguire il mapping di uno degli indirizzi IP nel flusso con la topologia del cliente in Azure e in locale (sito).
Note
Una sottoscrizione è visibile all'analisi del traffico in un'area di lavoro Log Analytics se contiene un log di flusso configurato per tale area di lavoro.
Contenuti correlati
- Per altre informazioni sull'analisi del traffico, vedere Panoramica di Analisi del traffico.
- Per le risposte relative all'analisi del traffico, vedere Domande frequenti su Analisi del traffico.