Сценарии использования аналитики трафика

Из этой статьи вы узнаете, как получить инсайты о трафике после настройки аналитики трафика в различных сценариях.

Найдите точки доступа для трафика

Ищите

  • Какие узлы, подсети, виртуальные сети и масштабируемый набор виртуальных машин отправляют или получают больше всего трафика, обходя максимальный объем вредоносного трафика и блокируя значительные потоки?
    • Проверьте сравнительную таблицу для узлов, подсетей, виртуальных сетей и масштабируемого набора виртуальных машин. Понимание того, какие узлы, подсети, виртуальные сети и масштабируемый набор виртуальных машин отправляют или получают больше всего трафика, может помочь вам определить, какие узлы обрабатывают наибольший объем трафика, а также правильно ли распределяется трафик.
    • Вы можете оценить, подходит ли объем трафика для узла сети. Является ли объем трафика нормальным поведением или он заслуживает дальнейшего изучения?
  • Какой объем входящего/исходящего трафика существует?
    • Ожидается, что хост будет получать больше входящего трафика, чем исходящего, или наоборот?
  • Статистика заблокированного трафика.
    • Почему хост блокирует значительный объем безобидного трафика? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации
  • Статистика разрешенного/заблокированного вредоносного трафика
    • Почему хост получает вредоносный трафик и почему разрешены потоки из вредоносных источников? Такое поведение требует дальнейшего изучения и, возможно, оптимизации конфигурации.

      Выберите Просмотреть все в разделе IP, как показано на следующем рисунке, чтобы просмотреть временные тренды для пяти основных говорящих узлов и сведения, связанные с потоком (разрешенные — входящие/исходящие и запрещенные — входящие/исходящие потоки) для узла:

      Скриншот панели управления, представляющий хост с наибольшим количеством трафика.

Ищите

  • Какие пары хостов наиболее общающиеся?

    • Ожидаемое поведение, например взаимодействие с внешним или серверным интерфейсом, или нерегулярное поведение, например внутренний интернет-трафик.
  • Статистика разрешенного/заблокированного трафика

    • Почему хост разрешает или блокирует значительный объем трафика
  • Наиболее часто используемый прикладной протокол среди большинства взаимодействующих пар хостов:

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они соответствующий протокол для связи? Выберите Просмотреть все в разделе Частые разговоры, как показано на следующем рисунке:

      Скриншот панели управления, показывающий наиболее частые разговоры.

  • На следующем рисунке показаны временные тренды для пяти основных диалогов и сведения, связанные с потоком, такие как разрешенные и запрещенные входящие и исходящие потоки для пары разговоров:

    Скриншот пяти основных подробностей и тенденций болтливых разговоров.

Ищите

  • Какой протокол приложения чаще всего используется в вашей среде и какие пары узлов чаще всего используют протокол приложения?

    • Разрешены ли эти приложения в этой сети?

    • Правильно ли настроены приложения? Используют ли они соответствующий протокол для связи? Ожидаемое поведение — это общие порты, такие как 80 и 443. При стандартном обмене данными, если отображаются какие-либо необычные порты, может потребоваться изменение конфигурации. Выберите Просмотреть все в разделе Порт приложения на следующем рисунке:

      Скриншот панели управления, демонстрирующей основные протоколы приложений.

  • На следующих изображениях показаны временные тренды для пяти основных протоколов L7 и сведения, связанные с потоком (например, разрешенные и запрещенные потоки) для протокола L7:

    Скриншот пяти основных протоколов уровня 7: детали и тенденции.

    Скриншот сведений о потоке для протокола приложения в поиске по журналам.

Ищите

  • Тенденции использования ресурсов VPN-шлюза в вашей среде.

    • Каждый номер SKU VPN обеспечивает определенную пропускную способность. Не используются ли VPN-шлюзы в недостаточной степени?
    • Ваши шлюзы работают на пределе своих возможностей? Следует ли переходить на следующий более высокий SKU?
  • Какие хосты наиболее часто общаются, через какой VPN-шлюз, через какой порт?

    • Является ли такая закономерность нормальной? Выберите Просмотреть все в разделе VPN-шлюз, как показано на следующем рисунке:

      Скриншот панели управления, демонстрирующей самые активные VPN-соединения.

  • На следующем рисунке показаны временные тенденции использования емкости VPN-шлюза Azure и сведения, связанные с потоком (например, разрешенные потоки и порты):

    Скриншот тенденций использования VPN-шлюзов и сведений о потоке.

Визуализируйте распределение трафика по географии

Ищите

  • Распределение трафика по центрам обработки данных, например основные источники трафика в центр обработки данных, основные несанкционированные сети, взаимодействующие с центром обработки данных, и протоколы приложений, которые чаще всего взаимодействуют.

    • Если вы наблюдаете большую нагрузку на центр обработки данных, вы можете спланировать эффективное распределение трафика.

    • Если несанкционированные сети обмениваются данными в центре обработки данных, вы можете установить правила группы безопасности сети, чтобы заблокировать их.

      Выберите Просмотреть карту в разделе Ваша среда, как показано на следующем рисунке:

      Скриншот дашборда, показывающего распределение трафика.

  • На геокарте отображается верхняя лента для выбора параметров, таких как центры обработки данных (Развернуто/Не развернуто/Активно/Неактивно/Аналитика трафика включена/Аналитика трафика не включена) и страны и регионы, вносящие доброкачественный/вредоносный трафик в активное развертывание:

    Скриншот геокарты, демонстрирующий активное развертывание.

  • На геокарте синим (безобидный трафик) и красными (вредоносный трафик) линиями показано распределение трафика в дата-центр из стран/регионов и континентов, которые к нему обращаются:

    Скриншот геокарты, показывающий распределение трафика по странам/регионам и континентам.

  • В колонке "Дополнительная аналитика " региона Azure также отображается общий объем трафика, оставшегося в этом регионе (т. е. источник и назначение в том же регионе). Кроме того, он дает представление об обмене трафиком между зонами доступности центра обработки данных.

    Скриншот межзонового и внутрирегионального трафика.

Визуализируйте распределение трафика по виртуальным сетям

Ищите

  • Распределение трафика по виртуальным сетям, топология, основные источники трафика в виртуальную сеть, основные несанкционированные сети, взаимодействующие с виртуальной сетью, и основные протоколы взаимодействующих приложений.

    • Знание того, какая виртуальная сеть взаимодействует с какой виртуальной сетью. Если разговор неожиданный, его можно корректировать.

    • Если несанкционированные сети взаимодействуют с виртуальной сетью, можно скорректировать правила группы безопасности сети, чтобы блокировать несанкционированные сети.

      Выберите Просмотр виртуальных сетей в разделе Ваша среда , как показано на следующем рисунке:

      Скриншот панели управления, демонстрирующей распределение по виртуальной сети.

  • В разделе Топология виртуальной сети отображается верхняя лента для выбора таких параметров, как параметры виртуальной сети (Подключения между виртуальными сетями/Активные/Неактивные), Внешние подключения, Активные потоки и Вредоносные потоки виртуальной сети.

  • Топологию виртуальной сети можно отфильтровать по подпискам, рабочим областям, группам ресурсов и временному интервалу. Дополнительные фильтры, которые помогают понять поток: тип потока (InterVNet, IntraVNET и т. д.), Направление потока (входящий, исходящий), Состояние потока (разрешенный, заблокированный), Виртуальные сети (целевые и подключенные), Тип подключения (пиринг или шлюз — P2S и S2S) и NSG. Используйте эти фильтры, чтобы сосредоточиться на виртуальных сетях, которые вы хотите подробно изучить.

  • Вы можете увеличивать и уменьшать масштаб при просмотре топологии виртуальной сети с помощью колеса прокрутки мыши. Щелчок левой кнопкой мыши и перемещение мыши позволяет перетащить топологию в нужном направлении. Вы также можете использовать сочетания клавиш для выполнения следующих действий: A (для перетаскивания влево), D (для перетаскивания вправо), W (для перетаскивания вверх), S (для перетаскивания вниз), + (для увеличения), - (для уменьшения), R (для сброса масштаба).

  • Топология виртуальной сети показывает распределение трафика в виртуальную сеть по потокам (разрешено/заблокировано/входящему/исходящему/доброкачественному/вредоносному), протоколу приложения и группам безопасности сети, например:

    Снимок экрана топологии виртуальной сети, показывающий распределение трафика и сведения о потоке.

    Скриншот топологии виртуальной сети, демонстрирующий фильтры верхнего уровня и другие фильтры.

Ищите

  • Распределение трафика по подсетям, топология, основные источники трафика в подсеть, основные несанкционированные сети, взаимодействующие с подсетью, и основные протоколы приложений, взаимодействующие друг с другом.

    • Знание того, какая подсеть взаимодействует с какой подсетью. Если вы видите неожиданные разговоры, вы можете скорректировать конфигурацию.
    • Если несанкционированные сети взаимодействуют с подсетью, вы можете исправить это, настроив правила NSG для блокировки несанкционированных сетей.
  • Топология подсетей показывает верхнюю ленту для выбора таких параметров, как активная/неактивная подсеть, внешние подключения, активные потоки и вредоносные потоки подсети.

  • Вы можете увеличивать и уменьшать масштаб при просмотре топологии виртуальной сети с помощью колеса прокрутки мыши. Щелчок левой кнопкой мыши и перемещение мыши позволяет перетащить топологию в нужном направлении. Вы также можете использовать сочетания клавиш для выполнения следующих действий: A (для перетаскивания влево), D (для перетаскивания вправо), W (для перетаскивания вверх), S (для перетаскивания вниз), + (для увеличения), - (для уменьшения), R (для сброса масштаба).

  • Топология подсети показывает распределение трафика в виртуальную сеть по потокам (разрешенные/заблокированные/входящие/исходящие/доброкачественные/вредоносные), протоколу приложения и группам безопасности сети, например:

    Снимок экрана топологии подсети, показывающий распределение трафика в подсеть виртуальной сети с учетом потоков.

Ищите

Распределение трафика по шлюзу приложений и балансировщику нагрузки, топология, основные источники трафика, основные несанкционированные сети, взаимодействующие со шлюзом приложений и балансировщиком нагрузки, и основные протоколы взаимодействующих приложений.

  • Знание того, какая подсеть взаимодействует с каким шлюзом приложений или подсистемой балансировки нагрузки. Если вы заметите неожиданные разговоры, вы можете скорректировать свою конфигурацию.

  • Если несанкционированные сети взаимодействуют со шлюзом приложений или подсистемой балансировки нагрузки, вы можете исправить это, настроив правила NSG для блокировки несанкционированных сетей.

    На снимке экрана показана топология подсети с распределением трафика в подсеть шлюза приложений относительно потоков.

Просмотр портов и виртуальных машин, получающих трафик из Интернета

Ищите

  • Какие открытые порты обмениваются данными через Интернет?
    • Если неожиданные порты будут обнаружены открытыми, вы можете исправить свою конфигурацию:

      Скриншот панели управления, показывающей порты, принимающие и отправляющие трафик в Интернет.

      Снимок экрана со сведениями о портах назначения и узлах Azure.

Просмотр сведений о публичных IP-адресах, взаимодействующих с вашим развертыванием

Ищите

  • Какие общедоступные IP-адреса взаимодействуют с моей сетью? Каковы данные WHOIS и географическое местоположение всех общедоступных IP-адресов?
  • Какие вредоносные IP-адреса отправляют трафик в мои развертывания? Каков тип угрозы и описание угрозы для вредоносных IP-адресов?

В разделе «Информация о публичных IP-адресах» представлена сводка по всем типам общедоступных IP-адресов, присутствующих в сетевом трафике. Выберите интересующий вас тип общедоступного IP-адреса для просмотра сведений. На панели аналитики трафика выберите любой IP-адрес для просмотра информации о нем. Дополнительные сведения о представленных полях данных см. в разделе Схема сведений об общедоступном IP-адресе .

Скриншот, на котором отображается раздел с информацией о публичном IP-адресе.

Ищите

  • Какие правила NSG/NSG имеют наибольшее количество попаданий на сравнительной диаграмме с распределением потоков?

  • Каковы основные пары исходной и целевой бесед в соответствии с правилами NSG/NSG?

    Скриншот со статистикой обращений NSG на панели управления.

  • На следующих изображениях показаны временные тенденции срабатывания правил NSG, а также детали потоков "источник-назначение" для группы безопасности сети.

    • Быстро определяйте, какие группы безопасности сети и правила NSG пересекаются с вредоносными потоками, и какие основные вредоносные IP-адреса обращаются к вашей облачной среде.

    • Определите, какие правила NSG/NSG позволяют или блокируют значительный сетевой трафик.

    • Выбор верхних фильтров для детальной проверки NSG или правил NSG

      Снимок экрана, демонстрирующий временные тенденции срабатываний правил NSG и лучших правил NSG.

      Скриншот со сведениями о статистике основных правил NSG в поиске по журналам.

Следующий шаг