Schéma analýzy provozu a agregace dat

Analýza provozu je cloudové řešení, které poskytuje přehled o aktivitách uživatelů a aplikací v cloudových sítích. Analýzy provozu analyzují protokoly toku služby Azure Network Watcher, aby poskytovaly přehled o toku provozu ve vašem cloudu Azure. Pomocí analýzy provozu můžete:

• Vizualizujte síťovou aktivitu napříč předplatnými Azure a identifikujte aktivní místa.
• Identifikujte bezpečnostní hrozby a zabezpečte síť s informacemi, jako jsou otevřené porty, aplikace, které se pokoušejí o přístup k internetu, a virtuální počítače, které se připojují k podvodným sítím.
• Seznamte se se vzory toků provozu napříč oblastmi Azure a internetem, abyste optimalizovali nasazení sítě pro zajištění výkonu a kapacity.
• Připnutí chybných konfigurací sítě, které vedou k selhání připojení ve vaší síti.
• Znát využití sítě v bajtech, paketech nebo tocích.

Agregace dat

Protokoly toků skupin zabezpečení sítě

• Všechny protokoly toku ve skupině zabezpečení sítě mezi FlowIntervalStartTime_t a FlowIntervalEndTime_t zaznamenají se v minutových intervalech jako objekty blob v účtu úložiště.
• Výchozí interval zpracování analýzy provozu je 60 minut, což znamená, že každou hodinu analýza provozu vybírá objekty blob z účtu úložiště pro agregaci. Pokud je ale vybraný interval zpracování 10 minut, analýza provozu místo toho vybere objekty blob z účtu úložiště každých 10 minut.
• Toky, které mají stejné Source IP, , NSG nameNSG ruleFlow DirectionDestination IPDestination porta Transport layer protocol (TCP or UDP) jsou klubované do jednoho toku analýzou provozu (Poznámka: zdrojový port je vyloučen pro agregaci).
• Tento jediný záznam je zdobený (podrobnosti v následující části) a ingestovaný v protokolech služby Azure Monitor analýzou provozu. Tento proces může trvat až 1 hodinu.
• FlowStartTime_t označuje první výskyt takového agregovaného toku (stejné čtyřřazené kolekce členů) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime_t a FlowIntervalEndTime_t.
• U všech prostředků v analýze provozu jsou toky uvedené na webu Azure Portal celkovými toky, které vidíte ve skupině zabezpečení sítě, ale v protokolech služby Azure Monitor uživatel uvidí jenom jediný, omezený záznam. Pokud chcete zobrazit všechny toky, použijte blob_id pole, na které se dá odkazovat z úložiště. Celkový počet toků pro tento záznam odpovídá jednotlivým tokům zobrazeným v objektu blob.

Protokoly toku virtuální sítě

• Všechny protokoly toku mezi FlowIntervalStartTime a FlowIntervalEndTime zachytávají se v minutových intervalech jako objekty blob v účtu úložiště.
• Výchozí interval zpracování analýzy provozu je 60 minut, což znamená, že každou hodinu analýza provozu vybírá objekty blob z účtu úložiště pro agregaci. Pokud je ale vybraný interval zpracování 10 minut, analýza provozu místo toho vybere objekty blob z účtu úložiště každých 10 minut.
• Toky, které mají stejné Source IP, , NSG nameNSG ruleFlow DirectionDestination IPDestination porta Transport layer protocol (TCP or UDP) jsou klubované do jednoho toku analýzou provozu (Poznámka: zdrojový port je vyloučen pro agregaci).
• Tento jediný záznam je zdobený (podrobnosti v následující části) a ingestovaný v protokolech služby Azure Monitor analýzou provozu. Tento proces může trvat až 1 hodinu.
• FlowStartTime označuje první výskyt takového agregovaného toku (stejné čtyřřazené kolekce členů) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime a FlowIntervalEndTime.
• U všech prostředků v analýze provozu se toky uvedené na webu Azure Portal zobrazují celkovým tokům, ale v protokolech služby Azure Monitor se uživateli zobrazí jenom jediný, omezený záznam. Pokud chcete zobrazit všechny toky, použijte blob_id pole, na které se dá odkazovat z úložiště. Celkový počet toků pro tento záznam odpovídá jednotlivým tokům zobrazeným v objektu blob.

Následující dotaz vám pomůže podívat se na všechny podsítě pracující s veřejnými IP adresami mimo Azure za posledních 30 dnů.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Pokud chcete zobrazit cestu k objektům blob pro toky v předchozím dotazu, použijte následující dotaz:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Předchozí dotaz vytvoří adresu URL pro přímý přístup k objektu blob. Adresa URL se zástupnými symboly je následující:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Schéma analýzy provozu

Analýza provozu je založená na protokolech služby Azure Monitor, takže můžete spouštět vlastní dotazy na data zdobená analýzou provozu a nastavit upozornění.

Protokoly toků skupin zabezpečení sítě

Následující tabulka uvádí pole ve schématu a to, co označují protokoly toku skupiny zabezpečení sítě.

Pole	Formát	Komentáře
TableName	AzureNetworkAnalytics_CL	Tabulka pro data analýzy provozu
SubType_s	FlowLog	Podtyp protokolů toku Používejte pouze FlowLog, jiné hodnoty SubType_s jsou určené pro interní použití.
FASchemaVersion_s	2	Verze schématu Neodráží verzi protokolu toku skupiny zabezpečení sítě.
TimeProcessed_t	Datum a čas ve standardu UTC	Čas, kdy analýza provozu zpracovávala nezpracované protokoly toku z účtu úložiště.
FlowIntervalStartTime_t	Datum a čas ve standardu UTC	Počáteční čas intervalu zpracování protokolu toku (čas, ze kterého se měří interval toku).
FlowIntervalEndTime_t	Datum a čas ve standardu UTC	Koncový čas intervalu zpracování protokolu toku.
FlowStartTime_t	Datum a čas ve standardu UTC	První výskyt toku (který se agreguje) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime_t a FlowIntervalEndTime_t. Tento tok se agreguje na základě logiky agregace.
FlowEndTime_t	Datum a čas ve standardu UTC	Poslední výskyt toku (který se agreguje) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime_t a FlowIntervalEndTime_t. Pokud jde o protokol toku v2, obsahuje toto pole čas, kdy poslední tok se stejnou řazenou kolekcí členů (označený jako B v nezpracovaném záznamu toku).
FlowType_s	– IntraVNet – InterVNet - S2S - P2S – AzurePublic - ExternalPublic - Škodlivý tok – Neznámý soukromý -Neznámý	Definice najdete v poznámkách .
SrcIP_s	Zdrojová IP adresa	Prázdné v tocích AzurePublic a ExternalPublic
DestIP_s	Cílová IP adresa	Prázdné v tocích AzurePublic a ExternalPublic
VMIP_s	IP adresa virtuálního počítače	Používá se pro toky AzurePublic a ExternalPublic.
DestPort_d	Cílový port	Port, na kterém je příchozí provoz.
L4Protocol_s	- T - U	Transportní protokol. T = TCP U = UDP.
L7Protocol_s	Název protokolu	Odvozeno z cílového portu.
FlowDirection_s	- I = příchozí - O = Odchozí	Směr toku: in nebo out of network security group per flow log.
FlowStatus_s	- A = Povoleno - D = Odepřeno	Stav toku bez ohledu na to, jestli je povolená nebo odepřená skupinou zabezpečení sítě na protokol toku
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Skupina zabezpečení sítě přidružená k toku
NSGRules_s	<Hodnota indexu 0>|<>NSG_RULENAME|<Směr> toku|<Stav> toku|<FlowCount ProcessedByRule>	Pravidlo skupiny zabezpečení sítě, které povolilo nebo zamítlo tento tok.
NSGRule_s	NSG_RULENAME	Pravidlo skupiny zabezpečení sítě, které povolilo nebo zamítlo tento tok.
NSGRuleType_s	– Definovaný uživatelem -Výchozí	Typ pravidla skupiny zabezpečení sítě, které tok používá.
MACAddress_s	Adresa MAC	Adresa MAC síťové karty, na které byl tok zachycen.
Subscription_g	Předplatné virtuální sítě Azure / síťového rozhraní / virtuálního počítače se vyplní v tomto poli.	Platí jenom pro typy toku FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow a UnknownPrivate (typy toků, kde je Azure jenom na jedné straně).
Subscription1_g	Subscription ID	ID předplatného virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého patří zdrojová IP adresa v toku.
Subscription2_g	Subscription ID	ID předplatného virtuální sítě/ síťového rozhraní / virtuálního počítače, do kterého cílová IP adresa v toku patří.
Region_s	Oblast Azure virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého patří IP adresa v toku.	Platí jenom pro typy toku FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow a UnknownPrivate (typy toků, kde je Azure jenom na jedné straně).
Region1_s	Oblast Azure	Oblast Azure virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého patří zdrojová IP adresa toku.
Region2_s	Oblast Azure	Oblast Azure virtuální sítě, do které cílová IP adresa v toku patří.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	Síťová karta přidružená k virtuálnímu počítači, který odesílá nebo přijímá provoz.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	Síťová karta přidružená ke zdrojové IP adrese v toku.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	Síťová karta přidružená k cílové IP adrese v toku.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	Virtuální počítač přidružený k síťovému rozhraní NIC_s.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	Virtuální počítač přidružený ke zdrojové IP adrese v toku
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	Virtuální počítač přidružený k cílové IP adrese v toku.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsíť přidružená k NIC_s.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsíť přidružená ke zdrojové IP adrese v toku
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsíť přidružená k cílové IP adrese v toku
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Application Gateway přidružená ke zdrojové IP adrese v toku
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Aplikační brána přidružená k cílové IP adrese v toku.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID okruhu ExpressRoute – při odesílání toku z webu přes ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID okruhu ExpressRoute – při přijetí toku z cloudu expressRoute.
ExpressRouteCircuitPeeringType_s	– AzurePrivatePeering – AzurePublicPeering – MicrosoftPeering	Typ partnerského vztahu ExpressRoute, který je součástí toku.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Nástroj pro vyrovnávání zatížení přidružený ke zdrojové IP adrese v toku
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Nástroj pro vyrovnávání zatížení přidružený k cílové IP adrese v toku
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brána místní sítě přidružená ke zdrojové IP adrese v toku
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brána místní sítě přidružená k cílové IP adrese v toku
ConnectionType_s	– VNetPeering – VpnGateway – ExpressRoute	Typ připojení.
ConnectionName_s	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Název připojení. Pro typ toku P2S se formátuje jako <IP> adresa klienta brány name>_<VPN.
ConnectingVNets_s	Seznam názvů virtuálních sítí oddělených mezerami	V případě hvězdicové topologie jsou tady vyplněné virtuální sítě centra.
Country_s	Dvoumísmenný kód země (ISO 3166-1 alfa-2)	Vyplněno pro typ toku ExternalPublic. Všechny IP adresy v poli PublicIPs_s sdílejí stejný kód země.
AzureRegion_s	Umístění oblastí Azure	Naplněno pro typ toku AzurePublic. Všechny IP adresy v poli PublicIPs_s sdílejí oblast Azure.
AllowedInFlows_d		Počet povolených příchozích toků, což představuje počet toků, které sdílely stejnou příchozí řazenou řazenou kolekci členů do síťového rozhraní, ve kterém byl tok zachycen.
DeniedInFlows_d		Počet příchozích toků, které byly odepřeny. (Příchozí do síťového rozhraní, ve kterém byl tok zachycen).
AllowedOutFlows_d		Počet odchozích toků, které byly povoleny (odchozí na síťové rozhraní, ve kterém byl tok zachycen).
DeniedOutFlows_d		Počet odchozích toků, které byly odepřeny (odchozí na síťové rozhraní, ve kterém byl tok zachycen).
FlowCount_d	Zastaralé Celkový počet toků, které odpovídaly stejné čtyřřazené kolekci členů. V případě typů toků ExternalPublic a AzurePublic zahrnuje počet toků i z různých adres PublicIP.
InboundPackets_d	Představuje pakety odeslané z cíle do zdroje toku.	Naplněno pouze pro verzi 2 schématu protokolu toku skupiny zabezpečení sítě.
OutboundPackets_d	Představuje pakety odeslané ze zdroje do cíle toku.	Naplněno pouze pro verzi 2 schématu protokolu toku skupiny zabezpečení sítě.
InboundBytes_d	Představuje bajty odeslané z cíle do zdroje toku.	Naplněno pouze pro verzi 2 schématu protokolu toku skupiny zabezpečení sítě.
OutboundBytes_d	Představuje bajty odeslané ze zdroje do cíle toku.	Naplněno pouze pro verzi 2 schématu protokolu toku skupiny zabezpečení sítě.
CompletedFlows_d		Naplněno nenulovou hodnotou pouze pro verzi 2 schématu protokolu toku skupiny zabezpečení sítě.
PublicIPs_s	<>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Položky oddělené pruhy.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Položky oddělené pruhy.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Položky oddělené pruhy.
IsFlowCapturedAtUDRHop_b	-Pravdivý -Falešný	Pokud byl tok zachycen při směrování UDR, hodnota je True.

Důležité

Schéma analýzy provozu bylo aktualizováno 22. srpna 2019. Nové schéma poskytuje zdrojové a cílové IP adresy samostatně, takže je potřeba pole analyzovat FlowDirection , aby byly dotazy jednodušší. Aktualizované schéma mělo následující změny:

• FASchemaVersion_s aktualizováno od 1 do 2.
• Zastaralá pole: VMIP_s, Subscription_g, Region_s, Subnet_sNSGRules_s, VM_s, , NIC_s, , PublicIPs_sFlowCount_d
• Nová pole: SrcPublicIPs_s, DestPublicIPs_sNSGRule_s

Protokoly toku virtuální sítě

Následující tabulka uvádí pole ve schématu a to, co označují protokoly toku virtuální sítě.

Pole	Formát	Komentáře
TableName	NTANetAnalytics	Tabulka pro data analýzy provozu
Podtyp	FlowLog	Podtyp protokolů toku Používejte pouze FlowLog, jiné hodnoty podtypu jsou určené pro interní použití.
FASchemaVersion	3	Verze schématu Neodráží verzi protokolu toku virtuální sítě.
TimeProcessed	Datum a čas ve standardu UTC	Čas, kdy analýza provozu zpracovávala nezpracované protokoly toku z účtu úložiště.
FlowIntervalStartTime	Datum a čas ve standardu UTC	Počáteční čas intervalu zpracování protokolu toku (čas, ze kterého se měří interval toku).
FlowIntervalEndTime	Datum a čas ve standardu UTC	Koncový čas intervalu zpracování protokolu toku.
FlowStartTime	Datum a čas ve standardu UTC	První výskyt toku (který se agreguje) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime a FlowIntervalEndTime. Tento tok se agreguje na základě logiky agregace.
FlowEndTime	Datum a čas ve standardu UTC	Poslední výskyt toku (který se agreguje) v intervalu zpracování protokolu toku mezi FlowIntervalStartTime a FlowIntervalEndTime.
Typ toku	– IntraVNet – InterVNet - S2S - P2S – AzurePublic - ExternalPublic - Škodlivý tok – Neznámý soukromý -Neznámý	Definice najdete v poznámkách .
SrcIp	Zdrojová IP adresa	Prázdné v tocích AzurePublic a ExternalPublic
DestIp	Cílová IP adresa	Prázdné v tocích AzurePublic a ExternalPublic
TargetResourceId	ResourceGroupName/ResourceName	ID prostředku, ve kterém je povolené protokolování toku a analýza provozu.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Typ prostředku, u kterého je povolené protokolování toku a analýza provozu (virtuální síť, podsíť, síťová karta nebo skupina zabezpečení sítě).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	ID prostředku protokolu toku.
DestPort	Cílový port	Port, na kterém je příchozí provoz.
L4Protocol	- T - U	Transportní protokol. T = TCP U = UDP
L7Protocol	Název protokolu	Odvozeno z cílového portu.
FlowDirection	- I = Příchozí - O = Odchozí	Směr toku: in nebo out of the target resource per flow log.
FlowStatus	- A = Povoleno - D = Odepřeno	Stav toku: Povolený nebo odepřený cílovým prostředkem na protokol toku
Seznam NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Skupina zabezpečení sítě přidružená k toku
NsgRule	NSG_RULENAME	Pravidlo skupiny zabezpečení sítě, které tok povolil nebo odepřel.
NsgRuleType	– Definovaný uživatelem -Výchozí	Typ pravidla skupiny zabezpečení sítě, které tok používá.
MacAddress	Adresa MAC	Adresa MAC síťové karty, na které byl tok zachycen.
SrcSubscription	Subscription ID	ID předplatného virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého patří zdrojová IP adresa v toku.
DestSubscription	Subscription ID	ID předplatného virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého cílová IP adresa v toku patří.
Oblast Src	Oblast Azure	Oblast Azure virtuální sítě / síťového rozhraní / virtuálního počítače, do kterého patří zdrojová IP adresa v toku.
Oblast dest	Oblast Azure	Oblast Virtuální sítě Azure, do které patří cílová IP adresa v toku.
SrcNic	<>resourcegroup_Name/<NetworkInterfaceName>	Síťová karta přidružená ke zdrojové IP adrese v toku.
DestNic	<>resourcegroup_Name/<NetworkInterfaceName>	Síťová karta přidružená k cílové IP adrese v toku.
SrcVm	<>resourcegroup_Name/<VirtualMachineName>	Virtuální počítač přidružený ke zdrojové IP adrese v toku
DestVm	<>resourcegroup_Name/<VirtualMachineName>	Virtuální počítač přidružený k cílové IP adrese v toku
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsíť přidružená ke zdrojové IP adrese v toku
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Podsíť přidružená k cílové IP adrese v toku
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Application Gateway přidružená ke zdrojové IP adrese v toku
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Aplikační brána přidružená k cílové IP adrese v toku
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID okruhu ExpressRoute – při odesílání toku z webu přes ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID okruhu ExpressRoute – při přijetí toku z cloudu expressRoute.
ExpressRouteCircuitPeeringType	– AzurePrivatePeering – AzurePublicPeering – MicrosoftPeering	Typ partnerského vztahu ExpressRoute, který je součástí toku.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Nástroj pro vyrovnávání zatížení přidružený ke zdrojové IP adrese v toku
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Nástroj pro vyrovnávání zatížení přidružený k cílové IP adrese v toku
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brána místní sítě přidružená ke zdrojové IP adrese v toku
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Brána místní sítě přidružená k cílové IP adrese v toku
ConnectionType	– VNetPeering – VpnGateway – ExpressRoute	Typ připojení.
ConnectionName	<SubscriptionID>/<ResourceGroupName>/<ConnectionName>	Název připojení. U typu toku P2S je formátovaný jako <GatewayName>_<VPNClientIP.>
Připojení virtuálních sítí	Seznam názvů virtuálních sítí oddělených mezerami	V hvězdicové topologii jsou tady vyplněné virtuální sítě centra.
Země	Dvoumísmenné kód země (ISO 3166-1 alfa-2)	Vyplněno pro typ toku ExternalPublic. Všechny IP adresy v poli PublicIPs sdílejí stejný kód země.
Oblast Azure	Umístění oblastí Azure	Naplněno pro typ toku AzurePublic. Všechny IP adresy v poli PublicIPs sdílejí oblast Azure.
AllowedInFlows	-	Počet povolených příchozích toků, což představuje počet toků, které sdílely stejnou příchozí řazenou řazenou kolekci členů do síťového rozhraní, ve kterém byl tok zachycen.
DeniedInFlows	-	Počet příchozích toků, které byly odepřeny. (Příchozí do síťového rozhraní, ve kterém byl tok zachycen).
AllowedOutFlows	-	Počet odchozích toků, které byly povoleny (odchozí na síťové rozhraní, ve kterém byl tok zachycen).
DeniedOutFlows	-	Počet odchozích toků, které byly odepřeny (odchozí na síťové rozhraní, ve kterém byl tok zachycen).
PacketsDestToSrc	-	Představuje pakety odeslané z cíle do zdroje toku.
PacketsSrcToDest	-	Představuje pakety odeslané ze zdroje do cíle toku .
BytesDestToSrc	-	Představuje bajty odeslané z cíle do zdroje toku.
BytesSrcToDest	-	Představuje bajty odeslané ze zdroje do cíle toku.
Dokončené toky	-	Celkový počet dokončených toků (naplněný nenulovou hodnotou, když tok získá dokončenou událost).
SrcPublicIPs	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Položky oddělené pruhy.
DestPublicIPs	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Položky oddělené pruhy.
FlowEncryption	-Zakódovaný -Nezašifrované – Nepodporovaný hardware - Software není připravený - Pokles kvůli žádnému šifrování – Zjišťování není podporováno. – Cíl na stejném hostiteli - Vraťte se zpátky k žádnému šifrování.	Úroveň šifrování toků
PrivateEndpointResourceId	<ResourceGroup/privateEndpointResource>	ID prostředku privátního koncového bodu Naplněno při toku provozu do nebo z prostředku privátního koncového bodu.
PrivateLinkResourceId	<ResourceGroup/ResourceType/privateLinkResource>	ID prostředku služby private link Naplněno při toku provozu do nebo z prostředku privátního koncového bodu.
PrivateLinkResourceName	Prostý text	Název prostředku služby private link Naplněno při toku provozu do nebo z prostředku privátního koncového bodu.
IsFlowCapturedAtUDRHop	-Pravdivý -Falešný	Pokud byl tok zachycen při směrování UDR, hodnota je True.

Poznámka:

NTANetAnalytics v protokolech toku virtuální sítě nahrazuje AzureNetworkAnalytics_CL používané v protokolech toku skupiny zabezpečení sítě.

Schéma podrobností veřejné IP adresy

Analýza provozu poskytuje data WHOIS a zeměpisné umístění pro všechny veřejné IP adresy ve vašem prostředí. Analýza provozu poskytuje pro škodlivou IP adresu doménu DNS, typ hrozby a popisy vláken, jak jsou identifikována řešeními Microsoft Security Intelligence. Podrobnosti PROTOKOLU IP se publikují do pracovního prostoru služby Log Analytics, takže můžete vytvářet vlastní dotazy a zadávat na ně upozornění. K předem vyplněných dotazům můžete přistupovat také z řídicího panelu analýzy provozu.

Následující tabulka obsahuje podrobnosti o schématu veřejné IP adresy:

Protokoly toků skupin zabezpečení sítě

Pole	Formát	Komentáře
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabulka, která obsahuje data podrobností o IP analytice provozu
SubType_s	FlowLog	Podtyp protokolů toku Používejte pouze FlowLog, další hodnoty SubType_s jsou určené pro interní fungování produktu.
FASchemaVersion_s	2	Verze schématu Neodráží verzi protokolu toku skupiny zabezpečení sítě.
FlowIntervalStartTime_t	Datum a čas v UTC	Počáteční čas intervalu zpracování protokolu toku (čas, ze kterého se měří interval toku).
FlowIntervalEndTime_t	Datum a čas v UTC	Koncový čas intervalu zpracování protokolu toku.
FlowType_s	– AzurePublic - ExternalPublic - Škodlivý tok	Definice najdete v poznámkách .
IP	Veřejná IP adresa	Veřejná IP adresa, jejíž informace jsou uvedeny v záznamu.
Místo	Umístění IP adresy	– Pro veřejnou IP adresu Azure: Oblast Azure virtuální sítě, síťového rozhraní nebo virtuálního počítače, do kterého IP adresa patří NEBO globální pro IP adresu 168.63.129.16. - Pro externí veřejnou IP adresu a škodlivou IP adresu: 2písmenný kód země, kde se IP adresa nachází (ISO 3166-1 alfa-2).
PublicIPDetails	Informace o IP adrese	– Pro IP adresu AzurePublic: Služba Azure, která vlastní IP adresu nebo virtuální veřejnou IP adresu Microsoftu pro verzi 168.63.129.16. - ExternalPublic/Škodlivá IP adresa: WhoIS informace o IP adrese.
ThreatType	Hrozba představovaná škodlivou IP adresou	Pouze pro škodlivé IP adresy: Jedna z hrozeb ze seznamu aktuálně povolených hodnot (popsaných v další tabulce).
ThreatDescription	Popis hrozby	Pouze pro škodlivé IP adresy. Popis hrozby, kterou představuje škodlivá IP adresa.
Doména DNS	Doména DNS	Pouze pro škodlivé IP adresy. Název domény přidružený ke škodlivé IP adrese.
Adresa URL	Adresa URL odpovídající škodlivé IP adrese	Pouze pro škodlivé IP adresy.
Port	Port odpovídající škodlivé IP adrese	Pouze pro škodlivé IP adresy.

Protokoly toku virtuální sítě

Pole	Formát	Komentáře
TableName	NTAIpDetails	Tabulka, která obsahuje data podrobností o IP analytice provozu
Podtyp	FlowLog	Podtyp protokolů toku Použijte pouze FlowLog. Další hodnoty podtypu jsou určené pro interní fungování produktu.
FASchemaVersion	2	Verze schématu Neodráží verzi protokolu toku virtuální sítě.
FlowIntervalStartTime	Datum a čas ve standardu UTC	Počáteční čas intervalu zpracování protokolu toku (doba měření intervalu toku).
FlowIntervalEndTime	Datum a čas ve standardu UTC	Koncový čas intervalu zpracování protokolu toku.
Typ toku	– AzurePublic - ExternalPublic - Škodlivý tok	Definice najdete v poznámkách .
IP	Veřejná IP adresa	Veřejná IP adresa, jejíž informace jsou uvedeny v záznamu.
PublicIPDetails	Informace o IP adrese	Ip adresa AzurePublic: Služba Azure, která vlastní IP adresu nebo virtuální veřejnou IP adresu Microsoftu pro IP adresu 168.63.129.16. ExternalPublic/Škodlivá IP adresa: Informace o ip adrese WhoIS
ThreatType	Hrozba představovaná škodlivou IP adresou	Pouze pro škodlivé IP adresy. Jedna z hrozeb ze seznamu aktuálně povolených hodnot. Další informace najdete v tématu Poznámky.
Doména DNS	Doména DNS	Pouze pro škodlivé IP adresy. Název domény přidružený k této IP adrese.
ThreatDescription	Popis hrozby	Pouze pro škodlivé IP adresy. Popis hrozby, kterou představuje škodlivá IP adresa.
Místo	Umístění IP adresy	Veřejná IP adresa Azure: Oblast virtuální sítě / síťového rozhraní Azure / virtuálního počítače, do kterého IP adresa patří, nebo globální pro IP adresu 168.63.129.16. Pro externí veřejnou IP adresu a škodlivou IP adresu: dvoupísmenný kód země (ISO 3166-1 alfa-2), kde se IP adresa nachází.
Adresa URL	Adresa URL odpovídající škodlivé IP adrese	Pouze pro škodlivé IP adresy.
Port	Port odpovídající škodlivé IP adrese	Pouze pro škodlivé IP adresy.

Poznámka:

• Protokoly toku virtuální sítě NTAIPDetails nahrazují AzureNetworkAnalyticsIPDetails_CL používané v protokolech toků skupin zabezpečení sítě.

• Analýza provozu může protokolovat jakýkoli škodlivý plně kvalifikovaný název domény přidružený k IP adrese pro škodlivé toky. Pokud chcete filtrovat, použijte podle potřeby port, adresu URL a pole domény.

Seznam typů hrozeb:

Hodnota	Popis
Botnet	Indikátor s podrobnostmi o uzlu nebo členovi botnetu
C2	Indikátor s podrobnostmi o uzlu příkazového a řídicího uzlu botnetu
CryptoMining	Provoz zahrnující tuto síťovou adresu / adresu URL značí CyrptoMining / Zneužití prostředků.
DarkNet	Ukazatel uzlu nebo sítě Darknet.
DDoS	Indikátory týkající se aktivní nebo nadcházející kampaně DDoS
Zlými úmysly	Adresa URL, která obsluhuje malware.
Malware	Indikátor popisující škodlivý soubor nebo soubory
Phishing	Indikátory týkající se útoku phishing.
Proxy	Ukazatel služby proxy.
PUA	Potenciálně nežádoucí aplikace
Seznam ke zhlédnutí	Obecný kbelík, do kterého jsou indikátory umístěny, když není možné přesně určit, co je hrozba nebo vyžaduje ruční interpretaci. WatchList partneři, kteří do systému obvykle data odesílají, by je neměli používat.

Notes

• V případě AzurePublic toků a ExternalPublic toků se IP adresa virtuálního počítače Azure vlastněná zákazníkem vyplní do VMIP_s pole, zatímco v poli se vyplní PublicIPs_s veřejné IP adresy. U těchto dvou typů toků byste měli místo polí a DestIP_s polí SrcIP_s použít VMIP_s PublicIPs_s. U IP adres AzurePublic a ExternalPublic dále agregujeme, aby počet záznamů přijatých do pracovního prostoru služby Log Analytics byl minimální. (Toto pole bude zastaralé. V závislosti na tom, jestli byl virtuální počítač zdrojem nebo cílem toku, použijte SrcIP_s a DestIP_s).
• Některé názvy polí jsou připojeny nebo _s _d, které neoznačují zdroj a cíl, ale označují řetězec datových typů a desetinné číslo.
• Na základě IP adres zahrnutých do toku kategorizujeme toky do následujících typů toků:
  • IntraVNet: Obě IP adresy v toku se nacházejí ve stejné virtuální síti Azure.
  • InterVNet: IP adresy v toku se nacházejí ve dvou různých virtuálních sítích Azure.
  • S2S (Site-To-Site): Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa patří k síti zákazníka (lokalitě) připojené k virtuální síti přes bránu VPN nebo ExpressRoute.
  • P2S (Point-To-Site): Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa patří do sítě zákazníka (lokality) připojené k virtuální síti Azure prostřednictvím brány VPN.
  • AzurePublic: Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa je veřejná IP adresa Azure vlastněná Microsoftem. Veřejné IP adresy vlastněné zákazníkem nejsou součástí tohoto typu toku. Například každý virtuální počítač vlastněný zákazníkem, který odesílá provoz do služby Azure (koncový bod úložiště), by byl zařazen do kategorie pod tímto typem toku.
  • ExternalPublic: Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa je veřejná IP adresa, která není v Azure a není hlášená jako škodlivá v informačních kanálech ASC, které analýzy provozu spotřebovávají pro interval zpracování mezi "FlowIntervalStartTime_t" a "FlowIntervalEndTime_t".
  • MaliciousFlow: Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa je veřejná IP adresa, která není v Azure, a je hlášená jako škodlivá v informačních kanálech ASC, které analýzy provozu spotřebovávají pro interval zpracování mezi "FlowIntervalStartTime_t" a "FlowIntervalEndTime_t".
  • UnknownPrivate: Jedna z IP adres patří do virtuální sítě Azure, zatímco druhá IP adresa patří k privátnímu rozsahu IP adres definovaným v DOKUMENTU RFC 1918 a nešlo je namapovat analýzou provozu na lokalitu vlastněnou zákazníkem nebo virtuální síť Azure.
  • Unknown: Nejde namapovat některou z IP adres v toku s topologií zákazníka v Azure a místním prostředí (lokalitou).

Související obsah

• Další informace o analýze provozu najdete v přehledu analýzy provozu.
• Odpovědi na nejčastější dotazy k analýze provozu najdete v nejčastějších dotazech k analýze provozu.