Schema- und Datenaggregation in Traffic Analytics
Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. Traffic Analytics analysiert Datenflussprotokolle von Network Watcher, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:
- Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von Hotspots
- Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und VMs (virtuellen Computern), die Verbindungen mit betrügerischen Netzwerken herstellen
- Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und Kapazität
- Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führen
- Kennen der Netzwerkauslastung in Byte, Paketen oder Flows
Daten-Aggregation
- Alle Datenflussprotokolle in einer Netzwerksicherheitsgruppe zwischen
FlowIntervalStartTime_t
undFlowIntervalEndTime_t
werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst. - Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
- Flows, die identische Werte für
Source IP
,Destination IP
,Destination port
,NSG name
,NSG rule
,Flow Direction
undTransport layer protocol (TCP or UDP)
aufweisen, werden bei der Datenverkehrsanalyse in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.) - Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von der Datenverkehrsanalyse in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
- Das Feld
FlowStartTime_t
gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischenFlowIntervalStartTime_t
undFlowIntervalEndTime_t
an. - Bei allen Ressourcen in der Datenverkehrsanalyse handelt es sich bei den im Azure-Portal angezeigten Flows um alle Flows, die von Mitgliedern der Netzwerksicherheitsgruppe gesehen werden. In Azure Monitor-Protokollen sehen Benutzer*innen jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld
blob_id
, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.
Mit der folgenden Abfrage können Sie alle Subnetze untersuchen, die in den letzten 30 Tagen mit öffentlichen IP-Adressen außerhalb von Azure interagiert haben.
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s
Sie können die folgende Abfrage verwenden, um den Blobpfad für die Flows der oben genannten Abfrage aufzurufen:
let TableWithBlobId =
(AzureNetworkAnalytics_CL
| where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
| extend binTime = bin(TimeProcessed_t, 6h),
nsgId = strcat(Subscription_g, "/", Name_s),
saNameSplit = split(FlowLogStorageAccount_s, "/")
| extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
| distinct nsgId, saName, binTime)
| join kind = rightouter (
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog"
| extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
"@insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/", nsgComponents[0],
"/RESOURCEGROUPS/", nsgComponents[1],
"/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
"/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
"/m=00/macAddress=", replace(@"-", "", MACAddress_s),
"/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;
TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath
Die obige Abfrage generiert eine URL, mit der Sie direkt auf das Blob zugreifen können. Dies ist die URL mit Platzhaltern:
https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Schema für die Datenverkehrsanalyse
Die Datenverkehrsanalyse basiert auf Azure Monitor-Protokollen, sodass Sie benutzerdefinierte Abfragen für Daten ausführen können, die von der Datenverkehrsanalyse ergänzt wurden, und Warnungen festlegen können.
In der folgenden Tabelle sind die Felder im Schema und ihre Bedeutung für Datenflussprotokolle für Netzwerksicherheitsgruppen (NSGs) aufgeführt.
Feld | Format | Kommentare |
---|---|---|
TableName | AzureNetworkAnalytics_CL | Tabelle für Traffic Analytics-Daten. |
SubType_s | FlowLog | Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType_s sind für die interne Nutzung bestimmt. |
FASchemaVersion_s | 2 | Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt. |
TimeProcessed_t | Datum und Uhrzeit (UTC). | Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat. |
FlowIntervalStartTime_t | Datum und Uhrzeit (UTC). | Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird). |
FlowIntervalEndTime_t | Datum und Uhrzeit (UTC). | Endzeit des Verarbeitungsintervalls des Datenflussprotokolls. |
FlowStartTime_t | Datum und Uhrzeit (UTC). | Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t . Dieser Flow wird basierend auf Aggregationslogik aggregiert. |
FlowEndTime_t | Datum und Uhrzeit (UTC). | Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t . Beim Datenflussprotokoll v2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als B markiert). |
FlowType_s | - IntraVNet - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Unknown Private - Unbekannt |
Die Definitionen finden Sie unter Hinweise. |
SrcIP_s | Quell-IP-Adresse | In AzurePublic- und ExternalPublic-Flows leer. |
DestIP_s | IP-Zieladresse | In AzurePublic- und ExternalPublic-Flows leer. |
VMIP_s | IP der VM | Wird für AzurePublic- und ExternalPublic-Flows verwendet. |
DestPort_d | Zielport | Port, an dem Datenverkehr eingeht. |
L4Protocol_s | - T - U |
Transportprotokoll. T = TCP U = UDP. |
L7Protocol_s | Name des Protokolls | Wird aus dem Zielport abgeleitet. |
FlowDirection_s | - I = Inbound (eingehend) - O = Outbound (ausgehend) |
Richtung des Flows: ein- oder ausgehend in der Netzwerksicherheitsgruppe pro Datenflussprotokoll. |
FlowStatus_s | - A = Allowed (zulässig) - D = Denied (verweigert) |
Status des Flows: von der Netzwerksicherheitsgruppe pro Datenflussprotokoll zugelassen oder verweigert. |
NSGList_s | <ABONNEMENT-ID>/< | Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist. |
NSGRules_s | <Indexwert 0>|<NAME_DER_NSG_REGEL>|<Flowrichtung>|<Flowstatus>|<FlowCount ProcessedByRule> | Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat. |
NSGRule_s | NSG_RULENAME | Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat. |
NSGRuleType_s | - Benutzerdefiniert - Standard |
Der Typ der vom Flow verwendeten Netzwerksicherheitsgruppenregel. |
MACAddress_s | MAC-Adresse | Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde. |
Subscription_g | Das Abonnement des virtuellen Azure-Netzwerks, der Azure-Netzwerkschnittstelle oder der Azure-VM wird in diesem Feld aufgefüllt. | Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt). |
Subscription1_g | Abonnement-ID | Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört. |
Subscription2_g | Abonnement-ID | Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört. |
Region_s | Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse im Flow gehört. | Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt). |
Region1_s | Azure-Region | Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört. |
Region2_s | Azure-Region | Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört. |
NIC_s | <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> | Der Netzwerkadapter, der der VM zugeordnet ist, die Datenverkehr sendet oder empfängt. |
NIC1_s | <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> | Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist. |
NIC2_s | <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> | Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist. |
VM_s | <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> | Die VM, die der Netzwerkschnittstelle „NIC_s“ zugeordnet ist. |
VM1_s | <Name_der_Ressourcengruppe>/<Name_der_VM> | Die VM, die der Quell-IP-Adresse im Flow zugeordnet ist. |
VM2_s | <Name_der_Ressourcengruppe>/<Name_der_VM> | Die VM, die der Ziel-IP-Adresse im Flow zugeordnet ist. |
Subnet_s | <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> | Das Subnetz, das „NIC_s“ zugeordnet ist. |
Subnet1_s | <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> | Das Subnetz, das der Quell-IP-Adresse im Flow zugeordnet ist. |
Subnet2_s | <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> | Das Subnetz, das der Ziel-IP-Adresse im Flow zugeordnet ist. |
ApplicationGateway1_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways> | Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist. |
ApplicationGateway2_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways> | Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist. |
ExpressRouteCircuit1_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird. |
ExpressRouteCircuit2_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird. |
ExpressRouteCircuitPeeringType_s | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
Am Flow beteiligter ExpressRoute-Peeringtyp. |
LoadBalancer1_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls> | Das Lastenausgleichsmodul, das der Quell-IP-Adresse im Flow zugeordnet ist. |
LoadBalancer2_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls> | Das Lastenausgleichsmodul, das der Ziel-IP-Adresse im Flow zugeordnet ist. |
LocalNetworkGateway1_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways> | Das lokale Netzwerkgateway, das der Quell-IP-Adresse im Flow zugeordnet ist. |
LocalNetworkGateway2_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways> | Das lokale Netzwerkgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist. |
ConnectionType_s | - VNetPeering - VpnGateway - ExpressRoute |
Der Verbindungstyp |
ConnectionName_s | <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_der_Verbindung> | Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>. |
ConnectingVNets_s | Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke | Im Fall einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt. |
Country_s | Zweibuchstabiger Ländercode (ISO 3166-1 Alpha-2) | Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen den gleichen Ländercode auf. |
AzureRegion_s | Standorte in der Azure-Region | Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Azure-Region auf. |
AllowedInFlows_d | Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde. | |
DeniedInFlows_d | Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.) | |
AllowedOutFlows_d | Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.) | |
DeniedOutFlows_d | Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.) | |
FlowCount_d | Veraltet. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows von verschiedenen PublicIP-Adressen. | |
InboundPackets_d | Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden. | Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt. |
OutboundPackets_d | Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden. | Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt. |
InboundBytes_d | Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden. | Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt. |
OutboundBytes_d | Stellt Bytes dar, die von der Quelle an die Ziel des Datenflusses gesendet werden. | Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt. |
CompletedFlows_d | Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas mit einem Wert ungleich 0 aufgefüllt. | |
PublicIPs_s | <PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | Einträge sind durch Balken getrennt. |
SrcPublicIPs_s | <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | Einträge sind durch Balken getrennt. |
DestPublicIPs_s | <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | Einträge sind durch Balken getrennt. |
IsFlowCapturedAtUDRHop_b | - True - False |
Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert TRUE. |
Wichtig
Das Traffic Analytics-Schema wurde am 22. August 2019 aktualisiert. Das neue Schema bietet getrennte Quell- und Ziel-IP-Adressen, für deren Entfernung das Feld FlowDirection
nicht mehr analysiert werden muss. Dadurch werden Abfragen vereinfacht. Das aktualisierte Schema weist die folgenden Änderungen auf:
FASchemaVersion_s
wurde von „1“ in „2“ geändert.- Veraltete Felder:
VMIP_s
,Subscription_g
,Region_s
,NSGRules_s
,Subnet_s
,VM_s
,NIC_s
,PublicIPs_s
,FlowCount_d
- Neue Felder:
SrcPublicIPs_s
,DestPublicIPs_s
,NSGRule_s
Schema für Details zu öffentlichen IP-Adressen
Traffic Analytics stellt WHOIS-Daten und einen geografischen Standort für alle öffentlichen IP-Adressen in Ihrer Umgebung bereit. Für böswillige IP-Adressen stellt Traffic Analytics DNS-Domänen, Bedrohungstypen und Threadbeschreibungen gemäß den Microsoft Security Intelligence-Lösungen bereit. IP-Adressdetails werden in Ihrem Log Analytics-Arbeitsbereich veröffentlicht, sodass Sie benutzerdefinierte Abfragen erstellen und Warnungen dafür vorsehen können. Über das Traffic Analytics-Dashboard können Sie auch auf vorab aufgefüllte Abfragen zugreifen.
In der folgenden Tabelle wird das Schema für öffentliche IP-Adressen ausführlich beschrieben:
Feld | Format | Kommentare |
---|---|---|
TableName | AzureNetworkAnalyticsIPDetails_CL | Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails. |
SubType_s | FlowLog | Untertyp für die Flowprotokolle. Verwenden Sie nur „FlowLog“, denn andere Werte für „SubType_s“ sind für die interne Funktion des Produkts bestimmt. |
FASchemaVersion_s | 2 | Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt. |
FlowIntervalStartTime_t | Datum und Uhrzeit in UTC | Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird). |
FlowIntervalEndTime_t | Datum und Uhrzeit in UTC | Endzeit des Verarbeitungsintervalls des Datenflussprotokolls. |
FlowType_s | - AzurePublic - ExternalPublic - MaliciousFlow |
Die Definitionen finden Sie unter Hinweise. |
IP | Öffentliche IP-Adresse | Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden. |
Location | Standort der IP-Adresse | - Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, ODER „Global“ für IP-Adresse 168.63.129.16. - Für externe öffentliche IP-Adressen und schädliche IP-Adressen: Landeskennzahl aus zwei Buchstaben für das Land/die Region der IP-Adresse (ISO 3166-1 alpha-2). |
PublicIPDetails | Informationen zur IP-Adresse | - Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder „virtuelle öffentliche Microsoft-IP-Adresse“ für IP-Adresse 168.63.129.16. - Für externe öffentliche/schädliche IP-Adressen: WhoIS-Informationen zur IP-Adresse. |
ThreatType | Bedrohung durch schädliche IP-Adresse | Nur für schädliche IP-Adressen: eine der Bedrohungen aus der Liste der derzeit zulässigen Werte (in der nächsten Tabelle beschrieben). |
ThreatDescription | Beschreibung des Bedrohung | Nur für böswillige IP-Adressen: Beschreibung der Bedrohung durch die böswillige IP-Adresse. |
DNSDomain | DNS-Domäne | Nur für böswillige IP-Adressen: Domänenname, der dieser schädlichen IP-Adresse zugeordnet ist. |
Url | URL, die dieser schädlichen IP-Adresse entspricht | Nur für böswillige IP-Adressen: |
Port | Port, der dieser schädlichen IP-Adresse entspricht | Nur für böswillige IP-Adressen: |
Liste der Bedrohungstypen:
Wert | BESCHREIBUNG |
---|---|
Botnet | Der Indikator zeigt Details zu einem Botnetknoten/-mitglied an. |
C2 | Ein Indikator, der Details zum Befehls- und Steuerknoten eines Botnet anzeigt. |
CryptoMining | Datenverkehr, an dem diese Netzwerkadresse/URL beteiligt ist, weist auf CyrptoMining/Ressourcenmissbrauch hin. |
DarkNet | Der Indikator weist auf einen Darknetknoten/ein Darknet hin. |
DDoS | Diese Indikatoren beziehen sich auf eine aktive oder bevorstehende DDoS-Kampagne. |
MaliciousUrl | Diese URL stellt Schadsoftware bereit. |
Malware | Dieser Indikator beschreibt eine oder mehrere schädliche Dateien. |
Phishing | Diese Indikatoren beziehen sich auf eine Phishingkampagne. |
Proxy | Dieser Indikator weist auf einen Proxydienst hin. |
PUA | Dies steht für eine potenziell unerwünschte Anwendung. |
WatchList | Ein generischer Bucket, in den Indikatoren platziert werden, wenn nicht genau ermittelt werden kann, um welche Bedrohung es sich handelt, oder wenn eine von Benutzer*innen durchgeführte Interpretation erforderlich ist. WatchList sollte in der Regel nicht von Partner*innen verwendet werden, die Daten an das System übermitteln. |
Hinweise
- Bei
AzurePublic
- undExternalPublic
-Flows wird die IP-Adresse der im Kundenbesitz befindlichen Azure-VM im FeldVMIP_s
aufgefüllt, öffentliche IP-Adressen werden im FeldPublicIPs_s
aufgefüllt. Bei diesen beiden Flowtypen müssen die FelderVMIP_s
undPublicIPs_s
anstelle vonSrcIP_s
undDestIP_s
verwendet werden. Für AzurePublic- und ExternalPublic-IP-Adressen erfolgt eine weitere Aggregation, damit die Anzahl der Datensätze, die im Log Analytics-Arbeitsbereich erfasst werden, möglichst klein ist. (Dieses Feld wird eingestellt und als veraltet markiert. Verwenden Sie „SrcIP_s“ und „DestIP_s“, je nachdem, ob die VM die Quelle oder das Ziel im Datenfluss war). - An einige Feldnamen wird
_s
oder_d
angefügt. Dies gibt jedoch nicht die Quelle bzw. das Ziel an, sondern die Datentypen Zeichenfolge bzw. Dezimalzahl. - Basierend auf den am Flow beteiligten IP-Adressen werden die Flows in die folgenden Flowtypen unterteilt:
IntraVNet
: Beide IP-Adressen im Flow befinden sich im gleichen virtuellen Azure-Netzwerk.InterVNet
: Die IP-Adressen im Flow befinden sich in zwei verschiedenen virtuellen Azure-Netzwerken.S2S
(Site-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ExpressRoute oder ein VPN-Gateway mit dem virtuellen Netzwerk verbunden ist.P2S
(Point-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ein VPN-Gateway mit dem virtuellen Azure-Netzwerk verbunden ist.AzurePublic
: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche Azure-IP-Adresse im Besitz von Microsoft ist. Öffentliche IP-Adressen im Kundenbesitz gehören nicht zu diesem Flowtyp. Beispielsweise würde eine VM im Kundenbesitz, die Datenverkehr an einen Azure-Dienst (Storage-Endpunkt) sendet, in diesen Flowtyp kategorisiert.ExternalPublic
: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Diese wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, nicht als schädlich gemeldet.MaliciousFlow
: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Letztere wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, als schädlich gemeldet.UnknownPrivate
: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem privaten IP-Adressbereich, wie in RFC 1918 definiert. Diese kann von Traffic Analytics keinem Standort im Kundenbesitz und keinem virtuellen Azure-Netzwerk zugeordnet werden.Unknown
: Keine der IP-Adressen in den Flows kann der Kundentopologie in Azure oder einem lokalen Standort zugeordnet werden.
Zugehöriger Inhalt
- Weitere Informationen zur Datenverkehrsanalyse finden Sie unter Übersicht über die Datenverkehrsanalyse.
- Antworten auf häufig gestellte Fragen zur Datenverkehrsanalyse finden Sie unter Häufig gestellte Fragen zur Datenverkehrsanalyse.