트래픽 분석 사용 시나리오

이 문서에서는 다양한 시나리오에서 트래픽 분석을 구성한 후 트래픽에 대한 인사이트를 얻는 방법을 알아봅니다.

트래픽 핫스폿 찾기

검색

• 최대 악성 트래픽을 트래버스하고 상당한 흐름을 차단하는 대부분의 트래픽을 전송하거나 수신하는 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합은 무엇인가요?
  • 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합의 비교 차트를 확인하세요. 어떤 호스트, 서브넷, 가상 네트워크 및 가상 머신 확장 집합이 트래픽을 가장 많이 전송 또는 수신하는지 파악하면 가장 많은 트래픽을 처리하는 호스트를 식별하고, 트래픽이 적절하게 배포되는지 여부를 확인하는 데 도움이 될 수 있습니다.
  • 트래픽 볼륨이 호스트에 적절한지 평가할 수 있습니다. 트래픽 볼륨이 정상 동작인지 아니면 추가 조사가 필요한지 여부
• 인바운드/아웃바운드 트래픽의 양
  • 호스트가 아웃바운드 트래픽보다 인바운드 트래픽을 더 많이 받을 것으로 또는 그 반대일 것으로 예상되는지 여부
• 차단된 트래픽 통계
  • 호스트가 상당한 양의 무해 트래픽을 차단하는 이유 이 동작을 수행하려면 더 많은 조사와 구성의 최적화가 필요합니다.
• 허용된/차단된 악성 트래픽 통계

  • 호스트가 악성 트래픽을 수신하는 이유 및 악성 원본의 흐름이 허용되는 이유는 무엇인가요? 이 동작을 수행하려면 더 많은 조사와 구성의 최적화가 필요합니다.

    다음 이미지와 같이 IP 아래의 모두 보기를 선택하여 상위 5개 대화형 호스트에 대한 시간 추세와 호스트에 대한 흐름 관련 세부 정보(허용됨 - 인바운드/아웃바운드 및 거부됨 - 인바운드/아웃바운드 흐름)를 확인합니다.

    

검색

• 가장 대화가 많은 호스트 쌍

  • 프런트 엔드 또는 백 엔드 통신과 같은 예상된 동작 또는 백 엔드 인터넷 트래픽과 같은 비정상 동작.

• 허용된/차단된 트래픽 통계

  • 호스트가 상당한 양의 트래픽을 허용 또는 차단하는 이유

• 가장 대화가 많은 호스트 쌍 중에서 가장 많이 사용되는 애플리케이션 프로토콜:

  • 이러한 애플리케이션이 이 네트워크에서 허용되는지 여부

  • 애플리케이션이 올바르게 구성되었는지 여부 통신에 적절한 프로토콜을 사용하는지 여부 다음 그림처럼 자주 하는 대화 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 상위 5개 대화 및 흐름 관련 세부 정보(예: 대화 쌍에 대해 허용된/거부된 인바운드 및 아웃바운드 흐름)에 대한 시간 추세를 보여 줍니다.

  

검색

• 환경에서 가장 많이 사용되는 애플리케이션 프로토콜 및 애플리케이션 프로토콜을 가장 많이 사용하는 호스트 쌍

  • 이러한 애플리케이션이 이 네트워크에서 허용되는지 여부

  • 애플리케이션이 올바르게 구성되었는지 여부 통신에 적절한 프로토콜을 사용하는지 여부 예상되는 동작은 80 및 443 같은 공통 포트입니다. 표준 통신의 겨우 비정상적인 포트가 표시되는 경우 구성 변경이 필요할 수 있습니다. 다음 그림처럼 애플리케이션 포트 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 상위 5개 L7 프로토콜 및 L7 프로토콜의 흐름 관련 세부 정보(예: 허용된 흐름 및 거부된 흐름)에 대한 시간 추세를 보여 줍니다.

  

  

검색

• 환경 내 VPN 게이트웨이의 용량 사용률 추세.

  • 각 VPN SKU는 일정량의 대역폭을 허용합니다. VPN 게이트웨이 사용률이 낮습니까?
  • 게이트웨이가 용량 제한에 근접했습니까? 그 다음 상위 SKU로 업그레이드해야 합니까?

• 가장 대화가 많은 호스트는 어떤 것입니까? 어떤 VPN 게이트웨이, 어떤 포트를 통해 대화가 이루어집니까?

  • 이 패턴이 정상입니까? 다음 그림처럼 VPN 게이트웨이 아래에서 모두 보기를 선택합니다.

    

• 다음 그림은 Azure VPN Gateway의 용량 활용도에 대한 시간 추세 및 흐름 관련 세부 정보(예: 허용되는 흐름 및 포트)를 보여 줍니다.

  

지리별로 트래픽 분포 시각화

검색

• 데이터 센터 상위 트래픽 소스, 데이터 센터와의 상위 불량 네트워크 대화, 상위 대화 애플리케이션 프로토콜 같은 데이터 센터별 트래픽 분포.

  • 데이터 센터에서 더 많은 부하가 목격되는 경우 효율적인 트래픽 분포를 계획할 수 있습니다.

  • 불량 네트워크가 데이터 센터에서 대화하는 경우 네트워크 보안 그룹 규칙을 설정하여 차단할 수 있습니다.

    다음 그림처럼 환경 아래에서 맵 보기를 선택합니다.

    

• 지역 지도에는 데이터 센터(배포됨/배포되지 않음/활성/비활성/트래픽 분석 사용/트래픽 분석 사용 안 함)와 같은 매개 변수 및 활성 배포에 대한 무해/악성 트래픽에 기여하는 국가/지역을 선택할 수 있는 상단 리본이 표시됩니다.

  

• 지역 지도에는 데이터 센터와 통신하는 국가/지역 및 대륙의 트래픽 분포가 파란색(무해 트래픽)과 빨간색(악성 트래픽) 선으로 표시됩니다.

  

• Azure 지역의 추가 인사이트 블레이드에서는 해당 지역 내에 남아 있는 총 트래픽(즉, 동일한 지역의 원본 및 대상)도 보여 줍니다. 또한 데이터 센터의 가용성 영역 간에 교환되는 트래픽에 대한 인사이트를 제공합니다.

  

가상 네트워크별로 트래픽 분포 시각화

검색

• 가상 네트워크, 토폴로지, 가상 네트워크로 가는 상위 트래픽 소스, 가상 네트워크와 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

  • 어떤 가상 네트워크가 어떤 가상 네트워크와 대화하는지 파악. 대화가 예상되지 않는 경우 수정할 수 있습니다.

  • 불량 네트워크가 가상 네트워크와 대화하는 경우 네트워크 보안 그룹 규칙을 수정하여 악성 네트워크를 차단할 수 있습니다.

    다음 그림처럼 환경 아래에서 VNet 보기를 선택합니다.

    

• 가상 네트워크 토폴로지는 가상 네트워크(상호 가상 네트워크 연결/활성/비활성), 외부 연결, 활성 흐름, 가상 네트워크의 악의적 흐름 등과 같은 매개 변수를 선택할 수 있는 상단 리본을 표시합니다.

• 구독, 작업 영역, 리소스 그룹 및 시간 간격에 따라 가상 네트워크 토폴로지를 필터링할 수 있습니다. 흐름을 이해하는 데 도움이 되는 추가 필터는 흐름 유형(InterVNet, IntraVNET 등), 흐름 방향(인바운드, 아웃바운드), 흐름 상태(허용됨, 차단됨) VNET(대상으로 지정됨 및 연결됨), 연결 형식(피어링 또는 게이트웨이 - P2S 및 S2S) 및 NSG입니다. 이러한 필터를 사용하여 자세히 살펴볼 VNet에 초점을 맞춥니다.

• 마우스 스크롤 휠을 사용하여 Virtual Network 토폴로지를 보는 동안 확대 및 축소할 수 있습니다. 마우스 왼쪽 단추를 클릭하고 이동하면 토폴로지를 원하는 방향으로 끌 수 있습니다. 바로 가기 키를 사용하여 이러한 작업을 수행할 수도 있습니다. A(왼쪽으로 끌어다 놓기), D(오른쪽으로 끌기), W(위로 끌어다 놓기), S(아래로 끌어다 놓기), +(확대), -(축소), R(확대/축소 다시 설정).

• 가상 네트워크 토폴로지는 흐름(허용됨/차단됨/인바운드/아웃바운드/양성/악성), 애플리케이션 프로토콜, 네트워크 보안 그룹과 관련하여 가상 네트워크의 트래픽 분포를 보여 줍니다. 예를 들면, 다음과 같습니다.

  

  

검색

• 서브넷, 토폴로지, 서브넷으로 가는 상위 트래픽 소스, 서브넷과 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

  • 어떤 서브넷이 어떤 서브넷과 대화하는지 파악. 예기치 않은 대화가 발견되면 구성을 수정할 수 있습니다.
  • 불량 네트워크가 서브넷과 대화하는 경우 불량 네트워크를 차단하도록 NSG 규칙을 구성하여 수정할 수 있습니다.

• 서브넷 토폴로지는 활성/비활성 서브넷, 외부 연결, 활성 흐름, 서브넷의 악의적인 흐름 등과 같은 매개 변수를 선택할 수 있는 상단 리본을 보여줍니다.

• 마우스 스크롤 휠을 사용하여 Virtual Network 토폴로지를 보는 동안 확대 및 축소할 수 있습니다. 마우스 왼쪽 단추를 클릭하고 이동하면 토폴로지를 원하는 방향으로 끌 수 있습니다. 바로 가기 키를 사용하여 이러한 작업을 수행할 수도 있습니다. A(왼쪽으로 끌어다 놓기), D(오른쪽으로 끌기), W(위로 끌어다 놓기), S(아래로 끌어다 놓기), +(확대), -(축소), R(확대/축소 다시 설정).

• 서브넷 토폴로지는 흐름(허용됨/차단됨/인바운드/아웃바운드/양성/악성), 애플리케이션 프로토콜, NSG와 관련하여 가상 네트워크의 트래픽 분포를 보여 줍니다. 예를 들면, 다음과 같습니다.

  

검색

애플리케이션 게이트웨이 및 Load Balancer, 토폴로지, 상위 트래픽 소스, 애플리케이션 게이트웨이 및 Load Balancer와 대화하는 상위 불량 네트워크, 대화하는 상위 애플리케이션 프로토콜별 트래픽 분포.

• 애플리케이션 게이트웨이 또는 Load Balancer와 대화하는 서브넷을 알고 있음. 예기치 않은 대화가 발견되면 구성을 수정할 수 있습니다.

• 불량 네트워크가 애플리케이션 게이트웨이 또는 Load Balancer와 대화하는 경우 불량 네트워크를 차단하도록 NSG 규칙을 구성하여 수정할 수 있습니다.

  

인터넷에서 트래픽을 수신하는 포트 및 가상 머신 보기

검색

• 인터넷을 통해 대화하는 열린 포트

  • 예상치 않은 포트가 열려 있는 것이 발견되면 구성을 수정할 수 있습니다.

    

    

배포와 상호 작용하는 공용 IP에 대한 정보 보기

검색

• 네트워크와 통신하는 공용 IP는 무엇인가요? 모든 공용 IP의 WHOIS 데이터 및 지리적 위치는 무엇인가요?
• 내 배포에 트래픽을 보내는 악성 IP는 무엇인가요? 악성 IP의 위협 형식과 위협 설명은 무엇인가요?

공용 IP 정보 섹션에서는 네트워크 트래픽에 있는 모든 유형의 공용 IP에 대한 요약을 제공합니다. 세부 정보를 보려면 관심 있는 공용 IP 형식을 선택하세요. 트래픽 분석 대시보드에서 IP를 선택하여 해당 정보를 봅니다. 표시되는 데이터 필드에 대한 자세한 내용은 공용 IP 세부 정보 스키마를 참조하세요.

NSG(네트워크 보안 그룹)/NSG 규칙 적수의 추세 시각화

검색

• 흐름 분포와 비교 차트에서 대부분 적중하는 NSG/NSG 규칙은 무엇인가요?

• NSG/NSG 규칙당 최상위 원본 및 대상 대화 쌍

  

• 다음 그림은 NSG 규칙에 대한 시간 추세와 네트워크 보안 그룹에 대한 원본-대상 흐름 세부 정보를 보여 줍니다.

  • 악성 흐름을 트래버스하는 NSG 및 NSG 규칙과 클라우드 환경에 액세스하는 상위 악성 IP 주소를 빠르게 검색합니다.

  • 상당한 네트워크 트래픽을 허용/차단하는 NSG/NSG 규칙 식별

  • NSG 또는 NSG 규칙의 세부적인 검사에 대한 상위 필터 선택

    

    

다음 단계

트래픽 분석 스키마 및 데이터 집계