Visão geral da análise de tráfego
A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade da atividade do usuário e do aplicativo em suas redes de nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo do Observador de Rede do Azure para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Com a análise de tráfego, você pode:
Visualize a atividade de rede em suas assinaturas do Azure.
Identifique pontos quentes.
Proteja sua rede usando informações sobre os seguintes componentes para identificar ameaças:
- Portas abertas
- Aplicações que tentam aceder à internet
- Máquinas virtuais (VMs) que se conectam a redes não autorizadas
Otimize sua implantação de rede para desempenho e capacidade entendendo os padrões de fluxo de tráfego nas regiões do Azure e na Internet.
Identifique configurações incorretas de rede que podem levar a conexões com falha em sua rede.
Porquê a análise de tráfego?
É vital monitorar, gerenciar e conhecer sua própria rede para garantir segurança, conformidade e desempenho sem compromisso. Conhecer o seu próprio ambiente é de suma importância para protegê-lo e otimizá-lo. Muitas vezes, você precisa saber o estado atual da rede, incluindo as seguintes informações:
- Quem está se conectando à rede?
- De onde eles estão se conectando?
- Que portas estão abertas para a Internet?
- Qual é o comportamento esperado da rede?
- Existe algum comportamento irregular na rede?
- Há algum aumento repentino no tráfego?
As redes na nuvem são diferentes das redes empresariais locais. Em redes locais, roteadores e switches suportam NetFlow e outros protocolos equivalentes. Você pode usar esses dispositivos para coletar dados sobre o tráfego de rede IP à medida que ele entra ou sai de uma interface de rede. Ao analisar dados de fluxo de tráfego, você pode criar uma análise do fluxo e volume de tráfego de rede.
Com as redes virtuais do Azure, os logs de fluxo coletam dados sobre a rede. Esses logs fornecem informações sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede ou de uma rede virtual. A análise de tráfego analisa logs de fluxo brutos e combina os dados de log com informações sobre segurança, topologia e geografia. Em seguida, a análise de tráfego fornece informações sobre o fluxo de tráfego em seu ambiente.
A análise de tráfego fornece as seguintes informações:
- Anfitriões que comunicam a maioria
- Protocolos de aplicativos que mais comunicam
- Pares de anfitriões que mais conversam
- Tráfego permitido e bloqueado
- Tráfego de entrada e de saída
- Abrir portas de internet
- A maioria das regras de bloqueio
- Distribuição de tráfego por datacenter do Azure, rede virtual, sub-redes ou rede não autorizada
Componentes principais
Para usar a análise de tráfego, você precisa dos seguintes componentes:
Inspetor de Rede: um serviço regional que você pode usar para monitorar e diagnosticar condições em um nível de cenário de rede no Azure. Você pode usar o Inspetor de Rede para ativar e desativar os logs de fluxo do grupo de segurança de rede. Para obter mais informações, consulte O que é o Azure Network Watcher?
Log Analytics: uma ferramenta no portal do Azure que você usa para trabalhar com dados do Azure Monitor Logs. O Azure Monitor Logs é um serviço do Azure que coleta dados de monitoramento e armazena os dados em um repositório central. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos por meio da API do Azure. Depois que esses dados são coletados, eles ficam disponíveis para alerta, análise e exportação. Aplicativos de monitoramento, como monitor de desempenho de rede e análise de tráfego, usam os Logs do Azure Monitor como base. Para obter mais informações, consulte Azure Monitor Logs. O Log Analytics fornece uma maneira de editar e executar consultas em logs. Você também pode usar essa ferramenta para analisar os resultados da consulta. Para obter mais informações, consulte Visão geral do Log Analytics no Azure Monitor.
Espaço de trabalho do Log Analytics: o ambiente que armazena os dados de log do Azure Monitor que pertencem a uma conta do Azure. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Visão geral do espaço de trabalho do Log Analytics.
Além disso, você precisa de um grupo de segurança de rede habilitado para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de grupo de segurança de rede ou uma rede virtual habilitada para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de rede virtual:
Grupo de segurança de rede (NSG): um recurso que contém uma lista de regras de segurança que permitem ou negam tráfego de rede de ou para recursos conectados a uma rede virtual do Azure. Os grupos de segurança de rede podem ser associados a sub-redes, interfaces de rede (NICs) anexadas a VMs (Gerenciador de Recursos) ou VMs individuais (clássicas). Para obter mais informações, consulte Visão geral do grupo de segurança de rede.
Logs de fluxo do grupo de segurança de rede: informações registradas sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede. Os logs de fluxo do grupo de segurança de rede são escritos no formato JSON e incluem:
- Fluxos de saída e entrada por regra.
- A NIC à qual o fluxo se aplica.
- Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
- O status do tráfego, como permitido ou negado.
Para obter mais informações sobre logs de fluxo de grupos de segurança de rede, consulte Visão geral de logs de fluxo de grupos de segurança de rede.
Rede virtual (VNet): um recurso que permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Para obter mais informações, consulte Visão geral da rede virtual.
Logs de fluxo de rede virtual: informações gravadas sobre o tráfego IP de entrada e saída através de uma rede virtual. Os logs de fluxo de rede virtual são escritos no formato JSON e incluem:
- Fluxos de saída e entrada.
- Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
- O status do tráfego, como permitido ou negado.
Para obter mais informações sobre logs de fluxo de rede virtual, consulte Visão geral dos logs de fluxo de rede virtual.
Nota
Para obter informações sobre as diferenças entre os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual, consulte Logs de fluxo de rede virtual comparados aos logs de fluxo do grupo de segurança de rede.
Como funciona a análise de tráfego
A análise de tráfego examina os logs de fluxo brutos. Em seguida, ele reduz o volume de log agregando fluxos que têm um endereço IP de origem comum, endereço IP de destino, porta de destino e protocolo.
Um exemplo pode envolver o Host 1 no endereço IP 10.10.10.10 e o Host 2 no endereço IP 10.10.20.10. Suponha que esses dois hosts se comuniquem 100 vezes durante um período de uma hora. O log de fluxo bruto tem 100 entradas neste caso. Se esses hosts usarem o protocolo HTTP na porta 80 para cada uma dessas 100 interações, o log reduzido terá uma entrada. Essa entrada afirma que o Host 1 e o Host 2 se comunicaram 100 vezes durante um período de uma hora usando o protocolo HTTP na porta 80.
Os logs reduzidos são aprimorados com informações de geografia, segurança e topologia e, em seguida, armazenados em um espaço de trabalho do Log Analytics. O diagrama a seguir mostra o fluxo de dados:
Pré-requisitos
A análise de tráfego requer os seguintes pré-requisitos:
Uma assinatura habilitada para o Observador de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Azure Network Watcher.
Logs de fluxo de grupo de segurança de rede habilitados para os grupos de segurança de rede que você deseja monitorar ou logs de fluxo de rede virtual habilitados para a rede virtual que você deseja monitorar. Para obter mais informações, consulte Criar um log de fluxo de grupo de segurança de rede ou Criar um log de fluxo de rede virtual.
Um espaço de trabalho do Azure Log Analytics com acesso de leitura e gravação. Para obter mais informações, consulte Criar um espaço de trabalho do Log Analytics.
Uma das seguintes funções internas do Azure precisa ser atribuída à sua conta:
Modelo de implementação Role Gestor de Recursos Proprietário Contribuinte Contribuidor de rede 1 e contribuidor de monitoramento 2 Se nenhuma das funções internas anteriores for atribuída à sua conta, atribua uma função personalizada à sua conta. A função personalizada deve suportar as seguintes ações no nível de assinatura:
Microsoft.Network/applicationGateways/read
Microsoft.Network/connections/read
Microsoft.Network/loadBalancers/read
Microsoft.Network/localNetworkGateways/read
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkSecurityGroups/read
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/routeTables/read
Microsoft.Network/virtualNetworkGateways/read
Microsoft.Network/virtualNetworks/read
Microsoft.Network/expressRouteCircuits/read
Microsoft.OperationalInsights/workspaces/read
1ºMicrosoft.OperationalInsights/workspaces/sharedkeys/action
1ºMicrosoft.Insights/dataCollectionRules/read
2Microsoft.Insights/dataCollectionRules/write
2Microsoft.Insights/dataCollectionRules/delete
2Microsoft.Insights/dataCollectionEndpoints/read
2Microsoft.Insights/dataCollectionEndpoints/write
2Microsoft.Insights/dataCollectionEndpoints/delete
2
1 O contribuidor da rede não cobre
Microsoft.OperationalInsights/workspaces/*
ações.2 Necessário apenas ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.
Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar atribuições de função do Azure usando o portal do Azure. Se não conseguir ver as atribuições de função, contacte o respetivo administrador de subscrição.
Atenção
A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego pode não funcionar conforme o esperado.
Disponibilidade
As tabelas a seguir listam as regiões suportadas onde você pode habilitar a análise de tráfego para seus logs de fluxo e os espaços de trabalho do Log Analytics que você pode usar.
- América do Norte / América do Sul
- Europa
- Austrália / Ásia / Pacífico
- Médio Oriente / África
- Azure Government
País/Região | Logs de fluxo do grupo de segurança de rede | Logs de fluxo de rede virtual | Análise de tráfego | Área de trabalho do Log Analytics |
---|---|---|---|---|
Sul do Brasil | ✓ | ✓ | ✓ | ✓ |
Brasil Sudeste | ✓ | ✓ | ✓ | ✓ |
Canadá Central | ✓ | ✓ | ✓ | ✓ |
Leste do Canadá | ✓ | ✓ | ✓ | ✓ |
E.U.A. Central | ✓ | ✓ | ✓ | ✓ |
E.U.A. Leste | ✓ | ✓ | ✓ | ✓ |
E.U.A. Leste 2 | ✓ | ✓ | ✓ | ✓ |
México Central | ✓ | ✓ | ✓ | |
E.U.A. Centro-Norte | ✓ | ✓ | ✓ | ✓ |
E.U.A. Centro-Sul | ✓ | ✓ | ✓ | ✓ |
E.U.A. Centro-Oeste | ✓ | ✓ | ✓ | ✓ |
E.U.A. Oeste | ✓ | ✓ | ✓ | ✓ |
E.U.A. Oeste 2 | ✓ | ✓ | ✓ | ✓ |
EUA Oeste 3 | ✓ | ✓ | ✓ | ✓ |
Nota
Se houver suporte para logs de fluxo em uma região, mas o espaço de trabalho do Log Analytics não for suportado nessa região para análise de tráfego, você poderá usar um espaço de trabalho do Log Analytics de qualquer outra região compatível. Nesse caso, não haverá cobranças adicionais de transferência de dados entre regiões pelo uso de um espaço de trabalho do Log Analytics de outra região.
Preços
Para obter detalhes de preços, consulte Preços do Observador de Rede e Preços do Azure Monitor.
Perguntas frequentes sobre análise de tráfego
Para obter respostas às perguntas mais frequentes sobre análise de tráfego, consulte Perguntas frequentes sobre análise de tráfego.
Conteúdos relacionados
- Para saber como usar a análise de tráfego, consulte Cenários de uso.
- Para entender o esquema e os detalhes de processamento da análise de tráfego, consulte Esquema e agregação de dados no Traffic Analytics.