Visão geral da análise de tráfego

A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade da atividade do usuário e do aplicativo em suas redes de nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo do Observador de Rede do Azure para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Com a análise de tráfego, você pode:

• Visualize a atividade de rede em suas assinaturas do Azure.

• Identifique pontos quentes.

• Proteja sua rede usando informações sobre os seguintes componentes para identificar ameaças:

  • Portas abertas
  • Aplicações que tentam aceder à internet
  • Máquinas virtuais (VMs) que se conectam a redes não autorizadas

• Otimize sua implantação de rede para desempenho e capacidade entendendo os padrões de fluxo de tráfego nas regiões do Azure e na Internet.

• Identifique configurações incorretas de rede que podem levar a conexões com falha em sua rede.

Porquê a análise de tráfego?

É vital monitorar, gerenciar e conhecer sua própria rede para garantir segurança, conformidade e desempenho sem compromisso. Conhecer o seu próprio ambiente é de suma importância para protegê-lo e otimizá-lo. Muitas vezes, você precisa saber o estado atual da rede, incluindo as seguintes informações:

• Quem está se conectando à rede?
• De onde eles estão se conectando?
• Que portas estão abertas para a Internet?
• Qual é o comportamento esperado da rede?
• Existe algum comportamento irregular na rede?
• Há algum aumento repentino no tráfego?

As redes na nuvem são diferentes das redes empresariais locais. Em redes locais, roteadores e switches suportam NetFlow e outros protocolos equivalentes. Você pode usar esses dispositivos para coletar dados sobre o tráfego de rede IP à medida que ele entra ou sai de uma interface de rede. Ao analisar dados de fluxo de tráfego, você pode criar uma análise do fluxo e volume de tráfego de rede.

Com as redes virtuais do Azure, os logs de fluxo coletam dados sobre a rede. Esses logs fornecem informações sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede ou de uma rede virtual. A análise de tráfego analisa logs de fluxo brutos e combina os dados de log com informações sobre segurança, topologia e geografia. Em seguida, a análise de tráfego fornece informações sobre o fluxo de tráfego em seu ambiente.

A análise de tráfego fornece as seguintes informações:

• Anfitriões que comunicam a maioria
• Protocolos de aplicativos que mais comunicam
• Pares de anfitriões que mais conversam
• Tráfego permitido e bloqueado
• Tráfego de entrada e de saída
• Abrir portas de internet
• A maioria das regras de bloqueio
• Distribuição de tráfego por datacenter do Azure, rede virtual, sub-redes ou rede não autorizada

Componentes principais

Para usar a análise de tráfego, você precisa dos seguintes componentes:

• Inspetor de Rede: um serviço regional que você pode usar para monitorar e diagnosticar condições em um nível de cenário de rede no Azure. Você pode usar o Inspetor de Rede para ativar e desativar os logs de fluxo em sua assinatura. Para obter mais informações, consulte O que é o Azure Network Watcher? e Habilitar ou desabilitar o Azure Network Watcher.

• Log Analytics: uma ferramenta no portal do Azure que você usa para trabalhar com dados do Azure Monitor Logs. O Azure Monitor Logs é um serviço do Azure que coleta dados de monitoramento e armazena os dados em um repositório central. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos por meio da API do Azure. Depois que esses dados são coletados, eles ficam disponíveis para alerta, análise e exportação. Aplicativos de monitoramento, como monitor de desempenho de rede e análise de tráfego, usam os Logs do Azure Monitor como base. Para obter mais informações, consulte Azure Monitor Logs. O Log Analytics fornece uma maneira de editar e executar consultas em logs. Você também pode usar essa ferramenta para analisar os resultados da consulta. Para obter mais informações, consulte Visão geral do Log Analytics no Azure Monitor.

• Espaço de trabalho do Log Analytics: o ambiente que armazena os dados de log do Azure Monitor que pertencem a uma conta do Azure. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Visão geral do espaço de trabalho do Log Analytics e Criar um espaço de trabalho do Log Analytics.

• Além disso, você precisa de um grupo de segurança de rede habilitado para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de grupo de segurança de rede ou uma rede virtual habilitada para log de fluxo se estiver usando análise de tráfego para analisar logs de fluxo de rede virtual:

  • Grupo de segurança de rede (NSG): um recurso que contém uma lista de regras de segurança que permitem ou negam tráfego de rede de ou para recursos conectados a uma rede virtual do Azure. Os grupos de segurança de rede podem ser associados a sub-redes, interfaces de rede (NICs) anexadas a VMs (Gerenciador de Recursos) ou VMs individuais (clássicas). Para obter mais informações, consulte Visão geral do grupo de segurança de rede.

  • Logs de fluxo do grupo de segurança de rede: informações registradas sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede. Os logs de fluxo do grupo de segurança de rede são escritos no formato JSON e incluem:

    • Fluxos de saída e entrada por regra.
    • A NIC à qual o fluxo se aplica.
    • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
    • O status do tráfego, como permitido ou negado.

    Para obter mais informações, consulte Visão geral dos logs de fluxo do grupo de segurança de rede e Criar um log de fluxo do grupo de segurança de rede.

  • Rede virtual (VNet): um recurso que permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. Para obter mais informações, consulte Visão geral da rede virtual.

  • Logs de fluxo de rede virtual: informações gravadas sobre o tráfego IP de entrada e saída através de uma rede virtual. Os logs de fluxo de rede virtual são escritos no formato JSON e incluem:

    • Fluxos de saída e entrada.
    • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
    • O status do tráfego, como permitido ou negado.

    Para obter mais informações, consulte Visão geral dos logs de fluxo de rede virtual e Criar um log de fluxo de rede virtual. Para saber mais sobre as diferenças entre os logs de fluxo do grupo de segurança de rede e os logs de fluxo de rede virtual, consulte Logs de fluxo de rede virtual comparados aos logs de fluxo do grupo de segurança de rede.

Nota

Para usar a Análise de tráfego, você deve atribuir uma das seguintes funções internas do Azure à sua conta:

Modelo de implementação	Role
Gestor de Recursos	Proprietário
	Contribuinte
	Contribuidor de rede 1 e contribuidor de monitoramento

1 O contribuidor da rede não cobre Microsoft.OperationalInsights/workspaces/* ações.

Se nenhuma das funções internas anteriores for atribuída à sua conta, atribua uma função personalizada que ofereça suporte às ações listadas em Logs de fluxo e permissões de análise de tráfego.

Como funciona a análise de tráfego

A análise de tráfego examina os logs de fluxo brutos. Em seguida, ele reduz o volume de log agregando fluxos que têm um endereço IP de origem comum, endereço IP de destino, porta de destino e protocolo.

Um exemplo pode envolver o Host 1 no endereço IP 10.10.10.10 e o Host 2 no endereço IP 10.10.20.10. Suponha que esses dois hosts se comuniquem 100 vezes durante um período de uma hora. O log de fluxo bruto tem 100 entradas neste caso. Se esses hosts usarem o protocolo HTTP na porta 80 para cada uma dessas 100 interações, o log reduzido terá uma entrada. Essa entrada afirma que o Host 1 e o Host 2 se comunicaram 100 vezes durante um período de uma hora usando o protocolo HTTP na porta 80.

Os logs reduzidos são aprimorados com informações de geografia, segurança e topologia e, em seguida, armazenados em um espaço de trabalho do Log Analytics. O diagrama a seguir mostra o fluxo de dados:

Disponibilidade

As tabelas a seguir listam as regiões suportadas onde você pode habilitar a análise de tráfego para seus logs de fluxo e os espaços de trabalho do Log Analytics que você pode usar.

América do Norte / América do Sul

País/Região	Logs de fluxo do grupo de segurança de rede	Logs de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Sul do Brasil	✓	✓	✓	✓
Brasil Sudeste	✓	✓	✓	✓
Canadá Central	✓	✓	✓	✓
Leste do Canadá	✓	✓	✓	✓
E.U.A. Central	✓	✓	✓	✓
E.U.A. Leste	✓	✓	✓	✓
E.U.A. Leste 2	✓	✓	✓	✓
México Central	✓	✓	✓
E.U.A. Centro-Norte	✓	✓	✓	✓
E.U.A. Centro-Sul	✓	✓	✓	✓
E.U.A. Centro-Oeste	✓	✓	✓	✓
E.U.A. Oeste	✓	✓	✓	✓
E.U.A. Oeste 2	✓	✓	✓	✓
EUA Oeste 3	✓	✓	✓	✓

Europa

País/Região	Logs de fluxo do grupo de segurança de rede	Logs de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
França Central	✓	✓	✓	✓
Sul de França	✓	✓
Norte da Alemanha	✓	✓	✓	✓
Alemanha Centro-Oeste	✓	✓	✓	✓
Norte da Itália	✓	✓	✓	✓
Europa do Norte	✓	✓	✓	✓
Leste da Noruega	✓	✓	✓	✓
Oeste da Noruega	✓	✓		✓
Polónia Central	✓	✓	✓	✓
Espanha Central	✓	✓	✓
Suécia Central	✓	✓	✓	✓
Norte da Suíça	✓	✓	✓	✓
Oeste da Suíça	✓	✓	✓	✓
Sul do Reino Unido	✓	✓	✓	✓
Oeste do Reino Unido	✓	✓	✓	✓
Europa Ocidental	✓	✓	✓	✓

Austrália / Ásia / Pacífico

País/Região	Logs de fluxo do grupo de segurança de rede	Logs de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Austrália Central	✓	✓	✓	✓
Austrália Central 2	✓	✓		✓
Leste da Austrália	✓	✓	✓	✓
Austrália Sudeste	✓	✓	✓	✓
Índia Central	✓	✓	✓	✓
Norte da China	✓	✓
China Leste 2	✓	✓	✓	✓
Leste da China 3	✓	✓	✓
Norte da China	✓	✓	✓	✓
Norte da China 2	✓	✓	✓	✓
Norte da China 3	✓	✓	✓
Ásia Leste	✓	✓	✓	✓
Leste do Japão	✓	✓	✓	✓
Oeste do Japão	✓	✓	✓	✓
Jio Índia Central				✓
Jio, Oeste da Índia	✓	✓	✓	✓
Coreia do Sul Central	✓	✓	✓	✓
Sul da Coreia do Sul	✓	✓	✓	✓
Sul da Índia	✓	✓	✓	✓
Sudeste Asiático	✓	✓	✓	✓
Norte de Taiwan	✓	✓	✓
Noroeste de Taiwan	✓	✓
Oeste da Índia	✓	✓

Médio Oriente / África

País/Região	Logs de fluxo do grupo de segurança de rede	Logs de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
Israel Central	✓	✓	✓	✓
Catar Central	✓	✓	✓	✓
Norte da África do Sul	✓	✓	✓	✓
Oeste da África do Sul	✓	✓		✓
E.A.U. Central	✓	✓	✓	✓
Norte dos E.A.U.	✓	✓	✓	✓

Azure Government

País/Região	Logs de fluxo do grupo de segurança de rede	Logs de fluxo de rede virtual	Análise de tráfego	Área de trabalho do Log Analytics
US DoD - Centro	✓	✓
US DoD - Leste	✓	✓
US Gov - Arizona	✓	✓	✓	✓
US Gov - Iowa	✓	✓
US Gov - Texas	✓	✓	✓	✓
US Gov - Virginia	✓	✓	✓	✓
Leste Nat dos EUA	✓	✓	✓	✓
EUA Nat Oeste	✓	✓	✓	✓
US Sec - Leste	✓	✓	✓	✓
US Sec - Oeste	✓	✓	✓	✓
US Sec - Centro-Oeste	✓	✓

Nota

Se houver suporte para logs de fluxo em uma região, mas o espaço de trabalho do Log Analytics não for suportado nessa região para análise de tráfego, você poderá usar um espaço de trabalho do Log Analytics de qualquer outra região compatível. Nesse caso, não haverá cobranças adicionais de transferência de dados entre regiões pelo uso de um espaço de trabalho do Log Analytics de outra região.

Preços

Para obter detalhes de preços, consulte Preços do Observador de Rede e Preços do Azure Monitor.

Perguntas frequentes sobre análise de tráfego

Para obter respostas às perguntas mais frequentes sobre análise de tráfego, consulte Perguntas frequentes sobre análise de tráfego.

Conteúdos relacionados

• Para saber como usar a análise de tráfego, consulte Cenários de uso.
• Para entender o esquema e os detalhes de processamento da análise de tráfego, consulte Esquema e agregação de dados no Traffic Analytics.