Partilhar via

Cenários de utilização da análise de tráfego

  • Artigo

Neste artigo, você aprenderá como obter informações sobre seu tráfego depois de configurar a análise de tráfego em diferentes cenários.

Encontrar hotspots de tráfego

Procurar

  • Quais hosts, sub-redes, redes virtuais e conjunto de dimensionamento de máquinas virtuais estão enviando ou recebendo mais tráfego, atravessando o máximo de tráfego mal-intencionado e bloqueando fluxos significativos?
    • Verifique o gráfico comparativo para hosts, sub-rede, rede virtual e conjunto de escala de máquina virtual. Entender quais hosts, sub-redes, redes virtuais e conjunto de dimensionamento de máquinas virtuais estão enviando ou recebendo mais tráfego pode ajudá-lo a identificar os hosts que estão processando mais tráfego e se a distribuição de tráfego é feita corretamente.
    • Você pode avaliar se o volume de tráfego é apropriado para um host. O volume de tráfego é normal ou merece uma investigação mais aprofundada?
  • Quanto tráfego de entrada/saída existe?
    • Espera-se que o host receba mais tráfego de entrada do que de saída ou vice-versa?
  • Estatísticas de tráfego bloqueado.
    • Por que um host está bloqueando um volume significativo de tráfego benigno? Esse comportamento requer mais investigação e, provavelmente, otimização da configuração
  • Estatísticas de tráfego malicioso permitido/bloqueado

    • Por que um host está recebendo tráfego mal-intencionado e por que fluxos de fontes mal-intencionadas são permitidos? Esse comportamento requer uma investigação mais aprofundada e, provavelmente, a otimização da configuração.

      Selecione Ver tudo em IP , conforme mostrado na imagem a seguir, para ver as tendências de tempo para os cinco principais hosts falantes e os detalhes relacionados ao fluxo (permitido – entrada/saída e negado – fluxos de entrada/saída) para um host:

      Captura de tela do painel mostrando o host com a maioria dos detalhes de tráfego.

Procurar

  • Quais são os pares de anfitriões mais conversadores?

    • Comportamento esperado, como comunicação front-end ou back-end ou comportamento irregular, como tráfego de internet back-end.

  • Estatísticas de tráfego permitido/bloqueado

    • Por que um host está permitindo ou bloqueando um volume significativo de tráfego

  • Protocolo de aplicação usado com mais freqüência entre os pares de hosts mais conversantes:

    • Estas aplicações são permitidas nesta rede?

    • Os aplicativos estão configurados corretamente? Eles estão usando o protocolo apropriado para a comunicação? Selecione Ver tudo em Conversa frequente, conforme mostrado na imagem a seguir:

      Captura de ecrã do painel que mostra as conversas mais frequentes.

  • A imagem a seguir mostra a tendência de tempo para as cinco principais conversas e os detalhes relacionados ao fluxo, como fluxos de entrada e saída permitidos e negados para um par de conversas:

    Captura de tela dos cinco principais detalhes e tendências da conversa tagarela.

Procurar

  • Qual protocolo de aplicativo é mais usado em seu ambiente e quais pares de hosts conversantes estão usando mais o protocolo de aplicativo?

    • Estas aplicações são permitidas nesta rede?

    • Os aplicativos estão configurados corretamente? Eles estão usando o protocolo apropriado para a comunicação? O comportamento esperado são as portas comuns, como 80 e 443. Para comunicação padrão, se alguma porta incomum for exibida, ela poderá exigir uma alteração de configuração. Selecione Ver tudo em Porta do aplicativo, na imagem a seguir:

      Captura de tela do painel mostrando os principais protocolos de aplicativos.

  • As imagens a seguir mostram a tendência de tempo para os cinco principais protocolos L7 e os detalhes relacionados ao fluxo (por exemplo, fluxos permitidos e negados) para um protocolo L7:

    Captura de tela dos cinco principais detalhes e tendências dos protocolos da camada 7.

    Captura de tela dos detalhes de fluxo para o protocolo de aplicativo na pesquisa de log.

Procurar

  • Tendências de utilização da capacidade de um gateway VPN em seu ambiente.

    • Cada VPN SKU permite uma certa quantidade de largura de banda. Os gateways VPN são subutilizados?
    • Os seus gateways estão a atingir a sua capacidade? Você deve atualizar para o próximo SKU superior?

  • Quais são os hosts que mais conversam, através de qual gateway VPN, sobre qual porta?

    • Este padrão é normal? Selecione Ver tudo em Gateway VPN, conforme mostrado na imagem a seguir:

      Captura de tela do painel mostrando as principais conexões VPN ativas.

  • A imagem a seguir mostra a tendência de tempo para utilização da capacidade de um Gateway de VPN do Azure e os detalhes relacionados ao fluxo (como fluxos e portas permitidos):

    Captura de tela da tendência de utilização do gateway VPN e detalhes de fluxo.

Visualize a distribuição do tráfego por geografia

Procurar

  • Distribuição de tráfego por data center, como as principais fontes de tráfego para um datacenter, as principais redes não autorizadas conversando com o data center e os principais protocolos de aplicativos de conversação.

    • Se você observar mais carga em um data center, poderá planejar uma distribuição eficiente do tráfego.

    • Se redes não autorizadas estiverem conversando no data center, você poderá definir regras de grupo de segurança de rede para bloqueá-las.

      Selecione Exibir mapa em Seu ambiente, conforme mostrado na imagem a seguir:

      Captura de tela do painel mostrando a distribuição de tráfego.

  • O mapa geográfico mostra a faixa de opções superior para a seleção de parâmetros como data centers (Implantado/Sem implantação/Ativo/Inativo/Análise de tráfego habilitado/Análise de tráfego não habilitado) e países/regiões que contribuem com tráfego benigno/mal-intencionado para a implantação ativa:

    Captura de tela da visualização de mapa geográfico mostrando a implantação ativa.

  • O mapa geográfico mostra a distribuição do tráfego para um data center de países/regiões e continentes que se comunicam com ele em linhas coloridas azuis (tráfego benigno) e vermelho (tráfego malicioso):

    Captura de ecrã da vista de mapa geográfico que mostra a distribuição do tráfego para países/regiões e continentes.

  • A folha Mais Informações de uma região do Azure também mostra o tráfego total restante dentro dessa região (ou seja, origem e destino na mesma região). Além disso, fornece informações sobre o tráfego trocado entre zonas de disponibilidade de um datacenter.

    Screenshot do tráfego Inter Zone e Intra region.

Visualize a distribuição de tráfego por redes virtuais

Procurar

  • Distribuição de tráfego por rede virtual, topologia, principais fontes de tráfego para a rede virtual, principais redes não autorizadas conversando com a rede virtual e principais protocolos de aplicativos de conversação.

    • Saber qual rede virtual está conversando com qual rede virtual. Se a conversa não for esperada, ela pode ser corrigida.

    • Se as redes não autorizadas estiverem conversando com uma rede virtual, você poderá corrigir as regras do grupo de segurança de rede para bloquear as redes não autorizadas.

      Selecione Exibir redes virtuais em Seu ambiente , conforme mostrado na imagem a seguir:

      Captura de tela do painel mostrando a distribuição de rede virtual.

  • A Topologia de Rede Virtual mostra a faixa de opções superior para a seleção de parâmetros como Conexões de rede virtual (Conexões de rede intervirtual/Ativas/Inativas), Conexões externas, Fluxos ativos e Fluxos mal-intencionados da rede virtual.

  • Você pode filtrar a Topologia de Rede Virtual com base em assinaturas, espaços de trabalho, grupos de recursos e intervalo de tempo. Os filtros extras que ajudam a entender o fluxo são: Tipo de fluxo (InterVNet, IntraVNET e assim por diante), Direção do fluxo (entrada, saída), Status do fluxo (permitido, bloqueado), VNETs (direcionado e conectado), Tipo de conexão (emparelhamento ou gateway - P2S e S2S) e NSG. Use esses filtros para se concentrar em VNets que você deseja examinar em detalhes.

  • Você pode aumentar e diminuir o zoom enquanto visualiza a Topologia de Rede Virtual usando a roda de rolagem do mouse. Clique com o botão esquerdo e mova o mouse permite arrastar a topologia na direção desejada. Você também pode usar atalhos de teclado para realizar estas ações: A (para arrastar para a esquerda), D (para arrastar para a direita), W (para arrastar para cima), S (para arrastar para baixo), + (para aumentar o zoom), - (para reduzir), R (para redefinir o zoom).

  • A Topologia de Rede Virtual mostra a distribuição de tráfego para uma rede virtual para fluxos (Permitido/Bloqueado/Entrada/Saída/Benigno/Mal-intencionado), protocolo de aplicativo e grupos de segurança de rede, por exemplo:

    Captura de tela da topologia de rede virtual mostrando detalhes de distribuição e fluxo de tráfego.

    Captura de tela da topologia de rede virtual mostrando filtros de nível superior e mais.

Procurar

  • Distribuição de tráfego por sub-rede, topologia, principais fontes de tráfego para a sub-rede, principais redes não autorizadas conversando com a sub-rede e principais protocolos de aplicativos de conversação.

    • Saber qual sub-rede está conversando com qual sub-rede. Se vir conversas inesperadas, pode corrigir a sua configuração.
    • Se as redes não autorizadas estiverem conversando com uma sub-rede, você poderá corrigi-la configurando as regras do NSG para bloquear as redes não autorizadas.

  • A Topologia de Sub-redes mostra a faixa de opções superior para seleção de parâmetros como Sub-rede Ativa/Inativa, Conexões Externas, Fluxos Ativos e Fluxos Mal-Intencionados da sub-rede.

  • Você pode aumentar e diminuir o zoom enquanto visualiza a Topologia de Rede Virtual usando a roda de rolagem do mouse. Clique com o botão esquerdo e mova o mouse permite arrastar a topologia na direção desejada. Você também pode usar atalhos de teclado para realizar estas ações: A (para arrastar para a esquerda), D (para arrastar para a direita), W (para arrastar para cima), S (para arrastar para baixo), + (para aumentar o zoom), - (para reduzir), R (para redefinir o zoom).

  • A topologia de sub-rede mostra a distribuição de tráfego para uma rede virtual em relação a fluxos (permitido/bloqueado/de entrada/de saída/benigno/mal-intencionado), protocolo de aplicativo e NSGs, por exemplo:

    Captura de tela da topologia de sub-rede mostrando a distribuição de tráfego para uma sub-rede de rede virtual em relação aos fluxos.

Procurar

Distribuição de tráfego por Application gateway & Load Balancer, topologia, principais fontes de tráfego, principais redes não autorizadas conversando com o Application gateway & Load Balancer e principais protocolos de aplicativos conversantes.

  • Saber qual sub-rede está conversando com qual gateway de aplicativo ou balanceador de carga. Se observar conversas inesperadas, pode corrigir a sua configuração.

  • Se redes não autorizadas estiverem conversando com um gateway de aplicativo ou balanceador de carga, você poderá corrigi-lo configurando regras NSG para bloquear as redes não autorizadas.

    A captura de tela mostra uma topologia de sub-rede com distribuição de tráfego para uma sub-rede do gateway de aplicativo em relação aos fluxos.

Exibir portas e máquinas virtuais que recebem tráfego da Internet

Procurar

  • Quais portas abertas estão conversando pela internet?

    • Se portas inesperadas forem encontradas abertas, você pode corrigir sua configuração:

      Captura de tela do painel mostrando portas que recebem e enviam tráfego para a Internet.

      Captura de ecrã das portas de destino do Azure e dos detalhes dos anfitriões.

Exibir informações sobre IPs públicos interagindo com sua implantação

Procurar

  • Quais IPs públicos estão se comunicando com minha rede? Quais são os dados WHOIS e a localização geográfica de todos os IPs públicos?
  • Quais IPs mal-intencionados estão enviando tráfego para minhas implantações? Qual é o tipo de ameaça e a descrição da ameaça para IPs mal-intencionados?

A seção Informações de IP Público fornece um resumo de todos os tipos de IPs públicos presentes no tráfego da rede. Selecione o tipo de IP público de interesse para ver os detalhes. No painel de análise de tráfego, selecione qualquer IP para visualizar suas informações. Para obter mais informações sobre os campos de dados apresentados, consulte Esquema de detalhes de IP público .

Captura de tela que exibe a seção de informações de IP público.

Procurar

  • Quais regras NSG/NSG têm mais acertos no gráfico comparativo com a distribuição de fluxos?

  • Quais são os principais pares de conversação de origem e destino de acordo com as regras NSG/NSG?

    Captura de tela que mostra as estatísticas de acessos do NSG no painel.

  • As imagens a seguir mostram a tendência de tempo para acessos às regras NSG e detalhes de fluxo de origem-destino para um grupo de segurança de rede:

    • Detete rapidamente quais NSGs e regras NSG estão atravessando fluxos maliciosos e quais são os principais endereços IP mal-intencionados acessando seu ambiente de nuvem

    • Identificar quais regras NSG/NSG estão permitindo/bloqueando tráfego de rede significativo

    • Selecionar filtros superiores para inspeção granular de regras NSG ou NSG

      Captura de tela mostrando tendências de tempo para hits de regras NSG e regras NSG superiores.

      Captura de tela dos principais detalhes das estatísticas das regras do NSG na pesquisa de logs.

Próximo passo

Esquema de análise de tráfego e agregação de dados