مخطط تحليلات نسبة استخدام الشبكة وتجميع البيانات
تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية تحلل تحليلات نسبة استخدام الشبكة سجلات تدفق Azure Network Watcher لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. باستخدام تحليلات نسبة استخدام الشبكة، يمكنك:
- تصور نشاط الشبكة عبر اشتراكات Azure خاصتك وتحديد النقاط الفعالة.
- حدد تهديدات الأمان، وقم بتأمين شبكتك، بمعلومات مثل المنافذ المفتوحة والتطبيقات التي تحاول الوصول إلى الإنترنت والأجهزة الظاهرية (VMs) المتصلة بالشبكات المارقة.
- فهم أنماط تدفق حركة المرور عبر مناطق Azure والإنترنت لتحسين توزيع شبكتك من أجل الأداء والسعة.
- تحديد التكوينات الخاطئة للشبكة التي تؤدي إلى فشل الاتصالات في شبكتك.
- تعرف على استخدام الشبكة بالبايت أو حزمة بيانات أو التدفقات.
تجميع البيانات
- يتم التقاط جميع سجلات التدفق في مجموعة أمان الشبكة بين
FlowIntervalStartTime_tوFlowIntervalEndTime_tعلى فترات زمنية مدتها دقيقة واحدة كنقاط في حساب تخزين. - الفاصل الزمني الافتراضي للمعالجة لتحليلات نسبة استخدام الشبكة هو 60 دقيقة، ما يعني أنه كل ساعة، تختار تحليلات نسبة استخدام الشبكة الكائنات الثنائية كبيرة الحجم من حساب التخزين للتجميع. ومع ذلك، إذا تم تحديد فاصل زمني للمعالجة مدته 10 دقائق، فستختار تحليلات نسبة استخدام الشبكة بدلا من ذلك الكائنات الثنائية كبيرة الحجم من حساب التخزين كل 10 دقائق.
- يتم تجميع التدفقات التي لها نفس
Source IPوNSG nameNSG ruleFlow DirectionDestination IPDestination portو فيTransport layer protocol (TCP or UDP)تدفق واحد بواسطة تحليلات نسبة استخدام الشبكة (ملاحظة: يتم استبعاد منفذ المصدر للتجميع). - تم تزيين هذا السجل الفردي (التفاصيل في القسم أدناه) واستيعابه في سجلات Azure Monitor بواسطة تحليلات نسبة استخدام الشبكة. قد تستغرق هذه العملية ما يصل إلى ساعة واحدة.
FlowStartTime_tيشير الحقل إلى التكرار الأول لمثل هذا التدفق المجمع (نفس الأربع مجموعات) في الفاصل الزمني لمعالجة سجل التدفق بينFlowIntervalStartTime_tوFlowIntervalEndTime_t.- بالنسبة إلى أي مورد في تحليلات نسبة استخدام الشبكة، فإن التدفقات المشار إليها في مدخل Microsoft Azure هي إجمالي التدفقات التي تراها مجموعة أمان الشبكة، ولكن في سجلات Azure Monitor، يرى المستخدم السجل الفردي المنخفض فقط. لمشاهدة كافة التدفقات، استخدم
blob_idالحقل الذي يمكن الرجوع إليه من التخزين. يطابق إجمالي عدد التدفق لهذا السجل التدفقات الفردية التي تظهر في الكائن الثنائي كبير الحجم.
يساعدك الاستعلام التالي على إلقاء نظرة على جميع الشبكات الفرعية التي تتفاعل مع عناوين IP العامة غير التابعة ل Azure في آخر 30 يوما.
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s
لعرض مسار الكائن الثنائي كبير الحجم للتدفقات في الاستعلام السابق، استخدم الاستعلام التالي:
let TableWithBlobId =
(AzureNetworkAnalytics_CL
| where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
| extend binTime = bin(TimeProcessed_t, 6h),
nsgId = strcat(Subscription_g, "/", Name_s),
saNameSplit = split(FlowLogStorageAccount_s, "/")
| extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
| distinct nsgId, saName, binTime)
| join kind = rightouter (
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog"
| extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
"@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
"/RESOURCEGROUPS/", nsgComponents[1],
"/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
"/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
"/m=00/macAddress=", replace(@"-", "", MACAddress_s),
"/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;
TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath
يقوم الاستعلام السابق بإنشاء عنوان URL للوصول إلى الكائن الثنائي كبير الحجم مباشرة. عنوان URL مع العناصر النائبة كما يلي:
https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
مخطط تحليلات نسبة استخدام الشبكة
تم إنشاء تحليلات نسبة استخدام الشبكة أعلى سجلات Azure Monitor، بحيث يمكنك تشغيل استعلامات مخصصة على البيانات التي تم تزيينها بواسطة تحليلات نسبة استخدام الشبكة وتعيين التنبيهات.
يسرد الجدول التالي الحقول في المخطط وما تدل عليه لسجلات تدفق مجموعة أمان الشبكة.
| الحقل | Format | التعليقات |
|---|---|---|
| TableName | AzureNetworkAnalytics_CL | جدول لبيانات تحليلات نسبة استخدام الشبكة. |
| SubType_s | FlowLog | النوع الفرعي لسجلات التدفق. استخدم FlowLog فقط، والقيم الأخرى SubType_s للاستخدام الداخلي. |
| FASchemaVersion_s | 2 | إصدار المخطط. لا يعكس إصدار سجل تدفق مجموعة أمان الشبكة. |
| TimeProcessed_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | الوقت الذي عالجت فيه تحليلات نسبة استخدام الشبكة سجلات التدفق الأولية من حساب التخزين. |
| FlowIntervalStartTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه). |
| FlowIntervalEndTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | وقت إنهاء الفاصل الزمني لمعالجة سجل التدفق. |
| FlowStartTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | التكرار الأول للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime_t و FlowIntervalEndTime_t. يتم تجميع هذا التدفق استنادا إلى منطق التجميع. |
| FlowEndTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | آخر تكرار للتدفق (الذي يتم تجميعه) في الفاصل الزمني لمعالجة سجل التدفق بين FlowIntervalStartTime_t و FlowIntervalEndTime_t. من حيث سجل التدفق v2، يحتوي هذا الحقل على الوقت الذي بدأ فيه التدفق الأخير بنفس المجموعة الأربع (تم وضع علامة B في سجل التدفق الخام). |
| FlowType_s | - إنترانت - InterVNet - S2S - P2S - AzurePublic - ExternalPublic - تدفق ضار - خاص غير معروف - غير معروف |
راجع الملاحظات للتعريفات. |
| SrcIP_s | عنوان IP المصدر | فارغ في تدفقات AzurePublic و ExternalPublic. |
| DestIP_s | عنوان IP الوجهة | فارغ في تدفقات AzurePublic و ExternalPublic. |
| VMIP_s | IP من جهاز ظاهري | يستخدم للتدفقات AzurePublic و ExternalPublic. |
| DestPort_d | منفذ الوجهة | المنفذ الذي يتم فيه إرسال نسبة استخدام الشبكة. |
| L4Protocol_s | -تي -يو |
بروتوكول النقل. T = TCP U = UDP. |
| L7Protocol_s | اسم البروتوكول | مشتق من منفذ الوجهة. |
| FlowDirection_s | - I = الواردة - O = الصادر |
اتجاه التدفق: داخل أو خارج مجموعة أمان الشبكة لكل سجل تدفق. |
| FlowStatus_s | - A = مسموح به - D = مرفوض |
حالة التدفق سواء كانت مسموحة أو مرفوضة من قبل مجموعة أمان الشبكة لكل سجل تدفق. |
| NSGList_s | <SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> | مجموعة أمان الشبكة المقترنة بالتدفق. |
| NSGRules_s | <قيمة الفهرس 0>|<>NSG_RULENAME|<اتجاه> التدفق|<حالة> التدفق|<FlowCount ProcessedByRule> | قاعدة مجموعة أمان الشبكة التي سمحت بهذا التدفق أو رفضته. |
| NSGRule_s | NSG_RULENAME | قاعدة مجموعة أمان الشبكة التي سمحت بهذا التدفق أو رفضته. |
| NSGRuleType_s | - معرف من قبل المستخدم -الافتراضي |
نوع قاعدة مجموعة أمان الشبكة المستخدمة من قبل التدفق. |
| MACAddress_s | عنوان وحدة تحكم وصول الوسائط | عنوان MAC ل NIC الذي تم التقاط التدفق فيه. |
| Subscription_g | يتم ملء اشتراك شبكة Azure الظاهرية / واجهة الشبكة / الجهاز الظاهري في هذا الحقل | ينطبق فقط على أنواع تدفق FlowType = S2S وP2S وAzurePublic و ExternalPublic و MaliciousFlow و UnknownPrivate (أنواع التدفق حيث يكون جانب واحد فقط هو Azure). |
| Subscription1_g | مُعرّف الاشتراك | معرف الاشتراك للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق. |
| Subscription2_g | مُعرّف الاشتراك | معرف الاشتراك للشبكة الظاهرية/ واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه عنوان IP الوجهة في التدفق. |
| Region_s | منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP في التدفق. | ينطبق فقط على أنواع تدفق FlowType = S2S وP2S وAzurePublic و ExternalPublic و MaliciousFlow و UnknownPrivate (أنواع التدفق حيث يكون جانب واحد فقط هو Azure). |
| Region1_s | منطقة Azure | منطقة Azure للشبكة الظاهرية / واجهة الشبكة / الجهاز الظاهري الذي ينتمي إليه IP المصدر في التدفق. |
| Region2_s | منطقة Azure | منطقة Azure للشبكة الظاهرية التي ينتمي إليها IP الوجهة في التدفق. |
| NIC_s | <resourcegroup_Name>/<NetworkInterfaceName> | NIC المقترن بالجهاز الظاهري الذي يرسل حركة المرور أو يستقبلها. |
| NIC1_s | <resourcegroup_Name>/<NetworkInterfaceName> | NIC المقترنة ب IP المصدر في التدفق. |
| NIC2_s | <resourcegroup_Name>/<NetworkInterfaceName> | NIC المقترنة ب IP الوجهة في التدفق. |
| VM_s | <resourcegroup_Name>/<NetworkInterfaceName> | الجهاز الظاهري المقترن بواجهة الشبكة NIC_s. |
| VM1_s | <resourcegroup_Name>/<VirtualMachineName> | الجهاز الظاهري المقترن ب IP المصدر في التدفق. |
| VM2_s | <resourcegroup_Name>/<VirtualMachineName> | الجهاز الظاهري المقترن ب IP الوجهة في التدفق. |
| Subnet_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | الشبكة الفرعية المقترنة NIC_s. |
| Subnet1_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | الشبكة الفرعية المقترنة ب IP المصدر في التدفق. |
| Subnet2_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | الشبكة الفرعية المقترنة ب IP الوجهة في التدفق. |
| ApplicationGateway1_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | بوابة التطبيق المقترنة ب IP المصدر في التدفق. |
| ApplicationGateway2_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | بوابة التطبيق المقترنة ب IP الوجهة في التدفق. |
| ExpressRouteCircuit1_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | معرف دائرة ExpressRoute - عند إرسال التدفق من الموقع عبر ExpressRoute. |
| ExpressRouteCircuit2_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | معرف دائرة ExpressRoute - عند تلقي التدفق من السحابة بواسطة ExpressRoute. |
| ExpressRouteCircuitPeeringType_s | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
نوع نظير ExpressRoute المضمن في التدفق. |
| LoadBalancer1_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | موازن التحميل المقترن ب IP المصدر في التدفق. |
| LoadBalancer2_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | موازن التحميل المقترن ب IP الوجهة في التدفق. |
| LocalNetworkGateway1_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | بوابة الشبكة المحلية المقترنة ب IP المصدر في التدفق. |
| LocalNetworkGateway2_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | بوابة الشبكة المحلية المقترنة ب IP الوجهة في التدفق. |
| الاتصال ionType_s | - VNetPeering - VpnGateway - ExpressRoute |
نوع القسم. |
| الاتصال ionName_s | <SubscriptionID>/<ResourceGroupName>/<ConnectionName> | اسم الاتصال. بالنسبة لنوع التدفق P2S، يتم تنسيقه كبوابة <name>_<VPN Client IP>. |
| الاتصال ingVNets_s | قائمة بأسماء الشبكات الظاهرية مفصولة بمسافات | في حالة تخطيط الشبكة المحورية، يتم ملء الشبكات الظاهرية للمركز هنا. |
| Country_s | رمز البلد المّكون من حرفين (ISO 3166-1 alpha-2) | مُعبأ بنوع تدفق ExternalPublic. تشترك جميع عناوين IP في حقل PublicIPs_s في نفس رمز البلد. |
| AzureRegion_s | مواقع منطقة Azure | مُعبأ بنوع تدفق AzurePublic. تشترك جميع عناوين IP في حقل PublicIPs_s في منطقة Azure. |
| AllowedInFlows_d | عدد التدفقات الواردة المسموح بها، والتي تمثل عدد التدفقات التي تشترك في نفس الأربع مجموعات الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها. | |
| DeniedInFlows_d | عدد التدفقات الواردة المرفوضة. (الواردة إلى واجهة الشبكة التي تم التقاط التدفق فيها). | |
| AllowedOutFlows_d | عدد التدفقات الصادرة المسموح بها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها). | |
| DeniedOutFlows_d | عدد التدفقات الصادرة التي تم رفضها (الصادرة إلى واجهة الشبكة التي تم التقاط التدفق فيها). | |
| FlowCount_d | مهمل. إجمالي التدفقات التي تطابق نفس الأربع مجموعات. في حالة أنواع التدفق ExternalPublic وAzurePublic، يتضمن العدد التدفقات من عناوين PublicIP المختلفة أيضا. | |
| InboundPackets_d | يمثل الحزم المُرسلة من الوجهة إلى مصدر التدفق | يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة. |
| OutboundPackets_d | يمثل الحزم المُرسلة من المصدر إلى مصدر التدفق | يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة. |
| InboundBytes_d | يمثل وحدات البايت المرسلة من الوجهة إلى مصدر التدفق | يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة. |
| OutboundBytes_d | يمثل وحدات البايت المرسلة من المصدر إلى وجهة التدفق | يتم ملؤه فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة. |
| CompletedFlows_d | يتم ملؤها بقيمة غير صفرية فقط للإصدار 2 من مخطط سجل تدفق مجموعة أمان الشبكة. | |
| PublicIPs_s | <PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | الإدخالات مفصولة بشرائط. |
| SrcPublicIPs_s | <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | الإدخالات مفصولة بشرائط. |
| DestPublicIPs_s | <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | الإدخالات مفصولة بشرائط. |
| IsFlowCapturedAtUDRHop_b | -صحيح -كاذبه |
إذا تم التقاط التدفق عند قفزة UDR، تكون القيمة True. |
هام
تم تحديث مخطط تحليلات نسبة استخدام الشبكة في 22 أغسطس 2019. يوفر المخطط الجديد عناوين IP المصدر والوجهة بشكل منفصل، ما يزيل الحاجة إلى تحليل FlowDirection الحقل بحيث تكون الاستعلامات أبسط. يحتوي المخطط المحدث على التغييرات التالية:
FASchemaVersion_sتم التحديث من 1 إلى 2.- الحقول المهملة:
VMIP_s،Subscription_g،Region_s،NSGRules_s،Subnet_s،VM_s، ،NIC_s، ،PublicIPs_sFlowCount_d - الحقول الجديدة:
SrcPublicIPs_s، ،DestPublicIPs_sNSGRule_s
مخطط تفاصيل IP العامة
توفر تحليلات نسبة استخدام الشبكة بيانات WHOIS والموقع الجغرافي لجميع عناوين IP العامة في بيئتك. بالنسبة إلى عنوان IP ضار، توفر تحليلات نسبة استخدام الشبكة مجال DNS ونوع التهديد ووصف مؤشر الترابط كما هو محدد من قبل حلول التحليل الذكي لأمان Microsoft. يتم نشر تفاصيل IP إلى مساحة عمل Log Analytics حتى تتمكن من إنشاء استعلامات مخصصة ووضع تنبيهات عليها. يمكنك أيضا الوصول إلى الاستعلامات مسبقة الملء من لوحة معلومات تحليلات نسبة استخدام الشبكة.
يوضح الجدول التالي تفاصيل مخطط IP العام:
| الحقل | Format | التعليقات |
|---|---|---|
| TableName | AzureNetworkAnalyticsIPDetails_CL | الجدول الذي يحتوي على بيانات تفاصيل IP لتحليلات نسبة استخدام الشبكة. |
| SubType_s | FlowLog | النوع الفرعي لسجلات التدفق. استخدم "FlowLog" فقط، والقيم الأخرى SubType_s هي للعمل الداخلي للمنتج. |
| FASchemaVersion_s | 2 | إصدار المخطط. لا يعكس إصدار سجل تدفق مجموعة أمان الشبكة. |
| FlowIntervalStartTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | وقت بدء الفاصل الزمني لمعالجة سجل التدفق (الوقت الذي يتم قياس الفاصل الزمني للتدفق منه). |
| FlowIntervalEndTime_t | التاريخ والوقت بالتوقيت العالمي المتفق عليه | وقت انتهاء الفاصل الزمني لمعالجة سجل التدفق. |
| FlowType_s | - AzurePublic - ExternalPublic - تدفق ضار |
راجع الملاحظات للتعريفات. |
| Ip | عنوان IP عام | IP العام الذي يتم توفير معلوماته في السجل. |
| Location | موقع IP | - بالنسبة ل Azure Public IP: منطقة Azure للشبكة الظاهرية/واجهة الشبكة/الجهاز الظاهري الذي ينتمي إليه IP OR Global ل IP 168.63.129.16. - بالنسبة إلى IP العام الخارجي وIP الضار: رمز البلد المكون من حرفين حيث يوجد IP (ISO 3166-1 alpha-2). |
| علامات تعريف IP العامة | معلومات حول IP | - بالنسبة ل AzurePublic IP: تمتلك خدمة Azure IP أو عنوان IP العام الظاهري من Microsoft ل 168.63.129.16. - عنوان IP خارجي/ضار: روبوت Who IS معلومات IP. |
| نوع التهديد | التهديد الذي يشكله IP ضار | بالنسبة إلى عناوين IP الضارة فقط: أحد التهديدات من قائمة القيم المسموح بها حاليا (الموضحة في الجدول التالي). |
| وصف التهديد | وصف التهديد | بالنسبة إلى عناوين IP الضارة فقط. وصف التهديد الذي يشكله IP الضار. |
| DNSDomain | مجال نظام أسماء المجالات (DNS) | بالنسبة إلى عناوين IP الضارة فقط. اسم المجال المقترن ب IP الضار. |
| Url | عنوان URL المطابق لعنون IP الضار | بالنسبة إلى عناوين IP الضارة فقط |
| منفذ | المنفذ المقابل ل IP الضار | بالنسبة إلى عناوين IP الضارة فقط |
قائمة أنواع التهديدات:
| قيمة | الوصف |
|---|---|
| Botnet | مؤشر يفصل عقدة/عضو botnet. |
| جـ2 | مؤشر يفصل عقدة Command & Control الخاصة بشبكة الروبوت. |
| CryptoMining | نسبة استخدام الشبكة التي تنطوي على عنوان الشبكة هذا / URL هي مؤشر على إساءة استخدام CyrptoMining / الموارد. |
| DarkNet | مؤشر عقدة/شبكة Darknet. |
| DDoS | المؤشرات المتعلقة بحملة DDoS النشطة أو القادمة. |
| MaliciousUrl | عنوان URL الذي يخدم البرامج الضارة. |
| البرامج الضارة | مؤشر يصف ملفًا أو ملفات ضارة. |
| التصيد الاحتيالي | مؤشرات تتعلق بحملة التصيد الاحتيالي. |
| وكيل | مؤشر خدمة الوكيل. |
| PUA | تطبيق قد يكون غير مرغوب فيه. |
| قائمة المشاهدة | مستودع عام يتم وضع المؤشرات فيه عندما لا يمكن تحديد ما هو التهديد بالضبط أو يتطلب تفسيرا يدويا. WatchList يجب عدم استخدام الشركاء الذين يرسلون البيانات إلى النظام عادة. |
ملاحظات
- في حالة
AzurePublicالتدفقات والتدفقاتExternalPublic، يتم ملء عنوان IP الخاص بجهاز Azure الظاهري المملوك للعميل فيVMIP_sالحقل، بينما يتم ملء عناوين IP العامة فيPublicIPs_sالحقل. بالنسبة لهذين النوعين من التدفق، يجب استخدامVMIP_sوPublicIPs_sبدلا منSrcIP_sوDestIP_s. بالنسبة لعناوين IP AzurePublic و ExternalPublic، نقوم بتجميع المزيد، بحيث يكون عدد السجلات التي تم استيعابها في مساحة عمل Log Analytics ضئيلا. (سيتم إهمال هذا الحقل. استخدم SrcIP_ DestIP_s اعتمادا على ما إذا كان الجهاز الظاهري هو المصدر أو الوجهة في التدفق). - يتم إلحاق بعض أسماء الحقول ب
_sأو_d، والتي لا تشير إلى المصدر والوجهة ولكنها تشير إلى سلسلة أنواع البيانات والالأرقام العشرية على التوالي. - استنادا إلى عناوين IP المتضمنة في التدفق، نقوم بتصنيف التدفقات إلى أنواع التدفق التالية:
IntraVNet: يوجد كلا عنواني IP في التدفق في نفس شبكة Azure الظاهرية.InterVNet: توجد عناوين IP في التدفق في شبكتين ظاهريتين مختلفتين من Azure.S2S(موقع إلى موقع): ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى شبكة العملاء (الموقع) المتصلة بالشبكة الظاهرية من خلال بوابة VPN أو ExpressRoute.P2S(نقطة إلى موقع): ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى شبكة العملاء (الموقع) المتصلة بشبكة Azure الظاهرية من خلال بوابة VPN.AzurePublic: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما عنوان IP الآخر هو عنوان IP عام ل Azure مملوك من قبل Microsoft. عناوين IP العامة المملوكة للعميل ليست جزءا من هذا النوع من التدفق. على سبيل المثال، سيتم تصنيف أي جهاز ظاهري مملوك للعميل يرسل نسبة استخدام الشبكة إلى خدمة Azure (نقطة نهاية التخزين) ضمن هذا النوع من التدفق.ExternalPublic: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما عنوان IP الآخر هو عنوان IP عام غير موجود في Azure ولا يتم الإبلاغ عنه على أنه ضار في موجزات ASC التي تستهلكها تحليلات نسبة استخدام الشبكة للفاصل الزمني للمعالجة بين "FlowIntervalStartTime_t" و"FlowIntervalEndTime_t".MaliciousFlow: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما عنوان IP الآخر هو عنوان IP عام غير موجود في Azure ويتم الإبلاغ عنه على أنه ضار في موجزات ASC التي تستهلكها تحليلات نسبة استخدام الشبكة للفاصل الزمني للمعالجة بين "FlowIntervalStartTime_t" و"FlowIntervalEndTime_t".UnknownPrivate: ينتمي أحد عناوين IP إلى شبكة Azure الظاهرية، بينما ينتمي عنوان IP الآخر إلى نطاق IP الخاص المحدد في RFC 1918 ولا يمكن تعيينه بواسطة تحليلات نسبة استخدام الشبكة إلى موقع مملوك للعميل أو شبكة Azure الظاهرية.Unknown: غير قادر على تعيين أي من عناوين IP في التدفق مع مخطط العميل في Azure والأماكن المحلية (الموقع).
المحتوى ذو الصلة
- لمعرفة المزيد حول تحليلات نسبة استخدام الشبكة، راجع نظرة عامة على تحليلات نسبة استخدام الشبكة.
- راجع الأسئلة المتداولة حول تحليلات نسبة استخدام الشبكة للحصول على إجابات على الأسئلة الأكثر شيوعا حول تحليلات نسبة استخدام الشبكة.