Análisis de tráficoTraffic Analytics

Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube.Traffic Analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. Análisis de tráfico permite analizar los registros de flujo del grupo de seguridad de red (NSG) de Network Watcher para proporcionar información sobre el flujo de tráfico en la nube de Azure.Traffic analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. Con Análisis de tráfico, puede:With traffic analytics, you can:

  • Visualizar la actividad de la red en las suscripciones de Azure e identificar las zonas activas.Visualize network activity across your Azure subscriptions and identify hot spots.
  • Identificar las amenazas de seguridad y proteger la red, con información sobre puertos abiertos, aplicaciones que intentan acceder a Internet y máquinas virtuales (VM) que se conectan a redes no autorizadas.Identify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Entender los patrones de flujo de tráfico entre regiones de Azure e Internet para optimizar el rendimiento y la capacidad de su implementación de red.Understand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • Identificar errores de configuración de red que dan lugar a errores de conexión.Pinpoint network misconfigurations leading to failed connections in your network.

Nota

Análisis de tráfico admite ahora la recopilación de datos de Registro de flujos de NSG a una frecuencia superior de 10 minutos.Traffic Analytics now supports collecting NSG Flow Logs data at a higher frequency of 10 mins

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Motivos para usar Análisis de tráficoWhy traffic analytics?

Es esencial supervisar, administrar y conocer su propia red para no poner en peligro la seguridad, el cumplimiento y el rendimiento.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Conocer su propio entorno es de gran importancia para protegerlo y optimizarlo.Knowing your own environment is of paramount importance to protect and optimize it. A menudo, es necesario conocer el estado actual de la red, quién se conecta, desde dónde se conecta, qué puertos están abiertos a Internet, el comportamiento esperado de la red, comportamientos irregulares de esta o picos repentinos de tráfico.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

Las redes en la nube son diferentes a las redes empresariales locales, en las que se dispone de enrutadores y conmutadores compatibles con Netflow u otro protocolo equivalente, que proporcionan una funcionalidad para recopilar el tráfico de red de IP según entra o sale de una interfaz de red.Cloud networks are different than on-premises enterprise networks, where you have netflow or equivalent protocol capable routers and switches, which provide the capability to collect IP network traffic as it enters or exits a network interface. Mediante el análisis de los datos de flujo de tráfico, puede crear un análisis del flujo y volumen del tráfico de red.By analyzing traffic flow data, you can build an analysis of network traffic flow and volume.

Las redes virtuales de Azure tienen registros de flujos de grupos de seguridad de red que le proporcionan información acerca del tráfico de IP de entrada y salida mediante un grupo de seguridad de red asociado a interfaces de red, máquinas virtuales o subredes individuales.Azure virtual networks have NSG flow logs, which provide you information about ingress and egress IP traffic through a Network Security Group associated to individual network interfaces, VMs, or subnets. Mediante el análisis de los registros de flujos del grupo de seguridad de red y la inserción de inteligencia de seguridad, topología y geografía, Análisis de tráfico puede proporcionarle información sobre el flujo de tráfico del entorno.By analyzing raw NSG flow logs, and inserting intelligence of security, topology, and geography, traffic analytics can provide you with insights into traffic flow in your environment. Análisis de tráfico proporciona información sobre los hosts de mayor comunicación, los protocolos de las aplicaciones de mayor comunicación, los pares de hosts interlocutores, el tráfico permitido o bloqueado, el tráfico de entrada o salida, los puertos abiertos a Internet, las reglas de bloqueo, la distribución del tráfico por centro de datos de Azure, la red virtual, las subredes o las redes no autorizadas.Traffic Analytics provides information such as most communicating hosts, most communicating application protocols, most conversing host pairs, allowed/blocked traffic, inbound/outbound traffic, open internet ports, most blocking rules, traffic distribution per Azure datacenter, virtual network, subnets, or, rogue networks.

Componentes clavesKey components

  • Grupo de seguridad de red (NSG) : contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de red a los recursos conectados a Azure Virtual Network.Network security group (NSG): Contains a list of security rules that allow or deny network traffic to resources connected to an Azure Virtual Network. Los grupos de seguridad de red se pueden asociar a subredes, máquinas virtuales individuales (clásicas) o interfaces de red (NIC) individuales conectadas a máquinas virtuales (Resource Manager).NSGs can be associated to subnets, individual VMs (classic), or individual network interfaces (NIC) attached to VMs (Resource Manager). Para más información, consulte Introducción a los grupos de seguridad de red.For more information, see Network security group overview.
  • Registros de flujo de los grupos de seguridad de red (NSG) : Le permiten ver información acerca del tráfico IP de entrada y salida que pasa por un grupo de seguridad de red.Network security group (NSG) flow logs: Allow you to view information about ingress and egress IP traffic through a network security group. Estos registros de flujo se escriben en formato JSON y muestran los flujos de entrada y salida en función de cada regla, la NIC a la que se aplica el flujo, información de cinco tuplas sobre el flujo (dirección IP de origen o destino, puerto de origen o destino y protocolo), y si se permitió o denegó el tráfico.NSG flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, five-tuple information about the flow (source/destination IP address, source/destination port, and protocol), and if the traffic was allowed or denied. Para más información acerca de los registros de flujos de un grupo de seguridad de red, consulte Introducción a los registros de flujo de grupos de seguridad de red.For more information about NSG flow logs, see NSG flow logs.
  • Log Analytics: servicio de Azure que recopila datos de supervisión y los almacena los datos en un repositorio central.Log Analytics: An Azure service that collects monitoring data and stores the data in a central repository. Estos datos pueden incluir eventos, datos de rendimiento o datos personalizados proporcionados mediante la API de Azure.This data can include events, performance data, or custom data provided through the Azure API. Una vez recopilados, los datos están disponibles para las alertas, el análisis y la exportación.Once collected, the data is available for alerting, analysis, and export. Las aplicaciones de supervisión, como Network Performance Monitor y el análisis de tráfico, se crean con registros de Azure Monitor como base.Monitoring applications such as network performance monitor and traffic analytics are built using Azure Monitor logs as a foundation. Para más información, consulte los registros de Azure Monitor.For more information, see Azure Monitor logs.
  • Área de trabajo de Log Analytics: instancia de los registros de Azure Monitor en la que se almacenan los datos pertenecientes a una cuenta de Azure.Log Analytics workspace: An instance of Azure Monitor logs, where the data pertaining to an Azure account, is stored. Para más información sobre las áreas de trabajo de Log Analytics, consulte Creación de un área de trabajo de Log Analytics.For more information about Log Analytics workspaces, see Create a Log Analytics workspace.
  • Network Watcher: servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red en Azure.Network Watcher: A regional service that enables you to monitor and diagnose conditions at a network scenario level in Azure. Puede activar y desactivar los registros de flujo del grupo de seguridad de red con Network Watcher.You can turn NSG flow logs on and off with Network Watcher. Para más información, consulte Network Watcher.For more information, see Network Watcher.

Funcionamiento de Análisis de tráficoHow traffic analytics works

Análisis de tráfico examina los registros de flujo sin formato del grupo de seguridad de red y captura los registros reducidos agregando los flujos habituales en la misma dirección IP de origen, IP de destino, puerto de destino y protocolo.Traffic analytics examines the raw NSG flow logs and captures reduced logs by aggregating common flows among the same source IP address, destination IP address, destination port, and protocol. Por ejemplo, Host 1 (dirección IP: 10.10.10.10) se comunica con Host 2 (dirección IP: 10.10.20.10), cien veces durante un período de una hora mediante un puerto (por ejemplo, 80) y un protocolo (por ejemplo, http).For example, Host 1 (IP address: 10.10.10.10) communicating to Host 2 (IP address: 10.10.20.10), 100 times over a period of 1 hour using port (for example, 80) and protocol (for example, http). El registro reducido tiene una entrada que indica que el Host 1 y el Host 2 se comunicaron 100 veces durante un período de 1 hora mediante el puerto 80 y el protocolo HTTP, en lugar de incluir 100 entradas.The reduced log has one entry, that Host 1 & Host 2 communicated 100 times over a period of 1 hour using port 80 and protocol HTTP, instead of having 100 entries. Los registros reducidos se mejoran con información sobre geografía, seguridad y topología y, a continuación, se almacenan en un área de trabajo de Log Analytics.Reduced logs are enhanced with geography, security, and topology information, and then stored in a Log Analytics workspace. La siguiente imagen muestra el flujo de datos:The following picture shows the data flow:

Flujo de datos del procesamiento de registros de flujo del grupo de seguridad de red

Regiones admitidas: Grupo de seguridad de redSupported regions: NSG

Puede usar Análisis de tráfico para los NSG en cualquiera de las siguientes regiones admitidas:You can use traffic analytics for NSGs in any of the following supported regions:

  • Centro de CanadáCanada Central
  • Centro occidental de EE.UU.West Central US
  • East USEast US
  • Este de EE. UU. 2East US 2
  • Centro-Norte de EE. UUNorth Central US
  • Centro-Sur de EE. UUSouth Central US
  • Centro de EE. UU.Central US
  • Oeste de EE. UU.West US
  • Oeste de EE. UU. 2West US 2
  • Centro de FranciaFrance Central
  • Europa occidentalWest Europe
  • Europa del NorteNorth Europe
  • Sur de BrasilBrazil South
  • Oeste de Reino UnidoUK West
  • Sur de Reino Unido 2UK South
  • Este de AustraliaAustralia East
  • Sudeste de AustraliaAustralia Southeast
  • Asia orientalEast Asia
  • Sudeste asiáticoSoutheast Asia
  • Corea CentralKorea Central
  • India CentralCentral India
  • Sur de la IndiaSouth India
  • Este de JapónJapan East
  • Oeste de JapónJapan West
  • Gobierno de EE. UU. - VirginiaUS Gov Virginia

Regiones admitidas: Áreas de trabajo de Log AnalyticsSupported regions: Log Analytics Workspaces

El área de trabajo de Log Analytics debe existir en las siguientes regiones:The Log Analytics workspace must exist in the following regions:

  • Centro de CanadáCanada Central
  • Centro occidental de EE.UU.West Central US
  • East USEast US
  • Este de EE. UU. 2East US 2
  • Centro-Sur de EE. UUSouth Central US
  • Oeste de EE. UU.West US
  • Oeste de EE. UU. 2West US 2
  • Centro de EE. UU.Central US
  • Centro de FranciaFrance Central
  • Europa del NorteNorth Europe
  • Europa occidentalWest Europe
  • Sur de Reino Unido 2UK South
  • Este de AustraliaAustralia East
  • Sudeste de AustraliaAustralia Southeast
  • Asia orientalEast Asia
  • Sudeste asiáticoSoutheast Asia
  • Corea CentralKorea Central
  • India CentralCentral India
  • Este de JapónJapan East
  • Gobierno de EE. UU. - VirginiaUS Gov Virginia

Requisitos previosPrerequisites

Requisitos del acceso de usuarioUser access requirements

La cuenta debe ser miembro de uno de los siguientes roles integrados de Azure:Your account must be a member of one of the following Azure built-in roles:

Modelo de implementaciónDeployment model RoleRole
Resource ManagerResource Manager PropietarioOwner
ColaboradorContributor
LectorReader
Colaborador de la redNetwork Contributor

Si la cuenta no está asignada a uno de los roles integrados, se debe asignar a un rol personalizado que tenga asignadas las acciones siguientes en el nivel de suscripción:If your account is not assigned to one of the built-in roles, it must be assigned to a custom role that is assigned the following actions, at the subscription level:

  • "Microsoft.Network/applicationGateways/read""Microsoft.Network/applicationGateways/read"
  • "Microsoft.Network/connections/read""Microsoft.Network/connections/read"
  • "Microsoft.Network/loadBalancers/read""Microsoft.Network/loadBalancers/read"
  • "Microsoft.Network/localNetworkGateways/read""Microsoft.Network/localNetworkGateways/read"
  • "Microsoft.Network/networkInterfaces/read""Microsoft.Network/networkInterfaces/read"
  • "Microsoft.Network/networkSecurityGroups/read""Microsoft.Network/networkSecurityGroups/read"
  • "Microsoft.Network/publicIPAddresses/read""Microsoft.Network/publicIPAddresses/read"
  • "Microsoft.Network/routeTables/read""Microsoft.Network/routeTables/read"
  • "Microsoft.Network/virtualNetworkGateways/read""Microsoft.Network/virtualNetworkGateways/read"
  • "Microsoft.Network/virtualNetworks/read""Microsoft.Network/virtualNetworks/read"

Para información sobre cómo comprobar los permisos de acceso de usuario, consulte Preguntas más frecuentes de Análisis de tráfico.For information on how to check user access permissions, see Traffic analytics FAQ.

Habilitación de Network WatcherEnable Network Watcher

Para analizar el tráfico, debe tener una instancia de Network Watcher existente, o habilitar una instancia de Network Watcher en cada región en la que haya grupos de seguridad de red donde desee analizar el tráfico.To analyze traffic, you need to have an existing network watcher, or enable a network watcher in each region that you have NSGs that you want to analyze traffic for. Análisis de tráfico se puede habilitar para los grupos de seguridad de red hospedados en cualquiera de las regiones admitidas.Traffic analytics can be enabled for NSGs hosted in any of the supported regions.

Selección de un grupo de seguridad de redSelect a network security group

Antes de habilitar el registro de flujos del grupo de seguridad de red, debe tener un grupo de seguridad de red del que registrar los flujos.Before enabling NSG flow logging, you must have a network security group to log flows for. Si no tiene ningún grupo de seguridad de red, consulte Creación de grupos de seguridad de red para crear uno.If you don't have a network security group, see Create a network security group to create one.

En el lado izquierdo de Azure Portal, seleccione Monitor y, a continuación, Network Watchery, finalmente, Registro de flujos de NSG.On the left side of the Azure portal, select Monitor, then Network watcher, and then select NSG flow logs. Seleccione el grupo de seguridad de red para el que desee habilitar un registro de flujos, tal como se muestra en la siguiente imagen:Select the network security group that you want to enable an NSG flow log for, as shown in the following picture:

Selección de los grupos de seguridad de red que requieren la habilitación del registro de flujos de NSG

Si intenta habilitar Análisis de tráfico para un grupo de seguridad de red que se hospeda en una región distinta de las regiones admitidas, recibirá un error "No encontrado".If you try to enable traffic analytics for an NSG that is hosted in any region other than the supported regions, you receive a "Not found" error.

Habilitación de la configuración del flujo de registrosEnable flow log settings

Antes de habilitar la configuración del flujo de registro, debe completar las tareas siguientes:Before enabling flow log settings, you must complete the following tasks:

Registre el proveedor de Azure Insights, si aún no está registrado para su suscripción:Register the Azure Insights provider, if it's not already registered for your subscription:

Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Si aún no dispone de una cuenta de Azure Storage para almacenar los registros de flujos de los grupos de seguridad de red, debe crearla.If you don't already have an Azure Storage account to store NSG flow logs in, you must create a storage account. Puede crear una cuenta de almacenamiento con el comando siguiente.You can create a storage account with the command that follows. Antes de ejecutar el comando, reemplace <replace-with-your-unique-storage-account-name> por un nombre que sea exclusivo en todas las ubicaciones de Azure, de entre 3 y 24 caracteres de longitud y que use solo números y letras en minúsculas.Before running the command, replace <replace-with-your-unique-storage-account-name> with a name that is unique across all Azure locations, between 3-24 characters in length, using only numbers and lower-case letters. También puede cambiar el nombre del grupo de recursos si es necesario.You can also change the resource group name, if necessary.

New-AzStorageAccount `
  -Location westcentralus `
  -Name <replace-with-your-unique-storage-account-name> `
  -ResourceGroupName myResourceGroup `
  -SkuName Standard_LRS `
  -Kind StorageV2

Seleccione las opciones siguientes, tal y como se muestra en la imagen:Select the following options, as shown in the picture:

  1. En Estado, seleccione Activo.Select On for Status
  2. En Versión de los registros de flujo, seleccione Versión 2.Select Version 2 for Flow Logs version. La versión 2 contiene estadísticas de la sesión de flujo (Bytes y paquetes)Version 2 contains flow-session statistics (Bytes and Packets)
  3. Seleccione una cuenta de almacenamiento existente para almacenar los registros de flujos.Select an existing storage account to store the flow logs in. Si desea almacenar los datos de forma permanente, establezca el valor en 0.If you want to store the data forever, set the value to 0. Puede incurrir en gastos de Azure Storage por la cuenta de almacenamiento.You incur Azure Storage fees for the storage account. Asegúrese de que el almacenamiento no tenga el "espacio de nombres jerárquico de Data Lake Storage Gen2 habilitado" establecido en true.Ensure that your storage does not have "Data Lake Storage Gen2 Hierarchical Namespace Enabled" set to true. Además, los registros de flujos de los grupos de seguridad de red no se pueden almacenar en una cuenta de Storage con un firewall.Also, NSG Flow Logs cannot be stored in a Storage Account with a Firewall.
  4. Establezca Retención en el número de días que desea almacenar los datos.Set Retention to the number of days you want to store data for.

Importante

Actualmente existe un problema por el que los registros de flujo del grupo de seguridad de red (NSG) en Network Watcher no se eliminan automáticamente del almacenamiento de blobs en función de la configuración de la directiva de retención.Currently, there’s an issue where network security group (NSG) flow logs for Network Watcher are not automatically deleted from Blob storage based on retention policy settings. Si tiene una directiva de retención distinta de cero, recomendamos que elimine periódicamente los blobs de almacenamiento que superen el período de retención para evitar recargos.If you have an existing non-zero retention policy, we recommend that you periodically delete the storage blobs that are past their retention period to avoid any incurring charges. Para obtener más información sobre cómo eliminar el blob de almacenamiento de registros de flujo de NSG, consulte Eliminación de los blobs de almacenamiento de los registros de flujo de NSG.For more information about how to delete the NSG flow log storage blog, see Delete NSG flow log storage blobs.

  1. Seleccione Activo en Estado de Análisis de tráfico.Select On for Traffic Analytics Status.
  2. Seleccione el intervalo de procesamiento.Select processing interval. En función de su elección, los registros de flujos se recopilan de la cuenta de almacenamiento y se procesan mediante Análisis de tráfico.Based on your choice, flow logs will be collected from storage account and processed by Traffic Analytics. Puede elegir el intervalo de procesamiento de cada hora o cada 10 minutos.You can choose processing interval of every 1 hour or every 10 mins.
  3. Seleccione un área de trabajo de Log Analytics (OMS) existente o seleccione Crear área de trabajo nueva para crear una.Select an existing Log Analytics (OMS) Workspace, or select Create New Workspace to create a new one. Análisis de tráfico usa un área de trabajo de Log Analytics para almacenar los datos agregados e indexados que se emplean posteriormente para generar los análisis.A Log Analytics workspace is used by Traffic Analytics to store the aggregated and indexed data that is then used to generate the analytics. Si selecciona un área de trabajo existente, esta debe estar en una de las regiones admitidas y se debe haber actualizado al nuevo lenguaje de consulta.If you select an existing workspace, it must exist in one of the supported regions and have been upgraded to the new query language. Si no desea actualizar un área de trabajo existente, o no tiene ninguna en una región admitida, cree una nueva.If you do not wish to upgrade an existing workspace, or do not have a workspace in a supported region, create a new one. Para más información sobre los lenguajes de consulta, consulte Actualización de Azure Log Analytics para la nueva búsqueda de registros.For more information about query languages, see Azure Log Analytics upgrade to new log search.

Nota

No es necesario que el área de trabajo de Log Analytics que hospeda la solución Análisis de tráfico y los grupos de seguridad de red estén en la misma región.The log analytics workspace hosting the traffic analytics solution and the NSGs do not have to be in the same region. Por ejemplo, puede tener Análisis de tráfico en un área de trabajo de la región Europa Occidental y, en cambio, tener los grupos de seguridad de red en las regiones Este de EE. UU. y Oeste de EE. UU.For example, you may have traffic analytics in a workspace in the West Europe region, while you may have NSGs in East US and West US. Se pueden configurar varios grupos de seguridad de red en la misma área de trabajo.Multiple NSGs can be configured in the same workspace.

  1. Seleccione Guardar.Select Save.

    Selección de cuenta de almacenamiento, área de trabajo de Log Analytics y habilitación de Análisis de tráfico

Repita los pasos anteriores con todos los demás grupos de seguridad de red para los que desee habilitar Análisis de tráfico.Repeat the previous steps for any other NSGs for which you wish to enable traffic analytics for. Los datos de los registros de flujos se envían al área de trabajo, por tanto, asegúrese de que las leyes y reglamentos locales de su país permiten el almacenamiento de datos en la región donde existe el área de trabajo.Data from flow logs is sent to the workspace, so ensure that the local laws and regulations in your country permit data storage in the region where the workspace exists. Si ha establecido intervalos de procesamiento diferentes para NSG diferentes, los datos se recopilarán en distintos intervalos.If you have set different processing intervals for different NSGs, data will be collected at different intervals. Por ejemplo: Puede optar por habilitar el intervalo de procesamiento de 10 minutos para redes virtuales críticas y el de una hora para redes virtuales no críticas.For example: You can choose to enable processing interval of 10 mins for critical VNETs and 1 hour for noncritical VNETs.

También puede configurar el análisis de tráfico mediante el cmdlet Set-AzNetworkWatcherConfigFlowLog de PowerShell en Azure PowerShell.You can also configure traffic analytics using the Set-AzNetworkWatcherConfigFlowLog PowerShell cmdlet in Azure PowerShell. Ejecute Get-Module -ListAvailable Az para buscar la versión instalada.Run Get-Module -ListAvailable Az to find your installed version. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell.If you need to upgrade, see Install Azure PowerShell module.

Visualización de Análisis de tráficoView traffic analytics

A la izquierda del portal, seleccione Todos los servicios y, a continuación, escriba Monitor en el cuadro de filtro.On the left-side of the portal, select All services, then enter Monitor in the Filter box. Seleccione Monitor cuando aparezca en los resultados de búsqueda.When Monitor appears in the search results, select it. Para empezar a explorar Análisis de tráfico y sus funcionalidades, seleccione Network Watcher y, a continuación, Análisis de tráfico.To start exploring traffic analytics and its capabilities, select Network watcher, then Traffic Analytics.

Acceso al panel de Análisis de tráfico

Puede que el panel tarde hasta 30 minutos en aparecer por primera vez, ya que Análisis de tráfico debe primero agregar los suficientes datos para poder proporcionar datos significativos y antes de que pueda generar ningún tipo de informe.The dashboard may take up to 30 minutes to appear the first time because Traffic Analytics must first aggregate enough data for it to derive meaningful insights, before it can generate any reports.

Escenarios de usoUsage scenarios

Algunas de las informaciones detalladas que puede obtener una vez que Análisis de tráfico está totalmente configurada son las siguientes:Some of the insights you might want to gain after Traffic Analytics is fully configured, are as follows:

Búsqueda de zonas activas de tráficoFind traffic hotspots

¿Qué buscar?Look for

  • ¿Qué hosts, subredes y máquinas virtuales envían o reciben la mayor parte del tráfico, recorren el máximo de tráfico malintencionado y bloquean flujos considerables?Which hosts, subnets, and virtual networks are sending or receiving the most traffic, traversing maximum malicious traffic and blocking significant flows?

    • Revise el gráfico de comparación para host, subred y máquina virtual.Check comparative chart for host, subnet, and virtual network. Conocer los hosts, las subredes y las máquinas virtuales que envían o reciben más tráfico puede ayudarlo a identificar cuáles son los hosts que procesan la mayor parte del tráfico y si la distribución del tráfico se realiza correctamente.Understanding which hosts, subnets, and virtual networks are sending or receiving the most traffic can help you identify the hosts that are processing the most traffic, and whether the traffic distribution is done properly.
    • Puede evaluar si el volumen de tráfico es adecuado para un host.You can evaluate if the volume of traffic is appropriate for a host. ¿Tiene el volumen de tráfico un comportamiento normal o requiere una investigación más exhaustiva?Is the volume of traffic normal behavior, or does it merit further investigation?
  • ¿Cuánto tráfico entrante y saliente hay?How much inbound/outbound traffic is there?

    • ¿Se espera que el host reciba más tráfico de entrada que de salida, o viceversa?Is the host expected to receive more inbound traffic than outbound, or vice-versa?
  • Estadísticas del tráfico bloqueado.Statistics of blocked traffic.

    • ¿Por qué un host bloquea un volumen significativo de tráfico benigno?Why is a host blocking a significant volume of benign traffic? Este comportamiento requiere más investigación y probablemente se deba optimizar la configuración.This behavior requires further investigation and probably optimization of configuration
  • Estadísticas de tráfico malintencionado permitido o bloqueadoStatistics of malicious allowed/blocked traffic

    • ¿Por qué un host recibe tráfico malintencionado y por qué se permiten flujos provenientes de un origen malintencionado?Why is a host receiving malicious traffic and why flows from malicious source is allowed? Este comportamiento requiere más investigación y probablemente se deba optimizar la configuración.This behavior requires further investigation and probably optimization of configuration.

      Seleccione Ver todo en Host, como se muestra en la imagen siguiente:Select See all, under Host, as shown in the following picture:

      Panel que muestra información sobre los hosts con más tráfico

  • En la siguiente imagen se muestran las tendencias temporales de los cinco hosts con mayor comunicación y los detalles relacionados con los flujos (flujos de entrada o salida permitidos o denegados) de un host:The following picture shows time trending for the top five talking hosts and the flow-related details (allowed – inbound/outbound and denied - inbound/outbound flows) for a host:

    Tendencias de los cinco hosts con mayor comunicación

¿Qué buscar?Look for

  • ¿Cuáles son los pares de hosts con más interlocuciones?Which are the most conversing host pairs?

    • Comportamiento esperado del tipo comunicación entre front-end y back-end, o comportamiento irregular como tráfico de back-end a Internet.Expected behavior like front-end or back-end communication or irregular behavior, like back-end internet traffic.
  • Estadísticas del tráfico permitido o bloqueadoStatistics of allowed/blocked traffic

    • ¿Por qué un host permite o bloquea un volumen de tráfico significativo?Why a host is allowing or blocking significant traffic volume
  • El protocolo de aplicación usado con mayor frecuencia entre los pares de hosts con más interlocuciones:Most frequently used application protocol among most conversing host pairs:

    • ¿Se permiten estas aplicaciones en esta red?Are these applications allowed on this network?

    • ¿Están las aplicaciones configuradas correctamente?Are the applications configured properly? ¿Usan el protocolo adecuado para la comunicación?Are they using the appropriate protocol for communication? Seleccione Ver todo en Frequent conversation (Conversación frecuente), como se muestra en la imagen siguiente:Select See all under Frequent conversation, as show in the following picture:

      Panel que muestra la conversación más frecuente

  • En la siguiente imagen se muestran las tendencias temporales de las cinco principales conversaciones y los detalles relacionados con los flujos como, por ejemplo, los flujos de entrada o salida rechazados de un par de conversación:The following picture shows time trending for the top five conversations and the flow-related details such as allowed and denied inbound and outbound flows for a conversation pair:

    Tendencias y detalles de las cinco conversaciones principales

¿Qué buscar?Look for

  • ¿Qué protocolo de aplicación se usa con más frecuencia en su entorno, y qué pares de hosts interlocutores lo usan más frecuentemente?Which application protocol is most used in your environment, and which conversing host pairs are using the application protocol the most?

    • ¿Se permiten estas aplicaciones en esta red?Are these applications allowed on this network?

    • ¿Están las aplicaciones configuradas correctamente?Are the applications configured properly? ¿Usan el protocolo adecuado para la comunicación?Are they using the appropriate protocol for communication? Los puertos más habituales en un comportamiento esperado son el 80 y el 443.Expected behavior is common ports such as 80 and 443. Para la comunicación estándar, si aparecen puertos no usuales, puede que sea necesario un cambio de configuración.For standard communication, if any unusual ports are displayed, they might require a configuration change. Seleccione Ver todo en Application port (Puerto de la aplicación), como se muestra en la imagen siguiente:Select See all under Application port, in the following picture:

      Panel que muestra los protocolos de aplicaciones principales

  • Las siguientes imágenes muestran las tendencias temporales de los cinco principales protocolos de nivel 7 y los detalles relacionados con los flujos (por ejemplo, flujos permitidos y rechazados) de un protocolo de nivel 7:The following pictures show time trending for the top five L7 protocols and the flow-related details (for example, allowed and denied flows) for an L7 protocol:

    Detalles y tendencias de los cinco principales protocolos de nivel 7

    Detalles de los flujos del protocolo de aplicación para la búsqueda de registros

¿Qué buscar?Look for

  • Tendencias de uso de la capacidad de una puerta de enlace VPN en su entorno.Capacity utilization trends of a VPN gateway in your environment.

    • Cada SKU de VPN permite una determinada cantidad de ancho de banda.Each VPN SKU allows a certain amount of bandwidth. ¿Se usan poco las puertas de enlace de VPN?Are the VPN gateways underutilized?
    • ¿Están las puertas de enlace alcanzando el límite?Are your gateways reaching capacity? ¿Se debe actualizar a la siguiente SKU superior?Should you upgrade to the next higher SKU?
  • ¿Cuáles son los hosts con más interlocuciones, a través de qué puerta de enlace de VPN y a través de qué puerto?Which are the most conversing hosts, via which VPN gateway, over which port?

    • ¿Es normal este patrón?Is this pattern normal? Seleccione Ver todo en VPN Gateway (Puerta de enlace de VPN), como se muestra en la imagen siguiente:Select See all under VPN gateway, as shown in the following picture:

      Panel que muestra las principales conexiones de VPN

  • La siguiente imagen muestra las tendencias temporales del uso de la capacidad para una instancia de Azure VPN Gateway y los detalles relacionados con los flujos (como, por ejemplo, los flujos y puertos permitidos):The following picture shows time trending for capacity utilization of an Azure VPN Gateway and the flow-related details (such as allowed flows and ports):

    Tendencias de uso y detalles de flujos de VPN Gateway

Visualización de la distribución del tráfico por geografíaVisualize traffic distribution by geography

¿Qué buscar?Look for

  • La distribución del tráfico por centro de datos como, por ejemplo, los principales orígenes del tráfico a un centro de datos, las principales redes no autorizadas que conversan con el centro de datos y los principales protocolos de aplicaciones de conversación.Traffic distribution per data center such as top sources of traffic to a datacenter, top rogue networks conversing with the data center, and top conversing application protocols.

    • Si observa más carga en un centro de datos, puede planear una distribución del tráfico más eficaz.If you observe more load on a data center, you can plan for efficient traffic distribution.

    • Si hay redes no autorizadas conversando en el centro de datos, corrija las reglas del grupo de seguridad de red para bloquearlas.If rogue networks are conversing in the data center, then correct NSG rules to block them.

      Seleccione Ver mapa en Your environment (Su entorno), como se muestra en la imagen siguiente:Select View map under Your environment, as shown in the following picture:

      Panel que muestra la distribución de tráfico

  • El mapa geográfico muestra la cinta de opciones superior para la selección de parámetros, como los centros de datos (implementados, sin implementación, activos, inactivos, análisis de tráfico habilitado, análisis de tráfico no habilitado) y los países o regiones que contribuyen con tráfico inofensivo o malintencionado a la implementación activa:The geo-map shows the top ribbon for selection of parameters such as data centers (Deployed/No-deployment/Active/Inactive/Traffic Analytics Enabled/Traffic Analytics Not Enabled) and countries/regions contributing Benign/Malicious traffic to the active deployment:

    Vista de un mapa geográfico que muestra la implementación activa

  • El mapa geográfico muestra la distribución del tráfico a un centro de datos desde países, regiones y continentes que se comunican con él mediante líneas de color azul (tráfico inofensivo) y de color rojo (tráfico malintencionado):The geo-map shows the traffic distribution to a data center from countries/regions and continents communicating to it in blue (Benign traffic) and red (malicious traffic) colored lines:

    Vista de mapa geográfico que muestra una distribución del tráfico a países, regiones y continentes

    Detalles de flujos para la distribución de tráfico en búsqueda de registros

Visualización de la distribución del tráfico por redes virtualesVisualize traffic distribution by virtual networks

¿Qué buscar?Look for

  • La distribución del tráfico por red virtual, la topología, los principales orígenes de tráfico a la red virtual, las principales redes no autorizadas que conversan con la red virtual y los principales protocolos de aplicaciones de conversación.Traffic distribution per virtual network, topology, top sources of traffic to the virtual network, top rogue networks conversing to the virtual network, and top conversing application protocols.

    • Saber qué red virtual está conversando con qué red virtual.Knowing which virtual network is conversing to which virtual network. Si no es una conversación esperada, esto se puede corregir.If the conversation is not expected, it can be corrected.

    • Si algunas redes no autorizadas conversan con una red virtual, puede corregir las reglas del grupo de seguridad de red para bloquear esas redes.If rogue networks are conversing with a virtual network, you can correct NSG rules to block the rogue networks.

      Seleccione Ver redes virtuales en Your environment (Su entorno), como se muestra en la imagen siguiente:Select View VNets under Your environment, as shown in the following picture:

      Panel que muestra la distribución de redes virtuales

  • La topología de red virtual muestra la cinta de opciones superior para la selección de parámetros como las conexiones entre redes virtuales activas o inactivas, o las conexiones externas, los flujos activos y los flujos malintencionados de la red virtual.The Virtual Network Topology shows the top ribbon for selection of parameters like a virtual network’s (Inter virtual network Connections/Active/Inactive), External Connections, Active Flows, and Malicious flows of the virtual network.

  • La topología de red virtual se puede filtrar por suscripciones, áreas de trabajo, grupos de recursos y el intervalo de tiempo.You can filter the Virtual Network Topology based on subscriptions, workspaces, resource groups and time interval. Los filtros adicionales que le ayudarán a conocer el flujo son: Tipo de flujo (entre redes virtuales, dentro de la red virtual, etc), dirección de flujo (entrante, saliente), estado de flujo (permitido, bloqueado), redes virtuales (destino y conectado), tipo de conexión (emparejamiento o puerta de enlace: P2S y S2S) y grupo de seguridad de red.Additional filters that help you understand the flow are: Flow Type (InterVNet, IntraVNET, and so on), Flow Direction (Inbound, Outbound), Flow Status (Allowed, Blocked), VNETs (Targeted and Connected), Connection Type (Peering or Gateway - P2S and S2S), and NSG. Utilice estos filtros para centrarse en las redes virtuales que desea examinar con detalle.Use these filters to focus on VNets that you want to examine in detail.

  • La topología de red virtual muestra la distribución del tráfico hacia una red virtual en relación con los flujos (Permitidos, bloqueados, entrantes, salientes, inofensivos o malintencionados), los protocolos de aplicación y los grupos de seguridad de red, por ejemplo:The Virtual Network Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and network security groups, for example:

    Topología de red virtual que muestra la distribución del tráfico y los detalles del flujo

    Topología de red virtual que muestra los filtros de nivel superior y otros

    Detalles de flujos para la distribución del tráfico de red virtual en búsqueda de registros

¿Qué buscar?Look for

  • La distribución del tráfico por subred, la topología, los principales orígenes de tráfico a la subred, las principales redes no autorizadas que conversan con la subred y los principales protocolos de aplicaciones de conversación.Traffic distribution per subnet, topology, top sources of traffic to the subnet, top rogue networks conversing to the subnet, and top conversing application protocols.

    • Sepa qué subred está conversando con qué subred.Knowing which subnet is conversing to which subnet. Si ve conversaciones inesperadas, puede corregir la configuración.If you see unexpected conversations, you can correct your configuration.
    • Si hay redes no autorizadas conversando con una subred, podrá solucionarlo corrigiendo la configuración de las reglas del grupo de seguridad de red para bloquear las redes no autorizadas.If rogue networks are conversing with a subnet, you are able to correct it by configuring NSG rules to block the rogue networks.
  • La topología de subredes muestra la cinta de opciones superior para la selección de parámetros como los de subred activa o inactiva, conexiones externas, flujos activos y flujos malintencionados de la subred.The Subnets Topology shows the top ribbon for selection of parameters such as Active/Inactive subnet, External Connections, Active Flows, and Malicious flows of the subnet.

  • La topología de subred muestra la distribución del tráfico hacia una red virtual en relación con los flujos (Permitidos, bloqueados, entrantes, salientes, inofensivos o malintencionados), los protocolos de aplicación y los grupos de seguridad de red, por ejemplo:The Subnet Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and NSGs, for example:

    Topología de subred que muestra la distribución de tráfico hacia una subred de red virtual en relación con los flujos

¿Qué buscar?Look for

La distribución del tráfico por Application Gateway y Load Balancer, la topología, los principales orígenes de tráfico, las principales redes no autorizadas que conversan con Application Gateway y Load Balancer y los principales protocolos de aplicaciones de conversación.Traffic distribution per Application gateway & Load Balancer, topology, top sources of traffic, top rogue networks conversing to the Application gateway & Load Balancer, and top conversing application protocols.

  • Sepa qué subred conversa con qué instancia de Application Gateway o Load Balancer.Knowing which subnet is conversing to which Application gateway or Load Balancer. Si observa conversaciones inesperadas, puede corregir la configuración.If you observe unexpected conversations, you can correct your configuration.

  • Si hay redes no autorizadas que conversan con una instancia de Application Gateway o Load Balancer, podrá corregirlo si configura las reglas del grupo de seguridad de red para bloquear las redes no autorizadas.If rogue networks are conversing with an Application gateway or Load Balancer, you are able to correct it by configuring NSG rules to block the rogue networks.

    subnet-topology-showcasing-traffic-distribution-to-a-application-gateway-subnet-with-regards-to-flows

Visualización de los puertos y máquinas virtuales que reciben tráfico desde InternetView ports and virtual machines receiving traffic from the internet

¿Qué buscar?Look for

  • ¿Qué puertos abiertos mantienen conversaciones a través de Internet?Which open ports are conversing over the internet?
    • Si se encuentran abiertos puertos inesperados, puede corregir la configuración:If unexpected ports are found open, you can correct your configuration:

      Panel que muestra puertos recibiendo y enviando tráfico a Internet

      Detalles de puertos y hosts de destino de Azure

¿Qué buscar?Look for

¿Tiene tráfico malintencionado en su entorno?Do you have malicious traffic in your environment? ¿Desde dónde se origina?Where is it originating from? ¿Cuál es su destino?Where is it destined to?

Detalles de flujos de tráfico malintencionado en búsqueda de registros

¿Qué buscar?Look for

  • ¿Qué grupos de seguridad de red o reglas de grupo de seguridad de red tienen la mayor cantidad de coincidencias en el gráfico comparativo con la distribución de flujos?Which NSG/NSG rules have the most hits in comparative chart with flows distribution?

  • ¿Cuáles son los pares de conversación de origen y destino principales por grupo de seguridad de red o reglas de grupo de seguridad de red?What are the top source and destination conversation pairs per NSG/NSG rules?

    Panel que muestra las estadísticas de coincidencias del grupo de seguridad de red

  • Las siguientes imágenes muestran las tendencias temporales de las coincidencias de regla del grupo de seguridad de red y los detalles de flujo de origen y destino para un grupo de seguridad de red:The following pictures show time trending for hits of NSG rules and source-destination flow details for a network security group:

    • Detecte rápida qué grupos de seguridad de red o qué reglas de grupo de seguridad de red recorren los flujos malintencionados y cuáles son las principales direcciones IP malintencionadas que acceden al entorno de nubeQuickly detect which NSGs and NSG rules are traversing malicious flows and which are the top malicious IP addresses accessing your cloud environment

    • Identifique qué grupos de seguridad de red o qué reglas de grupo de seguridad de red permiten o bloquean un tráfico de red significativoIdentify which NSG/NSG rules are allowing/blocking significant network traffic

    • Seleccione los principales filtros para la inspección pormenorizada de un grupo de seguridad de red o de reglas de grupo de seguridad de redSelect top filters for granular inspection of an NSG or NSG rules

      Panel que muestra las tendencias temporales de coincidencias de reglas del grupo de seguridad de red y las principales reglas

      Detalles sobre estadísticas de las principales reglas del grupo de seguridad de red

Preguntas más frecuentesFrequently asked questions

Para obtener respuestas a las preguntas más frecuentes, consulte Preguntas más frecuentes de Análisis de tráfico.To get answers to frequently asked questions, see Traffic analytics FAQ.

Pasos siguientesNext steps