Schema di analisi del traffico e aggregazione dei dati
Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. Analisi del traffico analizza i log dei flussi di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:
- Visualizzare l'attività della rete nelle sottoscrizioni di Azure e identificare le aree sensibili.
- Identificare le minacce alla sicurezza e proteggere la rete, con informazioni quali porte aperte, applicazioni che tentano l'accesso a Internet e macchine virtuali (VM) che si connettono a reti non autorizzate.
- Conoscere i modelli di flusso di traffico nelle aree di Azure e in Internet per ottimizzare le prestazioni e la capacità della distribuzione della rete.
- Trovare le configurazioni di rete errate che comportano connessioni non riuscite nella rete.
- Conoscere l'utilizzo della rete in byte, pacchetti o flussi.
Aggregazione dei dati
- Tutti i log di flusso in un gruppo di sicurezza di rete tra
FlowIntervalStartTime_t
eFlowIntervalEndTime_t
vengono acquisiti a intervalli di un minuto come BLOB in un account di archiviazione. - L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ovvero ogni ora l'analisi del traffico seleziona i BLOB dall'account di archiviazione per l'aggregazione. Tuttavia, se viene selezionato un intervallo di elaborazione di 10 minuti, analisi del traffico selezionerà invece i BLOB dall'account di archiviazione ogni 10 minuti.
- I flussi con gli stessi
Source IP
flussi ,Destination IP
,NSG name
Destination port
NSG rule
, , ,Flow Direction
eTransport layer protocol (TCP or UDP)
vengono suddivisi in un singolo flusso tramite l'analisi del traffico (nota: la porta di origine è esclusa per l'aggregazione). - Questo singolo record è decorato (dettagli nella sezione seguente) e inserito nei log di Monitoraggio di Azure dall'analisi del traffico. Questo processo può richiedere fino a 1 ora.
FlowStartTime_t
field indica la prima occorrenza di tale flusso aggregato (stessa tupla a quattro tuple) nell'intervallo di elaborazione del log di flusso traFlowIntervalStartTime_t
eFlowIntervalEndTime_t
.- Per qualsiasi risorsa nell'analisi del traffico, i flussi indicati nella portale di Azure sono flussi totali visualizzati dal gruppo di sicurezza di rete, ma nei log di Monitoraggio di Azure l'utente vede solo il singolo record ridotto. Per visualizzare tutti i flussi, usare il
blob_id
campo a cui è possibile fare riferimento dalla risorsa di archiviazione. Il numero totale di flussi per tale record corrisponde ai singoli flussi visualizzati nel BLOB.
La query seguente consente di esaminare tutte le subnet che interagiscono con indirizzi IP pubblici non di Azure negli ultimi 30 giorni.
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s
Per visualizzare il percorso BLOB per i flussi nella query precedente, usare la query seguente:
let TableWithBlobId =
(AzureNetworkAnalytics_CL
| where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
| extend binTime = bin(TimeProcessed_t, 6h),
nsgId = strcat(Subscription_g, "/", Name_s),
saNameSplit = split(FlowLogStorageAccount_s, "/")
| extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
| distinct nsgId, saName, binTime)
| join kind = rightouter (
AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog"
| extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
"@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
"/RESOURCEGROUPS/", nsgComponents[1],
"/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
"/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
"/m=00/macAddress=", replace(@"-", "", MACAddress_s),
"/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;
TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath
La query precedente costruisce un URL per accedere direttamente al BLOB. L'URL con segnaposto è il seguente:
https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Schema di analisi del traffico
L'analisi del traffico si basa sui log di Monitoraggio di Azure, quindi è possibile eseguire query personalizzate sui dati decorati dall'analisi del traffico e impostare avvisi.
Nella tabella seguente sono elencati i campi nello schema e le informazioni che indicano per i log dei flussi dei gruppi di sicurezza di rete.
Campo | Formato | Commenti |
---|---|---|
TableName | AzureNetworkAnalytics_CL | Tabella per i dati di analisi del traffico. |
SubType_s | FlowLog | Sottotipo per i log del flusso. Usare solo FlowLog, altri valori di SubType_s sono destinati all'uso interno. |
FASchemaVersion_s | 2 | Versione dello schema. Non riflette la versione del log del flusso del gruppo di sicurezza di rete. |
TimeProcessed_t | Data e ora in formato UTC | Ora in cui l'analisi del traffico ha elaborato i log del flusso non elaborato dall'account di archiviazione. |
FlowIntervalStartTime_t | Data e ora in formato UTC | Ora di inizio dell'intervallo di elaborazione del log del flusso (tempo da cui viene misurato l'intervallo di flusso). |
FlowIntervalEndTime_t | Data e ora in formato UTC | Ora di fine dell'intervallo di elaborazione del log di flusso. |
FlowStartTime_t | Data e ora in formato UTC | Prima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime_t e FlowIntervalEndTime_t . Questo flusso viene aggregato in base alla logica di aggregazione. |
FlowEndTime_t | Data e ora in formato UTC | Ultima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime_t e FlowIntervalEndTime_t . In termini di log di flusso v2, questo campo contiene l'ora in cui l'ultimo flusso con lo stesso quattro tuple è stato avviato (contrassegnato come B nel record di flusso non elaborato). |
FlowType_s | - IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Privato sconosciuto -Sconosciuto |
Vedere Note per le definizioni. |
SrcIP_s | Indirizzo IP di origine | Vuoto nei flussi AzurePublic ed ExternalPublic. |
DestIP_s | Indirizzo IP di destinazione | Vuoto nei flussi AzurePublic ed ExternalPublic. |
VMIP_s | IP della macchina virtuale | Usato per i flussi AzurePublic ed ExternalPublic. |
DestPort_d | Porta di destinazione | Porta in cui il traffico è in ingresso. |
L4Protocol_s | -T -U |
Protocollo di trasporto. T = TCP U = UDP. |
L7Protocol_s | Nome protocollo | Derivato dalla porta di destinazione. |
FlowDirection_s | - I = In ingresso - O = In uscita |
Direzione del flusso: all'interno o all'esterno del gruppo di sicurezza di rete per ogni log del flusso. |
FlowStatus_s | - A = Consentito - D = Negato |
Stato del flusso consentito o negato dal gruppo di sicurezza di rete per ogni log del flusso. |
NSGList_s | <SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME> | Gruppo di sicurezza di rete associato al flusso. |
NSGRules_s | <Valore di indice 0>|<>NSG_RULENAME|<Direzione> del flusso |<Stato> flusso |<FlowCount ProcessedByRule> | Regola del gruppo di sicurezza di rete che ha consentito o negato questo flusso. |
NSGRule_s | NSG_RULENAME | Regola del gruppo di sicurezza di rete che ha consentito o negato questo flusso. |
NSGRuleType_s | - Definito dall'utente - Predefinito |
Tipo di regola del gruppo di sicurezza di rete utilizzato dal flusso. |
MACAddress_s | Indirizzo MAC | Indirizzo MAC della scheda di interfaccia di rete in cui è stato acquisito il flusso. |
Subscription_g | La sottoscrizione della rete virtuale di Azure/interfaccia di rete/macchina virtuale viene popolata in questo campo | Applicabile solo per i tipi di flusso FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow e UnknownPrivate (tipi di flusso in cui solo un lato è Azure). |
Subscription1_g | ID sottoscrizione | ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso. |
Subscription2_g | ID sottoscrizione | ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso. |
Region_s | Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP nel flusso. | Applicabile solo per i tipi di flusso FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow e UnknownPrivate (tipi di flusso in cui solo un lato è Azure). |
Region1_s | Area di Azure | Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso. |
Region2_s | Area di Azure | Area di Azure della rete virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso. |
NIC_s | <>resourcegroup_Name/<NetworkInterfaceName> | Scheda di interfaccia di rete associata alla macchina virtuale che invia o riceve il traffico. |
NIC1_s | <>resourcegroup_Name/<NetworkInterfaceName> | Scheda di interfaccia di rete associata all'indirizzo IP di origine nel flusso. |
NIC2_s | <>resourcegroup_Name/<NetworkInterfaceName> | Scheda di interfaccia di rete associata all'INDIRIZZO IP di destinazione nel flusso. |
VM_s | <>resourcegroup_Name/<NetworkInterfaceName> | Macchina virtuale associata all'interfaccia di rete NIC_s. |
VM1_s | <>resourcegroup_Name/<VirtualMachineName> | Macchina virtuale associata all'INDIRIZZO IP di origine nel flusso. |
VM2_s | <>resourcegroup_Name/<VirtualMachineName> | Macchina virtuale associata all'INDIRIZZO IP di destinazione nel flusso. |
Subnet_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | Subnet associata al NIC_s. |
Subnet1_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | Subnet associata all'indirizzo IP di origine nel flusso. |
Subnet2_s | <>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName> | Subnet associata all'indirizzo IP di destinazione nel flusso. |
ApplicationGateway1_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | Gateway applicazione associato all'indirizzo IP di origine nel flusso. |
ApplicationGateway2_s | <SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName> | Gateway applicazione associato all'indirizzo IP di destinazione nel flusso. |
ExpressRouteCircuit1_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ID circuito ExpressRoute: quando il flusso viene inviato dal sito tramite ExpressRoute. |
ExpressRouteCircuit2_s | <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> | ID circuito ExpressRoute: quando il flusso viene ricevuto dal cloud da ExpressRoute. |
ExpressRouteCircuitPeeringType_s | - AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering |
Tipo di peering ExpressRoute coinvolto nel flusso. |
LoadBalancer1_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | Bilanciamento del carico associato all'indirizzo IP di origine nel flusso. |
LoadBalancer2_s | <SubscriptionID>/<ResourceGroupName>/<LoadBalancerName> | Bilanciamento del carico associato all'indirizzo IP di destinazione nel flusso. |
LocalNetworkGateway1_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | Gateway di rete locale associato all'indirizzo IP di origine nel flusso. |
LocalNetworkGateway2_s | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | Gateway di rete locale associato all'indirizzo IP di destinazione nel flusso. |
Connessione ionType_s | - VNetPeering - VpnGateway - ExpressRoute |
Tipo onnection. |
Connessione ionName_s | <SubscriptionID>/<ResourceGroupName>/<Connessione ionName> | Nome connessione. Per il tipo di flusso P2S, viene formattato come <nome> gateway_<IP> del client VPN. |
Connessione ingVNets_s | Elenco di nomi di rete virtuale separati da spazi | In caso di topologia hub-spoke, le reti virtuali hub vengono popolate qui. |
Country_s | Codice paese a due lettere (ISO 3166-1 alfa-2) | Popolato per il tipo di flusso ExternalPublic. Tutti gli indirizzi IP nel campo PublicIPs_s condividono lo stesso codice paese. |
AzureRegion_s | Località dell'area di Azure | Popolato per il tipo di flusso AzurePublic. Tutti gli indirizzi IP nel campo PublicIPs_s condividono l'area di Azure. |
AllowedInFlows_d | Numero di flussi in ingresso consentiti, che rappresenta il numero di flussi che hanno condiviso la stessa tupla in ingresso all'interfaccia di rete in cui è stato acquisito il flusso. | |
DeniedInFlows_d | Numero di flussi in ingresso negati. In ingresso all'interfaccia di rete in cui è stato acquisito il flusso. | |
AllowedOutFlows_d | Numero di flussi in uscita consentiti (in uscita all'interfaccia di rete in cui è stato acquisito il flusso). | |
DeniedOutFlows_d | Numero di flussi in uscita negati (in uscita all'interfaccia di rete in cui è stato acquisito il flusso). | |
FlowCount_d | Deprecato. Flussi totali corrispondenti alla stessa tupla a quattro. In caso di tipi di flusso ExternalPublic e AzurePublic, il conteggio include anche i flussi da vari indirizzi PublicIP. | |
InboundPackets_d | Rappresenta i pacchetti inviati dalla destinazione all'origine del flusso | Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete. |
OutboundPackets_d | Rappresenta i pacchetti inviati dall'origine alla destinazione del flusso | Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete. |
InboundBytes_d | Rappresenta i byte inviati dalla destinazione all'origine del flusso | Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete. |
OutboundBytes_d | Rappresenta i byte inviati dall'origine alla destinazione del flusso | Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete. |
CompletedFlows_d | Popolato con valore diverso da zero solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete. | |
PublicIPs_s | <>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Voci separate da barre. |
SrcPublicIPs_s | <>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Voci separate da barre. |
DestPublicIPs_s | <>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES> | Voci separate da barre. |
IsFlowCapturedAtUDRHop_b | -Vero - False |
Se il flusso è stato acquisito in corrispondenza di un hop UDR, il valore è True. |
Importante
Lo schema di analisi del traffico è stato aggiornato il 22 agosto 2019. Il nuovo schema fornisce indirizzi IP di origine e di destinazione separatamente, rimuovendo la necessità di analizzare il FlowDirection
campo in modo che le query siano più semplici. Lo schema aggiornato ha apportato le modifiche seguenti:
FASchemaVersion_s
aggiornato da 1 a 2.- Campi deprecati:
VMIP_s
,Subscription_g
Region_s
,NSGRules_s
, ,Subnet_s
,VM_s
NIC_s
,PublicIPs_s
FlowCount_d
- Nuovi campi:
SrcPublicIPs_s
,DestPublicIPs_s
,NSGRule_s
Schema dei dettagli dell'indirizzo IP pubblico
Analisi del traffico fornisce i dati WHOIS e la posizione geografica per tutti gli INDIRIZZI IP pubblici nell'ambiente in uso. Per un INDIRIZZO IP dannoso, Analisi del traffico fornisce descrizioni di dominio DNS, tipo di minaccia e thread identificati dalle soluzioni di intelligence per la sicurezza Microsoft. I dettagli IP vengono pubblicati nell'area di lavoro Log Analytics in modo da poter creare query personalizzate e inserire avvisi. È anche possibile accedere alle query prepopolate dal dashboard di analisi del traffico.
La tabella seguente illustra in dettaglio lo schema IP pubblico:
Campo | Formato | Commenti |
---|---|---|
TableName | AzureNetworkAnalyticsIPDetails_CL | Tabella contenente i dati dei dettagli IP di Analisi del traffico. |
SubType_s | FlowLog | Sottotipo per i log del flusso. Usare solo "FlowLog", altri valori di SubType_s sono destinati ai lavori interni del prodotto. |
FASchemaVersion_s | 2 | Versione dello schema. Non riflette la versione del log del flusso del gruppo di sicurezza di rete. |
FlowIntervalStartTime_t | Data e ora in formato UTC | Ora di inizio dell'intervallo di elaborazione del log di flusso (tempo da cui viene misurato l'intervallo di flusso). |
FlowIntervalEndTime_t | Data e ora in formato UTC | Ora di fine dell'intervallo di elaborazione del log del flusso. |
FlowType_s | - AzurePublic - ExternalPublic - MaliciousFlow |
Vedere Note per le definizioni. |
IP | IP pubblico | IP pubblico le cui informazioni vengono fornite nel record. |
Location | Posizione dell'IP | - Per l'indirizzo IP pubblico di Azure: area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP OR Global per IP 168.63.129.16. - Per IP pubblico esterno e IP dannoso: codice paese di 2 lettere in cui si trova IP (ISO 3166-1 alfa-2). |
PublicIPDetails | Informazioni sull'IP | - Per l'indirizzo IP Pubblico di Azure: servizio di Azure proprietario dell'ip o dell'indirizzo IP pubblico virtuale Microsoft per la versione 168.63.129.16. - ExternalPublic/Dannoso IP: informazioni su WhoIS dell'INDIRIZZO IP. |
ThreatType | Minaccia rappresentata da un INDIRIZZO IP dannoso | Solo per gli indirizzi IP dannosi: una delle minacce dall'elenco dei valori attualmente consentiti (descritta nella tabella successiva). |
ThreatDescription | Descrizione della minaccia | Solo per indirizzi IP dannosi. Descrizione della minaccia rappresentata dall'IP dannoso. |
DNSDomain | Dominio DNS | Solo per indirizzi IP dannosi. Nome di dominio associato all'indirizzo IP dannoso. |
Url | URL corrispondente all'INDIRIZZO IP dannoso | Solo per indirizzi IP dannosi |
Porta | Porta corrispondente all'INDIRIZZO IP dannoso | Solo per indirizzi IP dannosi |
Elenco dei tipi di minaccia:
Valore | Descrizione |
---|---|
Botnet | Indicatore che descrive in dettaglio un nodo/membro botnet. |
S2 | Indicatore che descrive in dettaglio un nodo Command & Control di una botnet. |
CryptoMining | Il traffico che coinvolge questo indirizzo di rete/URL è un'indicazione dell'abuso di cyrptoMining/risorsa. |
DarkNet | Indicatore di un nodo/rete Darknet. |
Ddos | Indicatori relativi a una campagna DDoS attiva o futura. |
MaliciousUrl | URL che serve malware. |
Malware | Indicatore che descrive un file o un file dannoso. |
Phishing | Indicatori relativi a una campagna di phishing. |
Proxy | Indicatore di un servizio proxy. |
PUA | Applicazione potenzialmente indesiderata. |
Watchlist | Bucket generico in cui vengono posizionati gli indicatori quando non è possibile determinare esattamente qual è la minaccia o richiede un'interpretazione manuale. WatchList in genere non deve essere usato dai partner che inviano dati nel sistema. |
Note
- In caso di
AzurePublic
flussi eExternalPublic
, l'indirizzo IP della macchina virtuale di Azure di proprietà del cliente viene popolato nelVMIP_s
campo, mentre gli indirizzi IP pubblici vengono popolati nelPublicIPs_s
campo . Per questi due tipi di flusso, è consigliabile usareVMIP_s
ePublicIPs_s
anzichéSrcIP_s
campi eDestIP_s
. Per gli indirizzi IP AzurePublic ed ExternalPublic, si aggrega ulteriormente, in modo che il numero di record inseriti nell'area di lavoro Log Analytics sia minimo. Questo campo verrà deprecato. Usare SrcIP_ e DestIP_s a seconda che la macchina virtuale sia l'origine o la destinazione nel flusso. - Alcuni nomi di campo vengono aggiunti con
_s
o_d
, che non indicano l'origine e la destinazione, ma indicano rispettivamente i tipi di dati stringa e decimale . - In base agli indirizzi IP coinvolti nel flusso, i flussi vengono classificati nei tipi di flusso seguenti:
IntraVNet
: entrambi gli indirizzi IP nel flusso si trovano nella stessa rete virtuale di Azure.InterVNet
: gli indirizzi IP nel flusso si trovano in due reti virtuali di Azure diverse.S2S
(Da sito a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa alla rete virtuale tramite gateway VPN o ExpressRoute.P2S
(Da punto a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa al Rete virtuale di Azure tramite gateway VPN.AzurePublic
: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico di Azure di proprietà di Microsoft. Gli indirizzi IP pubblici di proprietà del cliente non fanno parte di questo tipo di flusso. Ad esempio, qualsiasi macchina virtuale di proprietà del cliente che invia traffico a un servizio di Azure (endpoint Archiviazione) verrà categorizzato in questo tipo di flusso.ExternalPublic
: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico che non si trova in Azure e non viene segnalato come dannoso nei feed del Centro sicurezza di Azure usati dall'analisi del traffico per l'intervallo di elaborazione tra "FlowIntervalStartTime_t" e "FlowIntervalEndTime_t".MaliciousFlow
: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico che non è in Azure e viene segnalato come dannoso nei feed del Centro sicurezza di Azure che analisi del traffico utilizza per l'intervallo di elaborazione tra "FlowIntervalStartTime_t" e "FlowIntervalEndTime_t".UnknownPrivate
: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene all'intervallo IP privato definito in RFC 1918 e non è stato possibile eseguire il mapping da analisi del traffico a un sito di proprietà del cliente o a una rete virtuale di Azure.Unknown
: non è possibile eseguire il mapping di uno degli indirizzi IP nel flusso con la topologia del cliente in Azure e in locale (sito).
Contenuto correlato
- Per altre informazioni sull'analisi del traffico, vedere Panoramica di Analisi del traffico.
- Per le risposte all'analisi del traffico, vedere Domande frequenti su Analisi del traffico.