Schema di analisi del traffico e aggregazione dei dati

Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. Analisi del traffico analizza i log dei flussi di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Con Analisi del traffico è possibile:

• Visualizzare l'attività della rete nelle sottoscrizioni di Azure e identificare le aree sensibili.
• Identificare le minacce alla sicurezza e proteggere la rete, con informazioni quali porte aperte, applicazioni che tentano l'accesso a Internet e macchine virtuali (VM) che si connettono a reti non autorizzate.
• Conoscere i modelli di flusso di traffico nelle aree di Azure e in Internet per ottimizzare le prestazioni e la capacità della distribuzione della rete.
• Trovare le configurazioni di rete errate che comportano connessioni non riuscite nella rete.
• Conoscere l'utilizzo della rete in byte, pacchetti o flussi.

Aggregazione dei dati

Log dei flussi dei gruppi di sicurezza di rete

• Tutti i log di flusso in un gruppo di sicurezza di rete tra FlowIntervalStartTime_t e FlowIntervalEndTime_t vengono acquisiti a intervalli di un minuto come BLOB in un account di archiviazione.
• L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ovvero ogni ora l'analisi del traffico seleziona i BLOB dall'account di archiviazione per l'aggregazione. Tuttavia, se viene selezionato un intervallo di elaborazione di 10 minuti, analisi del traffico selezionerà invece i BLOB dall'account di archiviazione ogni 10 minuti.
• I flussi con gli stessi Source IPflussi , Destination IP, NSG nameDestination portNSG rule, , , Flow Directione Transport layer protocol (TCP or UDP) vengono suddivisi in un singolo flusso tramite l'analisi del traffico (nota: la porta di origine è esclusa per l'aggregazione).
• Questo singolo record è decorato (dettagli nella sezione seguente) e inserito nei log di Monitoraggio di Azure dall'analisi del traffico. Questo processo può richiedere fino a 1 ora.
• FlowStartTime_t field indica la prima occorrenza di tale flusso aggregato (stessa tupla a quattro tuple) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime_t e FlowIntervalEndTime_t.
• Per qualsiasi risorsa nell'analisi del traffico, i flussi indicati nella portale di Azure sono flussi totali visualizzati dal gruppo di sicurezza di rete, ma nei log di Monitoraggio di Azure l'utente vede solo il singolo record ridotto. Per visualizzare tutti i flussi, usare il blob_id campo a cui è possibile fare riferimento dalla risorsa di archiviazione. Il numero totale di flussi per tale record corrisponde ai singoli flussi visualizzati nel BLOB.

Log dei flussi di rete virtuale

• Tutti i log di flusso tra FlowIntervalStartTime e FlowIntervalEndTime vengono acquisiti a intervalli di un minuto come BLOB in un account di archiviazione.
• L'intervallo di elaborazione predefinito dell'analisi del traffico è di 60 minuti, ovvero ogni ora l'analisi del traffico seleziona i BLOB dall'account di archiviazione per l'aggregazione. Tuttavia, se viene selezionato un intervallo di elaborazione di 10 minuti, analisi del traffico selezionerà invece i BLOB dall'account di archiviazione ogni 10 minuti.
• I flussi con gli stessi Source IPflussi , Destination IP, NSG nameDestination portNSG rule, , , Flow Directione Transport layer protocol (TCP or UDP) vengono suddivisi in un singolo flusso tramite l'analisi del traffico (nota: la porta di origine è esclusa per l'aggregazione).
• Questo singolo record è decorato (dettagli nella sezione seguente) e inserito nei log di Monitoraggio di Azure dall'analisi del traffico. Questo processo può richiedere fino a 1 ora.
• FlowStartTime field indica la prima occorrenza di tale flusso aggregato (stessa tupla a quattro tuple) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime e FlowIntervalEndTime.
• Per qualsiasi risorsa nell'analisi del traffico, i flussi indicati nella portale di Azure sono flussi totali visualizzati, ma nei log di Monitoraggio di Azure l'utente vede solo il singolo record ridotto. Per visualizzare tutti i flussi, usare il blob_id campo a cui è possibile fare riferimento dalla risorsa di archiviazione. Il numero totale di flussi per tale record corrisponde ai singoli flussi visualizzati nel BLOB.

La query seguente consente di esaminare tutte le subnet che interagiscono con indirizzi IP pubblici non di Azure negli ultimi 30 giorni.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Per visualizzare il percorso BLOB per i flussi nella query precedente, usare la query seguente:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

La query precedente costruisce un URL per accedere direttamente al BLOB. L'URL con segnaposto è il seguente:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Schema di analisi del traffico

L'analisi del traffico si basa sui log di Monitoraggio di Azure, quindi è possibile eseguire query personalizzate sui dati decorati dall'analisi del traffico e impostare avvisi.

Log dei flussi dei gruppi di sicurezza di rete

Nella tabella seguente sono elencati i campi nello schema e le informazioni che indicano per i log dei flussi dei gruppi di sicurezza di rete.

Campo	Formato	Commenti
TableName	AzureNetworkAnalytics_CL	Tabella per i dati di analisi del traffico.
SubType_s	FlowLog	Sottotipo per i log del flusso. Usare solo FlowLog, altri valori di SubType_s sono destinati all'uso interno.
FASchemaVersion_s	2	Versione dello schema. Non riflette la versione del log del flusso del gruppo di sicurezza di rete.
TimeProcessed_t	Data e ora in formato UTC	Ora in cui l'analisi del traffico ha elaborato i log del flusso non elaborato dall'account di archiviazione.
FlowIntervalStartTime_t	Data e ora in formato UTC	Ora di inizio dell'intervallo di elaborazione del log del flusso (tempo da cui viene misurato l'intervallo di flusso).
FlowIntervalEndTime_t	Data e ora in formato UTC	Ora di fine dell'intervallo di elaborazione del log di flusso.
FlowStartTime_t	Data e ora in formato UTC	Prima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime_t e FlowIntervalEndTime_t. Questo flusso viene aggregato in base alla logica di aggregazione.
FlowEndTime_t	Data e ora in formato UTC	Ultima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime_t e FlowIntervalEndTime_t. In termini di log di flusso v2, questo campo contiene l'ora in cui l'ultimo flusso con lo stesso quattro tuple è stato avviato (contrassegnato come B nel record di flusso non elaborato).
FlowType_s	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Privato sconosciuto -Sconosciuto	Vedere Note per le definizioni.
SrcIP_s	Indirizzo IP di origine	Vuoto nei flussi AzurePublic ed ExternalPublic.
DestIP_s	Indirizzo IP di destinazione	Vuoto nei flussi AzurePublic ed ExternalPublic.
VMIP_s	IP della macchina virtuale	Usato per i flussi AzurePublic ed ExternalPublic.
DestPort_d	Porta di destinazione	Porta in cui il traffico è in ingresso.
L4Protocol_s	-T -U	Protocollo di trasporto. T = TCP U = UDP.
L7Protocol_s	Nome protocollo	Derivato dalla porta di destinazione.
FlowDirection_s	- I = In ingresso - O = In uscita	Direzione del flusso: all'interno o all'esterno del gruppo di sicurezza di rete per ogni log del flusso.
FlowStatus_s	- A = Consentito - D = Negato	Stato del flusso consentito o negato dal gruppo di sicurezza di rete per ogni log del flusso.
NSGList_s	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Gruppo di sicurezza di rete associato al flusso.
NSGRules_s	<Valore di indice 0>|<>NSG_RULENAME|<Direzione> del flusso |<Stato> flusso |<FlowCount ProcessedByRule>	Regola del gruppo di sicurezza di rete che ha consentito o negato questo flusso.
NSGRule_s	NSG_RULENAME	Regola del gruppo di sicurezza di rete che ha consentito o negato questo flusso.
NSGRuleType_s	- Definito dall'utente - Predefinito	Tipo di regola del gruppo di sicurezza di rete utilizzato dal flusso.
MACAddress_s	Indirizzo MAC	Indirizzo MAC della scheda di interfaccia di rete in cui è stato acquisito il flusso.
Subscription_g	La sottoscrizione della rete virtuale di Azure/interfaccia di rete/macchina virtuale viene popolata in questo campo	Applicabile solo per i tipi di flusso FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow e UnknownPrivate (tipi di flusso in cui solo un lato è Azure).
Subscription1_g	ID sottoscrizione	ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso.
Subscription2_g	ID sottoscrizione	ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso.
Region_s	Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP nel flusso.	Applicabile solo per i tipi di flusso FlowType = S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow e UnknownPrivate (tipi di flusso in cui solo un lato è Azure).
Region1_s	Area di Azure	Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso.
Region2_s	Area di Azure	Area di Azure della rete virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso.
NIC_s	<>resourcegroup_Name/<NetworkInterfaceName>	Scheda di interfaccia di rete associata alla macchina virtuale che invia o riceve il traffico.
NIC1_s	<>resourcegroup_Name/<NetworkInterfaceName>	Scheda di interfaccia di rete associata all'indirizzo IP di origine nel flusso.
NIC2_s	<>resourcegroup_Name/<NetworkInterfaceName>	Scheda di interfaccia di rete associata all'INDIRIZZO IP di destinazione nel flusso.
VM_s	<>resourcegroup_Name/<NetworkInterfaceName>	Macchina virtuale associata all'interfaccia di rete NIC_s.
VM1_s	<>resourcegroup_Name/<VirtualMachineName>	Macchina virtuale associata all'INDIRIZZO IP di origine nel flusso.
VM2_s	<>resourcegroup_Name/<VirtualMachineName>	Macchina virtuale associata all'INDIRIZZO IP di destinazione nel flusso.
Subnet_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet associata al NIC_s.
Subnet1_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet associata all'indirizzo IP di origine nel flusso.
Subnet2_s	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet associata all'indirizzo IP di destinazione nel flusso.
ApplicationGateway1_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway applicazione associato all'indirizzo IP di origine nel flusso.
ApplicationGateway2_s	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway applicazione associato all'indirizzo IP di destinazione nel flusso.
ExpressRouteCircuit1_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID circuito ExpressRoute: quando il flusso viene inviato dal sito tramite ExpressRoute.
ExpressRouteCircuit2_s	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID circuito ExpressRoute: quando il flusso viene ricevuto dal cloud da ExpressRoute.
ExpressRouteCircuitPeeringType_s	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Tipo di peering ExpressRoute coinvolto nel flusso.
LoadBalancer1_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Bilanciamento del carico associato all'indirizzo IP di origine nel flusso.
LoadBalancer2_s	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Bilanciamento del carico associato all'indirizzo IP di destinazione nel flusso.
LocalNetworkGateway1_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway di rete locale associato all'indirizzo IP di origine nel flusso.
LocalNetworkGateway2_s	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway di rete locale associato all'indirizzo IP di destinazione nel flusso.
Connessione ionType_s	- VNetPeering - VpnGateway - ExpressRoute	Tipo onnection.
Connessione ionName_s	<SubscriptionID>/<ResourceGroupName>/<Connessione ionName>	Nome connessione. Per il tipo di flusso P2S, viene formattato come <nome> gateway_<IP> del client VPN.
Connessione ingVNets_s	Elenco di nomi di rete virtuale separati da spazi	In caso di topologia hub-spoke, le reti virtuali hub vengono popolate qui.
Country_s	Codice paese a due lettere (ISO 3166-1 alfa-2)	Popolato per il tipo di flusso ExternalPublic. Tutti gli indirizzi IP nel campo PublicIPs_s condividono lo stesso codice paese.
AzureRegion_s	Località dell'area di Azure	Popolato per il tipo di flusso AzurePublic. Tutti gli indirizzi IP nel campo PublicIPs_s condividono l'area di Azure.
AllowedInFlows_d		Numero di flussi in ingresso consentiti, che rappresenta il numero di flussi che hanno condiviso la stessa tupla in ingresso all'interfaccia di rete in cui è stato acquisito il flusso.
DeniedInFlows_d		Numero di flussi in ingresso negati. In ingresso all'interfaccia di rete in cui è stato acquisito il flusso.
AllowedOutFlows_d		Numero di flussi in uscita consentiti (in uscita all'interfaccia di rete in cui è stato acquisito il flusso).
DeniedOutFlows_d		Numero di flussi in uscita negati (in uscita all'interfaccia di rete in cui è stato acquisito il flusso).
FlowCount_d	Deprecato. Flussi totali corrispondenti alla stessa tupla a quattro. In caso di tipi di flusso ExternalPublic e AzurePublic, il conteggio include anche i flussi da vari indirizzi PublicIP.
InboundPackets_d	Rappresenta i pacchetti inviati dalla destinazione all'origine del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
OutboundPackets_d	Rappresenta i pacchetti inviati dall'origine alla destinazione del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
InboundBytes_d	Rappresenta i byte inviati dalla destinazione all'origine del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
OutboundBytes_d	Rappresenta i byte inviati dall'origine alla destinazione del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
CompletedFlows_d		Popolato con valore diverso da zero solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
PublicIPs_s	<>PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Voci separate da barre.
SrcPublicIPs_s	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Voci separate da barre.
DestPublicIPs_s	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Voci separate da barre.
IsFlowCapturedAtUDRHop_b	-Vero - False	Se il flusso è stato acquisito in corrispondenza di un hop UDR, il valore è True.

Importante

Lo schema di analisi del traffico è stato aggiornato il 22 agosto 2019. Il nuovo schema fornisce indirizzi IP di origine e di destinazione separatamente, rimuovendo la necessità di analizzare il FlowDirection campo in modo che le query siano più semplici. Lo schema aggiornato ha apportato le modifiche seguenti:

• FASchemaVersion_s aggiornato da 1 a 2.
• Campi deprecati: VMIP_s, Subscription_gRegion_s, NSGRules_s, , Subnet_s, VM_sNIC_s, PublicIPs_sFlowCount_d
• Nuovi campi: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Log dei flussi di rete virtuale

Nella tabella seguente sono elencati i campi nello schema e gli elementi che indicano per i log dei flussi di rete virtuale.

Campo	Formato	Commenti
TableName	NTANetAnalytics	Tabella per i dati di analisi del traffico.
Sottotipo	FlowLog	Sottotipo per i log del flusso. Usare solo FlowLog, altri valori di SubType sono per uso interno.
FASchemaVersion	3	Versione dello schema. Non riflette la versione del log del flusso di rete virtuale.
TimeProcessed	Data e ora in formato UTC	Ora in cui l'analisi del traffico ha elaborato i log del flusso non elaborato dall'account di archiviazione.
FlowIntervalStartTime	Data e ora in formato UTC	Ora di inizio dell'intervallo di elaborazione del log del flusso (tempo da cui viene misurato l'intervallo di flusso).
FlowIntervalEndTime	Data e ora in formato UTC	Ora di fine dell'intervallo di elaborazione del log di flusso.
FlowStartTime	Data e ora in formato UTC	Prima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime e FlowIntervalEndTime. Questo flusso viene aggregato in base alla logica di aggregazione.
FlowEndTime	Data e ora in formato UTC	Ultima occorrenza del flusso (che viene aggregato) nell'intervallo di elaborazione del log di flusso tra FlowIntervalStartTime e FlowIntervalEndTime. In termini di log di flusso v2, questo campo contiene l'ora in cui l'ultimo flusso con lo stesso quattro tuple è stato avviato (contrassegnato come B nel record di flusso non elaborato).
FlowType	- IntraVNet - InterVNet -S2S - P2S - AzurePublic - ExternalPublic - MaliciousFlow - Privato sconosciuto -Sconosciuto	Vedere Note per le definizioni.
SrcIP	Indirizzo IP di origine	Vuoto nei flussi AzurePublic ed ExternalPublic.
DestIP	Indirizzo IP di destinazione	Vuoto nei flussi AzurePublic ed ExternalPublic.
TargetResourceId	ResourceGroupName/ResourceName	ID della risorsa in cui è abilitata la registrazione del flusso e l'analisi del traffico.
TargetResourceType	VirtualNetwork/Subnet/NetworkInterface	Tipo di risorsa in cui è abilitata la registrazione del flusso e l'analisi del traffico (rete virtuale, subnet, scheda di interfaccia di rete o gruppo di sicurezza di rete).
FlowLogResourceId	ResourceGroupName/NetworkWatcherName/FlowLogName	ID risorsa del log del flusso.
DestPort	Porta di destinazione	Porta in cui il traffico è in ingresso.
L4Protocol	-T -U	Protocollo di trasporto. T = TCP U = UDP
L7Protocol	Nome protocollo	Derivato dalla porta di destinazione.
FlowDirection	- I = In ingresso - O = In uscita	Direzione del flusso: all'interno o all'esterno del gruppo di sicurezza di rete per ogni log del flusso.
FlowStatus	- A = Consentito - D = Negato	Stato del flusso: consentito o negato dal gruppo di sicurezza di rete per ogni log del flusso.
NSGList	<SUBSCRIPTIONID>/<RESOURCEGROUP_NAME>/<NSG_NAME>	Gruppo di sicurezza di rete associato al flusso.
NSGRule	NSG_RULENAME	Regola del gruppo di sicurezza di rete che ha consentito o negato il flusso.
NSGRuleType	- Definito dall'utente - Predefinito	Tipo di regola del gruppo di sicurezza di rete utilizzato dal flusso.
Macaddress	Indirizzo MAC	Indirizzo MAC della scheda di interfaccia di rete in cui è stato acquisito il flusso.
SrcSubscription	ID sottoscrizione	ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso.
DestSubscription	ID sottoscrizione	ID sottoscrizione di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso.
SrcRegion	Area di Azure	Area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP di origine nel flusso.
DestRegion	Area di Azure	Area di Azure della rete virtuale a cui appartiene l'INDIRIZZO IP di destinazione nel flusso.
Scheda di interfaccia di rete sec	<>resourcegroup_Name/<NetworkInterfaceName>	Scheda di interfaccia di rete associata all'indirizzo IP di origine nel flusso.
Scheda di interfaccia di rete	<>resourcegroup_Name/<NetworkInterfaceName>	Scheda di interfaccia di rete associata all'INDIRIZZO IP di destinazione nel flusso.
SrcVM	<>resourcegroup_Name/<VirtualMachineName>	Macchina virtuale associata all'indirizzo IP di origine nel flusso.
DestVM	<>resourcegroup_Name/<VirtualMachineName>	Macchina virtuale associata all'INDIRIZZO IP di destinazione nel flusso.
SrcSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet associata all'indirizzo IP di origine nel flusso.
DestSubnet	<>ResourceGroup_Name/<VirtualNetwork_Name>/<SubnetName>	Subnet associata all'INDIRIZZO IP di destinazione nel flusso.
SrcApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway applicazione associato all'indirizzo IP di origine nel flusso.
DestApplicationGateway	<SubscriptionID>/<ResourceGroupName>/<ApplicationGatewayName>	Gateway applicazione associato all'indirizzo IP di destinazione nel flusso.
SrcExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID circuito ExpressRoute: quando il flusso viene inviato dal sito tramite ExpressRoute.
DestExpressRouteCircuit	<SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName>	ID circuito ExpressRoute: quando il flusso viene ricevuto dal cloud da ExpressRoute.
ExpressRouteCircuitPeeringType	- AzurePrivatePeering - AzurePublicPeering - MicrosoftPeering	Tipo di peering ExpressRoute coinvolto nel flusso.
SrcLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Bilanciamento del carico associato all'indirizzo IP di origine nel flusso.
DestLoadBalancer	<SubscriptionID>/<ResourceGroupName>/<LoadBalancerName>	Bilanciamento del carico associato all'INDIRIZZO IP di destinazione nel flusso.
SrcLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway di rete locale associato all'indirizzo IP di origine nel flusso.
DestLocalNetworkGateway	<SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName>	Gateway di rete locale associato all'INDIRIZZO IP di destinazione nel flusso.
ConnectionType	- VNetPeering - VpnGateway - ExpressRoute	Tipo di connessione.
Connessione ionName	<SubscriptionID>/<ResourceGroupName>/<Connessione ionName>	Nome della connessione. Per il tipo di flusso P2S, viene formattato come <GatewayName>_<VPNClientIP>
Connessione ingVNets	Elenco di nomi di rete virtuale separati da spazi.	Nella topologia hub-spoke le reti virtuali hub vengono popolate qui.
Paese/area geografica	Codice paese a due lettere (ISO 3166-1 alfa-2)	Popolato per il tipo di flusso ExternalPublic. Tutti gli indirizzi IP nel campo PublicIPs condividono lo stesso codice paese.
AzureRegion	Località dell'area di Azure	Popolato per il tipo di flusso AzurePublic. Tutti gli indirizzi IP nel campo PublicIPs condividono l'area di Azure.
AllowedInFlows	-	Numero di flussi in ingresso consentiti, che rappresenta il numero di flussi che hanno condiviso la stessa tupla in ingresso all'interfaccia di rete in cui è stato acquisito il flusso.
DeniedInFlows	-	Numero di flussi in ingresso negati. In ingresso all'interfaccia di rete in cui è stato acquisito il flusso.
AllowedOutFlows	-	Numero di flussi in uscita consentiti (in uscita all'interfaccia di rete in cui è stato acquisito il flusso).
DeniedOutFlows	-	Numero di flussi in uscita negati (in uscita all'interfaccia di rete in cui è stato acquisito il flusso).
FlowCount	Deprecato. Flussi totali corrispondenti alla stessa tupla a quattro. Nei tipi di flusso ExternalPublic e AzurePublic, conteggio include anche i flussi da vari indirizzi PublicIP.	-
PacketsDestToSrc	Rappresenta i pacchetti inviati dalla destinazione all'origine del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
PacchettiSrcToDest	Rappresenta i pacchetti inviati dall'origine alla destinazione del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
ByteDestToSrc	Rappresenta i byte inviati dalla destinazione all'origine del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
ByteSrcToDest	Rappresenta i byte inviati dall'origine alla destinazione del flusso	Popolato solo per la versione 2 dello schema del log del flusso del gruppo di sicurezza di rete.
CompletedFlows	-	Popolato con valore diverso da zero solo per lo schema del log del flusso del gruppo di sicurezza di rete versione 2.
SrcPublicIPs	<>SOURCE_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Voci separate da barre.
DestPublicIPs	<>DESTINATION_PUBLIC_IP|<>FLOW_STARTED_COUNT|<>FLOW_ENDED_COUNT|<>OUTBOUND_PACKETS|<>INBOUND_PACKETS|<>OUTBOUND_BYTES|<INBOUND_BYTES>	Voci separate da barre.
FlowEncryption	-Crittografato -Unencrypted - Hardware non supportato - Software non pronto - Eliminazione a causa di nessuna crittografia - Individuazione non supportata - Destinazione nello stesso host - Eseguire il fallback a nessuna crittografia.	Livello di crittografia dei flussi.
IsFlowCapturedAtUDRHop	-Vero - False	Se il flusso è stato acquisito in corrispondenza di un hop UDR, il valore è True.

Nota

NTANetAnalytics nei log dei flussi di rete virtuale sostituisce AzureNetworkAnalytics_CL usati nei log dei flussi del gruppo di sicurezza di rete.

Schema dei dettagli dell'indirizzo IP pubblico

Analisi del traffico fornisce i dati WHOIS e la posizione geografica per tutti gli INDIRIZZI IP pubblici nell'ambiente in uso. Per un INDIRIZZO IP dannoso, Analisi del traffico fornisce descrizioni di dominio DNS, tipo di minaccia e thread identificati dalle soluzioni di intelligence per la sicurezza Microsoft. I dettagli IP vengono pubblicati nell'area di lavoro Log Analytics in modo da poter creare query personalizzate e inserire avvisi. È anche possibile accedere alle query prepopolate dal dashboard di analisi del traffico.

La tabella seguente illustra in dettaglio lo schema IP pubblico:

Log dei flussi dei gruppi di sicurezza di rete

Campo	Formato	Commenti
TableName	AzureNetworkAnalyticsIPDetails_CL	Tabella contenente i dati dei dettagli IP di Analisi del traffico.
SubType_s	FlowLog	Sottotipo per i log del flusso. Usare solo "FlowLog", altri valori di SubType_s sono destinati ai lavori interni del prodotto.
FASchemaVersion_s	2	Versione dello schema. Non riflette la versione del log del flusso del gruppo di sicurezza di rete.
FlowIntervalStartTime_t	Data e ora in formato UTC	Ora di inizio dell'intervallo di elaborazione del log di flusso (tempo da cui viene misurato l'intervallo di flusso).
FlowIntervalEndTime_t	Data e ora in formato UTC	Ora di fine dell'intervallo di elaborazione del log del flusso.
FlowType_s	- AzurePublic - ExternalPublic - MaliciousFlow	Vedere Note per le definizioni.
IP	IP pubblico	IP pubblico le cui informazioni vengono fornite nel record.
Location	Posizione dell'IP	- Per l'indirizzo IP pubblico di Azure: area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP OR Global per IP 168.63.129.16. - Per IP pubblico esterno e IP dannoso: codice paese di 2 lettere in cui si trova IP (ISO 3166-1 alfa-2).
PublicIPDetails	Informazioni sull'IP	- Per l'indirizzo IP Pubblico di Azure: servizio di Azure proprietario dell'ip o dell'indirizzo IP pubblico virtuale Microsoft per la versione 168.63.129.16. - ExternalPublic/Dannoso IP: informazioni su WhoIS dell'INDIRIZZO IP.
ThreatType	Minaccia rappresentata da un INDIRIZZO IP dannoso	Solo per gli indirizzi IP dannosi: una delle minacce dall'elenco dei valori attualmente consentiti (descritta nella tabella successiva).
ThreatDescription	Descrizione della minaccia	Solo per indirizzi IP dannosi. Descrizione della minaccia rappresentata dall'IP dannoso.
DNSDomain	Dominio DNS	Solo per indirizzi IP dannosi. Nome di dominio associato all'indirizzo IP dannoso.
Url	URL corrispondente all'INDIRIZZO IP dannoso	Solo per indirizzi IP dannosi
Porta	Porta corrispondente all'INDIRIZZO IP dannoso	Solo per indirizzi IP dannosi

Log dei flussi di rete virtuale

Campo	Formato	Commenti
TableName	NTAIpDetails	Tabella contenente i dati dei dettagli IP di Analisi del traffico.
Sottotipo	FlowLog	Sottotipo per i log del flusso. Usare solo FlowLog. Altri valori di SubType sono per i lavori interni del prodotto.
FASchemaVersion	2	Versione dello schema. Non riflette la versione del log del flusso di rete virtuale.
FlowIntervalStartTime	Data e ora in formato UTC	Ora di inizio dell'intervallo di elaborazione del log di flusso (ora da cui viene misurato l'intervallo di flusso).
FlowIntervalEndTime	Data e ora in formato UTC	Ora di fine dell'intervallo di elaborazione del log del flusso.
FlowType	- AzurePublic - ExternalPublic - MaliciousFlow	Vedere Note per le definizioni.
IP	IP pubblico	IP pubblico le cui informazioni vengono fornite nel record.
PublicIPDetails	Informazioni sull'IP	Per l'indirizzo IP Pubblico di Azure: servizio di Azure proprietario dell'indirizzo IP o dell'indirizzo IP pubblico virtuale Microsoft per l'INDIRIZZO IP 168.63.129.16. ExternalPublic/Dannoso IP: informazioni su WhoIS dell'INDIRIZZO IP.
ThreatType	Minaccia rappresentata da un INDIRIZZO IP dannoso	Solo per indirizzi IP dannosi. Una delle minacce dell'elenco dei valori attualmente consentiti. Per altre informazioni, consultare Note.
DNSDomain	Dominio DNS	Solo per indirizzi IP dannosi. Nome di dominio associato all'indirizzo IP.
ThreatDescription	Descrizione della minaccia	Solo per indirizzi IP dannosi. Descrizione della minaccia rappresentata dall'IP dannoso.
Location	Posizione dell'IP	Per IP pubblico di Azure: area di Azure di rete virtuale/interfaccia di rete/macchina virtuale a cui appartiene l'INDIRIZZO IP o Globale per IP 168.63.129.16. Per IP pubblico esterno e IP dannoso: codice paese a due lettere (ISO 3166-1 alfa-2) in cui si trova l'INDIRIZZO IP.
Url	URL corrispondente all'INDIRIZZO IP dannoso	Solo per indirizzi IP dannosi.
Porta	Porta corrispondente all'INDIRIZZO IP dannoso	Solo per indirizzi IP dannosi.

Nota

NTAIPDetails nei log dei flussi di rete virtuale sostituisce AzureNetworkAnalyticsIPDetails_CL usati nei log dei flussi dei gruppi di sicurezza di rete.

Elenco dei tipi di minaccia:

Valore	Descrizione
Botnet	Indicatore che descrive in dettaglio un nodo/membro botnet.
S2	Indicatore che descrive in dettaglio un nodo Command & Control di una botnet.
CryptoMining	Il traffico che coinvolge questo indirizzo di rete/URL è un'indicazione dell'abuso di cyrptoMining/risorsa.
DarkNet	Indicatore di un nodo/rete Darknet.
Ddos	Indicatori relativi a una campagna DDoS attiva o futura.
MaliciousUrl	URL che serve malware.
Malware	Indicatore che descrive un file o un file dannoso.
Phishing	Indicatori relativi a una campagna di phishing.
Proxy	Indicatore di un servizio proxy.
PUA	Applicazione potenzialmente indesiderata.
Watchlist	Bucket generico in cui vengono posizionati gli indicatori quando non è possibile determinare esattamente qual è la minaccia o richiede un'interpretazione manuale. WatchList in genere non deve essere usato dai partner che inviano dati nel sistema.

Note

• In caso di AzurePublic flussi e ExternalPublic , l'indirizzo IP della macchina virtuale di Azure di proprietà del cliente viene popolato nel VMIP_s campo, mentre gli indirizzi IP pubblici vengono popolati nel PublicIPs_s campo . Per questi due tipi di flusso, è consigliabile usare VMIP_s e PublicIPs_s anziché SrcIP_s campi e DestIP_s . Per gli indirizzi IP AzurePublic ed ExternalPublic, si aggrega ulteriormente, in modo che il numero di record inseriti nell'area di lavoro Log Analytics sia minimo. Questo campo verrà deprecato. Usare SrcIP_ e DestIP_s a seconda che la macchina virtuale sia l'origine o la destinazione nel flusso.
• Alcuni nomi di campo vengono aggiunti con _s o _d, che non indicano l'origine e la destinazione, ma indicano rispettivamente i tipi di dati stringa e decimale .
• In base agli indirizzi IP coinvolti nel flusso, i flussi vengono classificati nei tipi di flusso seguenti:
  • IntraVNet: entrambi gli indirizzi IP nel flusso si trovano nella stessa rete virtuale di Azure.
  • InterVNet: gli indirizzi IP nel flusso si trovano in due reti virtuali di Azure diverse.
  • S2S (Da sito a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa alla rete virtuale tramite gateway VPN o ExpressRoute.
  • P2S(Da punto a sito): uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene alla rete del cliente (sito) connessa al Rete virtuale di Azure tramite gateway VPN.
  • AzurePublic: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico di Azure di proprietà di Microsoft. Gli indirizzi IP pubblici di proprietà del cliente non fanno parte di questo tipo di flusso. Ad esempio, qualsiasi macchina virtuale di proprietà del cliente che invia traffico a un servizio di Azure (endpoint Archiviazione) verrà categorizzato in questo tipo di flusso.
  • ExternalPublic: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico che non si trova in Azure e non viene segnalato come dannoso nei feed del Centro sicurezza di Azure usati dall'analisi del traffico per l'intervallo di elaborazione tra "FlowIntervalStartTime_t" e "FlowIntervalEndTime_t".
  • MaliciousFlow: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP è un indirizzo IP pubblico che non è in Azure e viene segnalato come dannoso nei feed del Centro sicurezza di Azure che analisi del traffico utilizza per l'intervallo di elaborazione tra "FlowIntervalStartTime_t" e "FlowIntervalEndTime_t".
  • UnknownPrivate: uno degli indirizzi IP appartiene a una rete virtuale di Azure, mentre l'altro indirizzo IP appartiene all'intervallo IP privato definito in RFC 1918 e non è stato possibile eseguire il mapping da analisi del traffico a un sito di proprietà del cliente o a una rete virtuale di Azure.
  • Unknown: non è possibile eseguire il mapping di uno degli indirizzi IP nel flusso con la topologia del cliente in Azure e in locale (sito).

Contenuto correlato

• Per altre informazioni sull'analisi del traffico, vedere Panoramica di Analisi del traffico.
• Per le risposte all'analisi del traffico, vedere Domande frequenti su Analisi del traffico.