VM の送受信ネットワーク トラフィックのパターンをオープンソース ツールを使用して視覚化する

  • [アーティクル]

パケット キャプチャには、ネットワーク フォレンジクスやディープ パケット インスペクションの実行に役立つネットワーク データが含まれています。 パケット キャプチャを分析してネットワークに関する分析情報を取得するために利用できるオープンソースのツールには数多くのものがあります。 パケット キャプチャ用のオープンソースの視覚化ツールである CapAnalysis も、そのようなツールの 1 つです。

パケット キャプチャ データを視覚化することは、ネットワーク内のパターンや異常に関する洞察をすばやく得ることのできる有益な手段です。 視覚化を利用して、そのような分析情報を利用しやすい形で共有することもできます。

Azure Network Watcher を使用して、ネットワークに対してパケット キャプチャを実行することでデータをキャプチャできます。 この記事では、CapAnalysis と Network Watcher を使用して、パケット キャプチャを視覚化してパケット キャプチャから分析情報を取得する方法を解説します。

シナリオ

この記事は、Azure の仮想マシン (VM) にデプロイされた簡単な Web アプリがあることを想定しています。 オープンソースのツールを使用してネットワーク トラフィックを視覚化し、フロー パターンや異常を迅速に特定したいと考えています。 Network Watcher では、ネットワーク環境のパケット キャプチャを取得して、ストレージ アカウントにそれを直接保存することができます。 そのパケット キャプチャ データを CapAnalysis で直接ストレージ BLOB から取り込み、その内容を視覚化することができます。

scenario

CapAnalysis のインストール

仮想マシンに CapAnalysis をインストールするには、公式の CapAnalysis のインストラクションを参照してください。

CapAnalysis にリモートからアクセスするには、新しい受信セキュリティ ルールを追加して、VM 上のポート 9877 を開く必要があります。 ネットワーク セキュリティ グループ (NSG) でのルールの作成の詳細については、「セキュリティ ルールの作成」を参照してください。 ルールが正しく追加されると、http://<PublicIP>:9877 から CapAnalysis にアクセスできるようになります。

Azure Network Watcher を使用してパケット キャプチャ セッションを開始する

Network Watcher を使用してパケットをキャプチャし、仮想マシンが送受信するトラフィックを追跡できます。 パケット キャプチャ セッションを開始するには、「Network Watcher を使用したパケット キャプチャの管理」の記事にある手順に従ってください。 パケット キャプチャは、CapAnalysis がアクセスできるストレージ BLOB に保存できます。

パケット キャプチャ データを CapAnalysis にアップロードする

Network Watcher からパケット キャプチャを直接アップロードできます。 [URL からのインポート] タブを使用して、パケット キャプチャが保存されているストレージ BLOB へのリンクを指定します。

CapAnalysis へのリンクを指定するときは、ストレージ BLOB の URL に Shared Access Signature (SAS) トークンを必ず追加してください。 ストレージ アカウントから [Shared Access Signature] に移動して、与えられているアクセス許可を指定し、[SAS の生成] ボタンを選択してトークンを作成します。 その後、SAS トークンをパケット キャプチャのストレージ BLOB URL に追加できます。

結果の URL は、http://storageaccount.blob.core.windows.net/container/location?addSASkeyhere のようになります。

パケット キャプチャの分析

CapAnalysis には、パケット キャプチャを視覚化するためのさまざまなオプションが用意されています。 それぞれが、異なる観点からの分析を提供します。 こうして得た視覚的な手掛かりをもとに、ネットワーク トラフィックの傾向を把握し、異常な行動があればすぐに特定することができます。

次の一覧では、CapAnalysis の機能の一部について説明しています。

  • フロー テーブル

    [フロー] タブに、パケット データ内のフローが一覧表示されます。 各フローごとに、タイム スタンプ、送信元 IP と宛先 IP、関連するプロトコルなどの情報がタブに表示されます。

    CapAnalysis フロー ページ

  • プロトコルの概要

    [概要] タブに、さまざまなプロトコルおよび地域におけるネットワーク トラフィックの分布が表示されます。

    CapAnalysis プロトコル概要

  • 統計

    [統計情報] タブには、ネットワーク トラフィックの統計情報が表示されます。 この情報には、送信元 IP と送信先 IP との間で送受信されたバイト数や、その IP ごとのフロー、各フローで使用されたプロトコル、フローの期間などが含まれます。

    CapAnalysis 統計情報

  • 地理的マッピング

    [GeoMAP] タブには、ネットワーク トラフィックのマップ ビューが表示されます。 色は、それぞれの国/地域からのトラフィック量に応じて変化します。 ハイライトされた国/地域を選択すると、トラフィック フローについてのさらに詳しい統計情報 (その国/地域の IP に対して送信されたデータとその国/地域の IP から受信したデータの比率など) が表示されます。

    Geomap

  • フィルタ

    CapAnalysis には、特定のパケットをすばやく分析することを目的とした一連のフィルターが用意されています。 たとえばプロトコルでデータをフィルタリングすれば、該当するプロトコルのトラフィックに絞り込んで洞察を得ることができます。

    filters

CapAnalysis のすべての機能の詳細については、ツールの Web サイトを参照してください。

まとめ

Network Watcher のパケット キャプチャ機能を使用すると、ネットワーク フォレンジクスを行うために必要なデータをキャプチャし、ネットワーク トラフィックに関する理解を深めることができます。 この記事のシナリオでは、オープンソースの視覚化ツールを使用して Network Watcher からのパケット キャプチャを統合する方法を紹介しました。 CapAnalysis などのツールを使ってパケット キャプチャを視覚化することにより、ディープ パケット インスペクションを実行して、ネットワーク トラフィックにおける傾向を迅速に特定することができます。

次のステップ