Traffic Analytics の使用シナリオ

  • [アーティクル]

この記事では、さまざまなシナリオでトラフィック分析を構成してから、トラフィックに関する分析情報を取得する方法について説明します。

トラフィックのホットスポットを見つける

調査項目

  • どのホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットが、ほとんどのトラフィックを送受信し、最も悪意のあるトラフィックを走査し、重大なフローをブロックしているか。
    • ホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットの比較グラフを確認してください。 送受信するトラフィックの量が多いホスト、サブネット、仮想ネットワーク、仮想マシン スケール セットを把握すると、ほとんどのトラフィックを処理しているホストの特定と、トラフィック分布が適切に行われているかどうかの特定に役立ちます。
    • トラフィックの量がホストに適しているかどうかを評価できます。 トラフィックの量は通常の動作ですか。あるいは、さらに調査するだけの価値がありますか。
  • どれくらいの量の受信/送信トラフィックがあるか。
    • ホストでは、送信トラフィックよりも受信トラフィックの方が多いと予想されますか。それともその逆ですか。
  • ブロックされたトラフィックの統計。
    • ホストが大量の開始トラフィックをブロックしているのはなぜですか。 この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。
  • 許可/ブロックされた悪意のあるトラフィックの統計

    • ホストは悪意のあるトラフィックをなぜ受信しているのですか、また、悪意のあるソースからのフローがなぜ許可されているのですか。 この動作には、より詳細な調査を行い、構成を適切に最適化することが必要になります。

      次の図に示すように、[IP] の下の [すべて表示] を選択します。

      Screenshot of dashboard showcasing host with most traffic details.

      次の図は、トラフィックが多い上位 5 個のホストの時間的傾向と、ホストのフロー関連の詳細 (許可された受信/送信フローと、拒否された受信/送信フロー) を示しています。

      次の図に示すように、[トラフィックが多い上位 5 件の IP の詳細] の下の [詳細表示] を選択すると、すべてのホストに関する分析情報を取得できます。

      Screenshot of top five most-talking host trends.

調査項目

  • 会話が多いホスト ペアはどれか。

    • 想定された動作 (フロントエンドまたはバックエンド間の通信など) または不規則な動作 (バックエンドのインターネット トラフィックなど)。

  • 許可/ブロックされたトラフィックの統計。

    • ホストが大量のトラフィックを許可またはブロックしている理由。

  • 会話が多いホスト ペアの間で最も頻繁に使用されるアプリケーション プロトコル:

    • これらのアプリケーションは、このネットワークで許可されていますか。

    • アプリケーションは正しく構成されていますか。 それらは適切なプロトコルを通信に使用していますか。 次の図に示すように、[頻度が最大の会話][すべて表示] を選択します。

      Screenshot of dashboard showcasing most frequent conversations.

  • 次の図は、上位 5 個の会話の時間的傾向と、フロー関連の詳細 (会話ペアの許可および拒否された受信/送信フローなど) を示しています。

    Screenshot of top five chatty conversation details and trends.

調査項目

  • 環境で最も使用されているのはどのアプリケーション プロトコルか。また、そのアプリケーション プロトコルを最も使用しているのは、会話しているどのホスト ペアか。

    • これらのアプリケーションは、このネットワークで許可されていますか。

    • アプリケーションは正しく構成されていますか。 それらは適切なプロトコルを通信に使用していますか。 想定された動作は、80 や 443 などの一般的なポートです。 標準の通信で通常とは異なるポートが表示された場合、構成を変更する必要があります。 次の図に示すように、[アプリケーション ポート][すべて表示] を選択します。

      Screenshot of dashboard showcasing top application protocols.

  • 次の図は、上位 5 個の L7 プロトコルの時間的傾向と、L7 プロトコルのフロー関連の詳細 (許可および拒否されたフローなど) を示しています。

    Screenshot of top five layer 7 protocols details and trends.

    Screenshot of the flow details for application protocol in log search.

調査項目

  • 環境内の VPN ゲートウェイの容量使用率の傾向。

    • 各 VPN SKU では一定量の帯域幅を許可します。 VPN ゲートウェイは十分に活用されていますか。
    • ゲートウェイは容量に達しつつありますか。 1 つ上位の SKU にアップグレードする必要はありますか。

  • 会話が多いホストはどれか。それらのホストが使用しているポートと VPN ゲートウェイはどれか。

    • これは通常のパターンですか。 次の図に示すように、[VPN ゲートウェイ] にある [すべて表示] を選択します。

      Screenshot of dashboard showcasing top active VPN connections.

  • 次の図は、Azure VPN Gateway の容量使用率の時間的傾向と、フロー関連の詳細 (許可されたフローやポートなど) を示しています。

    Screenshot of VPN gateway utilization trend and flow details.

地域ごとのトラフィック分布を視覚化する

調査項目

  • データ センターごとのトラフィック分布 (データ センターへのトラフィックの上位の送信元、データ センターと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコルなど)。

    • データ センターの負荷の増加が見られる場合は、効率的なトラフィック分布を計画できます。

    • 承認されていないネットワークがデータ センターで会話している場合は、NSG ルールを修正してそれらをブロックします。

      次の図に示すように、[環境][マップの表示] を選択します。

      Screenshot of dashboard showcasing traffic distribution.

  • geo マップの上部には、データ センター (デプロイ済み/デプロイなし/アクティブ/非アクティブ/Traffic Analytics 有効/Traffic Analytics 無効) や、アクティブなデプロイへの問題のないトラフィックまたは悪意のあるトラフィックに関与している国/リージョンなどのパラメーターを選択できるリボンが表示されます。

    Screenshot of geo map view showcasing active deployment.

  • geo マップには、通信している国/リージョンや大陸からデータ センターへのトラフィック分布が、青色 (問題のないトラフィック) と赤色 (悪意のあるトラフィック) の線で表示されます。

    Screenshot of geo map view showcasing traffic distribution to countries/regions and continents.

    Screenshot of flow details for traffic distribution in log search.

  • また、Azure リージョンの [その他の分析情報] ブレードには、そのリージョン内に残っている合計トラフィック (つまり、同じリージョン内の送信元と宛先) が表示されます。 さらに、データセンターの可用性ゾーン間で交換されるトラフィックの分析情報が提供されます

    Screenshot of Inter Zone and Intra region traffic.

仮想ネットワークごとのトラフィック分布を視覚化する

調査項目

  • 仮想ネットワークごとのトラフィック分布、トポロジ、仮想ネットワークへのトラフィックの上位の送信元、仮想ネットワークと会話している上位の承認されていないネットワーク、上位の会話しているアプリケーション プロトコル。

    • どの仮想ネットワークがどの仮想ネットワークと会話しているかを把握します。 会話が想定外の場合は修正できます。

    • 承認されていないネットワークが仮想ネットワークと会話している場合は、NSG ルールを修正して承認されていないネットワークをブロックできます。

      次の図に示すように、[環境][VNet の表示] を選択します。

      Screenshot of dashboard showcasing virtual network distribution.

  • 仮想ネットワーク トポロジの上部には、仮想ネットワーク (仮想ネットワーク間接続/アクティブ/非アクティブ)、仮想ネットワークの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。

  • サブスクリプション、ワークスペース、リソース グループ、および時間間隔に基づいて、仮想ネットワーク トポロジをフィルター処理することができます。 フローの理解に役立つ追加のフィルターは次のとおりです。フローの種類 (InterVNet、IntraVNET など)、フローの方向 (受信、送信)、フローの状態 (許可、ブロック)、VNet (対象および接続)、接続の種類 (ピアリングまたはゲートウェイ - P2S および S2S)、NSG。 これらのフィルターを使用して、詳細に調べる VNet に照準を絞ります。

  • マウスのスクロールホイールを使用して Virtual Network トポロジを表示するときに、ズームインとズームアウトを行うことができます。 マウスを左クリックして移動すると、トポロジを目的の方向にドラッグできるようになります。 また、キーボードショートカットを使用して、A (左にドラッグ)、D (右にドラッグ)、W (上へドラッグ)、S (下へドラッグ)、+ (ズームイン)、- (ズームアウト)、R (ズームリセット) を実行することもできます。

  • 仮想ネットワーク トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、ネットワーク セキュリティ グループなどについて、仮想ネットワークへのトラフィック分布が表示されます。

    Screenshot of virtual network topology showcasing traffic distribution and flow details.

    Screenshot of virtual network topology showcasing top level and more filters.

    Screenshot of flow details for virtual network traffic distribution in log search.

調査項目

  • サブネットごとのトラフィック分布、トポロジ、サブネットへのトラフィックの上位の送信元、サブネットと会話している上位の非承認ネットワーク、上位の会話しているアプリケーション プロトコル。

    • どのサブネットがどのサブネットと会話しているかを把握します。 想定外の会話がある場合は、構成を修正できます。
    • 非承認ネットワークがサブネットと会話している場合は、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。

  • サブネット トポロジの上部には、アクティブ/非アクティブなサブネット、サブネットの外部接続、アクティブなフロー、悪意のあるフローなどのパラメーターを選択できるリボンが表示されます。

  • マウスのスクロールホイールを使用して Virtual Network トポロジを表示するときに、ズームインとズームアウトを行うことができます。 マウスを左クリックして移動すると、トポロジを目的の方向にドラッグできるようになります。 また、キーボードショートカットを使用して、A (左にドラッグ)、D (右にドラッグ)、W (上へドラッグ)、S (下へドラッグ)、+ (ズームイン)、- (ズームアウト)、R (ズームリセット) を実行することもできます。

  • サブネット トポロジには、フロー (許可された/ブロックされた/受信/送信/問題のない/悪意のあるフロー)、アプリケーション プロトコル、NSG などについて、仮想ネットワークへのトラフィック分布が表示されます。

    Screenshot of subnet topology showcasing traffic distribution to a virtual network subnet with regards to flows.

調査項目

Application Gateway および Load Balancer ごとのトラフィック分布、トポロジ、トラフィックの上位の送信元、Application Gateway および Load Balancer と会話している上位の非承認ネットワーク、および上位の会話しているアプリケーション プロトコル。

  • どのサブネットがどの Application Gateway または Load Balancer と会話しているかを把握します。 想定外の会話を見つけた場合は、構成を修正できます。

  • 非承認ネットワークが、Application Gateway または Load Balancer と会話している場合、非承認ネットワークをブロックするように NSG ルールを構成することで修正できます。

    Screenshot shows a subnet topology with traffic distribution to an application gateway subnet regarding flows.

インターネットからのトラフィックを受信するポートと仮想マシンを表示する

調査項目

  • インターネット経由で会話しているのは開いているどのポートか。

    • 想定外のポートが開いていることがわかった場合は、構成を修正できます。

      Screenshot of dashboard showcasing ports receiving and sending traffic to the internet.

      Screenshot of Azure destination ports and hosts details.

調査項目

環境に悪意のあるトラフィックはあるか。 そのトラフィックの送信元はどこか。 宛先はどこか。

Screenshot of malicious traffic flows detail in log search.

お使いのデプロイと対話するパブリック IP に関する情報を表示する

調査項目

  • どのパブリック IP が自分のネットワークと通信しているか。 すべてのパブリック IP の WHOIS データおよび地理的な場所は何か。
  • どの悪意のある IP がトラフィックを自分のデプロイに送信しているか。 悪意のある IP の脅威の種類と脅威の説明。

    • パブリック IP 情報セクションには、ご自身のネットワーク トラフィック内に存在するすべての種類のパブリック IP の概要が提供されます。 詳細を表示するには、目的のパブリック IP の種類を選択します。 表示されるデータ フィールドは、このスキーマ ドキュメントにより定義されます。

      Screenshot that displays the public IP information.

    • トラフィック分析ダッシュボード上で、任意の IP を選択すると、その情報が表示されます

      Screenshot that displays the external IP information in tool tip.

      Screenshot that displays the malicious IP information in tool tip.

調査項目

  • フロー分布の比較グラフでは、どの NSG/NSG ルールが最も多くヒットしているか。

  • NSG/NSG ルールごとの上位の送信元と宛先の会話ペアはどれか。

    Screenshot of dashboard showcasing NSG hits statistics.

  • 次の図は、NSG ルールのヒット数の時間的傾向と、ネットワーク セキュリティ グループの送信元と宛先間のフローの詳細を示しています。

    • どの NSG および NSG ルールで悪意のあるフローを走査していて、お使いのクラウド環境に最もよくアクセスしている IP アドレスはどれかを迅速に検出する

    • どの NSG/NSG ルールが重大なネットワーク トラフィックを許可/ブロックしているかを特定する

    • 上位のフィルターを選択して、NSG または NSG ルールをより詳細に検査する

      Screenshot showcasing time trending for NSG rule hits and top NSG rules.

      Screenshot of top N S G rules statistics details in log search.