Análise de TráfegoTraffic Analytics

Traffic Analytics é uma solução baseada na nuvem que proporciona visibilidade à atividade do utilizador e da aplicação em redes em nuvem.Traffic Analytics is a cloud-based solution that provides visibility into user and application activity in cloud networks. A análise de tráfego analisa os registos de fluxo do Grupo de Segurança da Rede Observador (NSG) para fornecer informações sobre o fluxo de tráfego na sua nuvem Azure.Traffic analytics analyzes Network Watcher network security group (NSG) flow logs to provide insights into traffic flow in your Azure cloud. Com análises de tráfego, pode:With traffic analytics, you can:

  • Visualize a atividade da rede através das suas subscrições Azure e identifique pontos quentes.Visualize network activity across your Azure subscriptions and identify hot spots.
  • Identifique ameaças de segurança para, e proteja a sua rede, com informações como portas abertas, aplicações que tentam aceder à Internet e máquinas virtuais (VM) conectando-se a redes fraudulentas.Identify security threats to, and secure your network, with information such as open-ports, applications attempting internet access, and virtual machines (VM) connecting to rogue networks.
  • Compreenda os padrões de fluxo de tráfego em todas as regiões de Azure e na internet para otimizar a implementação da sua rede para desempenho e capacidade.Understand traffic flow patterns across Azure regions and the internet to optimize your network deployment for performance and capacity.
  • Identifique as configurações erradas da rede que conduzam a ligações falhadas na sua rede.Pinpoint network misconfigurations leading to failed connections in your network.

Nota

Traffic Analytics agora suporta a recolha de dados de Registos de Fluxo NSG numa frequência mais elevada de 10 minutosTraffic Analytics now supports collecting NSG Flow Logs data at a higher frequency of 10 mins

Nota

Este artigo foi atualizado para utilizar o módulo Azure Az PowerShell.This article has been updated to use the Azure Az PowerShell module. O módulo Az PowerShell é o módulo do PowerShell recomendado para interagir com o Azure.The Az PowerShell module is the recommended PowerShell module for interacting with Azure. Para começar a utilizar o módulo Azure PowerShell, veja Instalar o Azure PowerShell.To get started with the Az PowerShell module, see Install Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Por que análise de tráfego?Why traffic analytics?

É vital monitorizar, gerir e conhecer a sua própria rede para segurança, conformidade e desempenho descompromissados.It is vital to monitor, manage, and know your own network for uncompromised security, compliance, and performance. Conhecer o seu próprio ambiente é da maior importância protegê-lo e otimizá-lo.Knowing your own environment is of paramount importance to protect and optimize it. É frequente saber o estado atual da rede, quem está a ligar-se, de onde estão a ligar-se, quais as portas abertas à internet, o comportamento esperado da rede, o comportamento irregular da rede e o aumento súbito do tráfego.You often need to know the current state of the network, who is connecting, where they're connecting from, which ports are open to the internet, expected network behavior, irregular network behavior, and sudden rises in traffic.

As redes em nuvem são diferentes das redes empresariais no local, onde você tem fluxo de rede ou protocolo equivalente com capacidade de routers e switches, que fornecem a capacidade de recolher tráfego de rede IP à medida que entra ou sai de uma interface de rede.Cloud networks are different than on-premises enterprise networks, where you have netflow or equivalent protocol capable routers and switches, which provide the capability to collect IP network traffic as it enters or exits a network interface. Ao analisar dados de fluxo de tráfego, pode construir uma análise do fluxo de tráfego de rede e volume.By analyzing traffic flow data, you can build an analysis of network traffic flow and volume.

As redes virtuais Azure têm registos de fluxo NSG, que lhe fornecem informações sobre o tráfego IP de entrada e saída através de um Grupo de Segurança de Rede associado a interfaces de rede individuais, VMs ou sub-redes.Azure virtual networks have NSG flow logs, which provide you information about ingress and egress IP traffic through a Network Security Group associated to individual network interfaces, VMs, or subnets. Ao analisar registos de fluxo de NSG crus e inserir inteligência de segurança, topologia e geografia, a análise de tráfego pode fornecer-lhe informações sobre o fluxo de tráfego no seu ambiente.By analyzing raw NSG flow logs, and inserting intelligence of security, topology, and geography, traffic analytics can provide you with insights into traffic flow in your environment. Traffic Analytics fornece informações como a maioria dos anfitriões comunicadores, a maioria dos protocolos de aplicação comunicando, a maioria dos pares de anfitriões conversões, tráfego permitido/bloqueado, tráfego de entrada/saída, portas de internet abertas, a maioria das regras de bloqueio, distribuição de tráfego por datacenter Azure, rede virtual, sub-redes ou redes fraudulentas.Traffic Analytics provides information such as most communicating hosts, most communicating application protocols, most conversing host pairs, allowed/blocked traffic, inbound/outbound traffic, open internet ports, most blocking rules, traffic distribution per Azure datacenter, virtual network, subnets, or, rogue networks.

Componentes principaisKey components

  • Grupo de segurança de rede (NSG): Contém uma lista de regras de segurança que permitem ou negam o tráfego de rede a recursos ligados a uma Rede Virtual Azure.Network security group (NSG): Contains a list of security rules that allow or deny network traffic to resources connected to an Azure Virtual Network. Os NSGs podem ser associados a sub-redes, VMs individuais (clássicas) ou a interfaces de rede individuais (NIC) ligadas a VMs (Resource Manager).NSGs can be associated to subnets, individual VMs (classic), or individual network interfaces (NIC) attached to VMs (Resource Manager). Para obter mais informações, consulte a visão geral do grupo de segurança da rede.For more information, see Network security group overview.
  • Registos de fluxo do grupo de segurança da rede (NSG): Permita-lhe visualizar informações sobre o tráfego IP de entrada e saída através de um grupo de segurança de rede.Network security group (NSG) flow logs: Allow you to view information about ingress and egress IP traffic through a network security group. Os registos de fluxo NSG são escritos em formato json e mostram fluxos de saída e de entrada por regra, o NIC o fluxo aplica-se a, cinco tuple informações sobre o fluxo (endereço IP de origem/destino, porta de origem/destino e protocolo), e se o tráfego foi permitido ou negado.NSG flow logs are written in json format and show outbound and inbound flows on a per rule basis, the NIC the flow applies to, five-tuple information about the flow (source/destination IP address, source/destination port, and protocol), and if the traffic was allowed or denied. Para obter mais informações sobre os registos de fluxo NSG, consulte os registos de fluxo NSG.For more information about NSG flow logs, see NSG flow logs.
  • Log Analytics: Um serviço Azure que recolhe dados de monitorização e armazena os dados num repositório central.Log Analytics: An Azure service that collects monitoring data and stores the data in a central repository. Estes dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos através da AZure API.This data can include events, performance data, or custom data provided through the Azure API. Depois de recolhidos, os dados estão disponíveis para alertas, análises e exportação.Once collected, the data is available for alerting, analysis, and export. Aplicações de monitorização como monitor de desempenho de rede e análise de tráfego são construídas usando registos do Azure Monitor como uma fundação.Monitoring applications such as network performance monitor and traffic analytics are built using Azure Monitor logs as a foundation. Para obter mais informações, consulte os registos do Monitor Azure.For more information, see Azure Monitor logs.
  • Log Analytics workspace: Uma instância de registos do Azure Monitor, onde os dados relativos a uma conta Azure, são armazenados.Log Analytics workspace: An instance of Azure Monitor logs, where the data pertaining to an Azure account, is stored. Para obter mais informações sobre os espaços de trabalho do Log Analytics, consulte Criar um espaço de trabalho Log Analytics.For more information about Log Analytics workspaces, see Create a Log Analytics workspace.
  • Monitor de rede: Um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede em Azure.Network Watcher: A regional service that enables you to monitor and diagnose conditions at a network scenario level in Azure. Pode ligar e desligar os registos de fluxo NSG com o Network Watcher.You can turn NSG flow logs on and off with Network Watcher. Para mais informações, consulte o Network Watcher.For more information, see Network Watcher.

Como funciona a análise de tráfegoHow traffic analytics works

A análise do tráfego examina os registos de fluxo de NSG brutos e captura registos reduzidos agregando fluxos comuns entre o mesmo endereço IP de origem, endereço IP de destino, porta de destino e protocolo.Traffic analytics examines the raw NSG flow logs and captures reduced logs by aggregating common flows among the same source IP address, destination IP address, destination port, and protocol. Por exemplo, o Anfitrião 1 (endereço IP: 10.10.10.10) comunicando ao Anfitrião 2 (endereço IP: 10.10.20.10), 100 vezes durante um período de 1 hora usando a porta (por exemplo, 80) e o protocolo (por exemplo, http).For example, Host 1 (IP address: 10.10.10.10) communicating to Host 2 (IP address: 10.10.20.10), 100 times over a period of 1 hour using port (for example, 80) and protocol (for example, http). O registo reduzido tem uma entrada, que o Anfitrião 1 & Anfitrião 2 comunicou 100 vezes durante um período de 1 hora usando a porta 80 e o protocolo HTTP, em vez de ter 100 entradas.The reduced log has one entry, that Host 1 & Host 2 communicated 100 times over a period of 1 hour using port 80 and protocol HTTP, instead of having 100 entries. Os registos reduzidos são melhorados com informações de geografia, segurança e topologia, e depois armazenados num espaço de trabalho log analytics.Reduced logs are enhanced with geography, security, and topology information, and then stored in a Log Analytics workspace. A imagem a seguir mostra o fluxo de dados:The following picture shows the data flow:

Fluxo de dados para o processamento de registos de fluxo de NSG

Regiões apoiadas: NSGSupported regions: NSG

Pode utilizar análises de tráfego para NSGs em qualquer uma das seguintes regiões apoiadas:You can use traffic analytics for NSGs in any of the following supported regions:

Austrália CentralAustralia Central
Leste da AustráliaAustralia East
Austrália SudesteAustralia Southeast
Sul do BrasilBrazil South
Canadá CentralCanada Central
Leste do CanadáCanada East
Índia CentralCentral India
E.U.A. CentralCentral US
China Leste 2China East 2
Norte da ChinaChina North
China Norte 2China North 2

Ásia LesteEast Asia
E.U.A. LesteEast US
E.U.A. Leste 2East US 2
Leste DOS EUA 2East US 2 EUAP
França CentralFrance Central
Alemanha Centro-OesteGermany West Central
Leste do JapãoJapan East
Oeste do JapãoJapan West
Coreia do Sul CentralKorea Central
Sul da Coreia do SulKorea South
E.U.A. Centro-NorteNorth Central US

Europa do NorteNorth Europe
Norte da África do SulSouth Africa North
E.U.A. Centro-SulSouth Central US
Sul da ÍndiaSouth India
Sudeste AsiáticoSoutheast Asia
Suíça NorteSwitzerland North
Suíça OesteSwitzerland West
Uae NorteUAE North
Sul do Reino UnidoUK South
Oeste do Reino UnidoUK West
USGov ArizonaUSGov Arizona

USGov TexasUSGov Texas
USGov VirginiaUSGov Virginia
USNat LesteUSNat East
USNat OesteUSNat West
USSec LesteUSSec East
USSec WestUSSec West
E.U.A. Centro-OesteWest Central US
Europa OcidentalWest Europe
E.U.A. OesteWest US
E.U.A. Oeste 2West US 2

Regiões apoiadas: Log Analytics WorkspacesSupported regions: Log Analytics Workspaces

O espaço de trabalho Log Analytics deve existir nas seguintes regiões:The Log Analytics workspace must exist in the following regions:

Austrália CentralAustralia Central
Leste da AustráliaAustralia East
Austrália SudesteAustralia Southeast
Sul do BrasilBrazil South
Sudeste do BrasilBrazil Southeast
Canadá CentralCanada Central
Índia CentralCentral India
E.U.A. CentralCentral US
China Leste 2China East 2
Ásia LesteEast Asia

E.U.A. LesteEast US
E.U.A. Leste 2East US 2
Leste DOS EUA 2East US 2 EUAP
França CentralFrance Central
Alemanha Centro-OesteGermany West Central
Leste do JapãoJapan East
Oeste do JapãoJapan West
Coreia do Sul CentralKorea Central
E.U.A. Centro-NorteNorth Central US
Europa do NorteNorth Europe

Leste da NoruegaNorway East
Norte da África do SulSouth Africa North
E.U.A. Centro-SulSouth Central US
Sudeste AsiáticoSoutheast Asia
Suíça NorteSwitzerland North
Suíça OesteSwitzerland West
Centro dos Emirados Árabes UnidosUAE Central
Uae NorteUAE North
Sul do Reino UnidoUK South
Oeste do Reino UnidoUK West

USGov ArizonaUSGov Arizona
USGov VirginiaUSGov Virginia
USNat LesteUSNat East
USNat OesteUSNat West
USSec LesteUSSec East
USSec WestUSSec West
E.U.A. Centro-OesteWest Central US
Europa OcidentalWest Europe
E.U.A. OesteWest US
E.U.A. Oeste 2West US 2

Nota

Se os NSGs suportam uma região, mas o espaço de trabalho de análise de log não suporta essa região para análise de tráfego de acordo com as listas acima, então você pode usar o espaço de trabalho de analítica de registo de qualquer outra região apoiada como uma solução alternativa.If NSGs support a region but the log analytics workspace does not support that region for traffic analytics as per above lists, then you can use log analytics workspace of any other supported region as a workaround.

Pré-requisitosPrerequisites

Requisitos de acesso ao utilizadorUser access requirements

A sua conta deve ser membro de uma das seguintes funções incorporadas do Azure:Your account must be a member of one of the following Azure built-in roles:

Modelo de implementaçãoDeployment model FunçãoRole
Resource ManagerResource Manager ProprietárioOwner
ContribuinteContributor
LeitorReader
Contribuidor de RedeNetwork Contributor

Se a sua conta não for atribuída a uma das funções incorporadas, deve ser atribuída a uma função personalizada que seja atribuída às seguintes ações, ao nível da subscrição:If your account is not assigned to one of the built-in roles, it must be assigned to a custom role that is assigned the following actions, at the subscription level:

  • "Microsoft.Network/applicationGateways/read""Microsoft.Network/applicationGateways/read"
  • "Microsoft.Network/connections/read""Microsoft.Network/connections/read"
  • "Microsoft.Network/loadBalancers/read""Microsoft.Network/loadBalancers/read"
  • "Microsoft.Network/localNetworkGateways/read""Microsoft.Network/localNetworkGateways/read"
  • "Microsoft.Network/networkInterfaces/read""Microsoft.Network/networkInterfaces/read"
  • "Microsoft.Network/networkSecurityGroups/read""Microsoft.Network/networkSecurityGroups/read"
  • "Microsoft.Network/publicIPAddresses/read""Microsoft.Network/publicIPAddresses/read"
  • "Microsoft.Network/routeTables/read""Microsoft.Network/routeTables/read"
  • "Microsoft.Network/virtualNetworkGateways/read""Microsoft.Network/virtualNetworkGateways/read"
  • "Microsoft.Network/virtualNetworks/read""Microsoft.Network/virtualNetworks/read"
  • "Microsoft.Network/expressRouteCircuits/read""Microsoft.Network/expressRouteCircuits/read"

Para obter informações sobre como verificar as permissões de acesso ao utilizador, consulte as FAQ de análise de tráfego.For information on how to check user access permissions, see Traffic analytics FAQ.

Ativar o Observador de RedeEnable Network Watcher

Para analisar o tráfego, precisa de ter um observador de rede existente, ou ativar um observador de rede em cada região para onde tem NSGs para os que pretende analisar o tráfego.To analyze traffic, you need to have an existing network watcher, or enable a network watcher in each region that you have NSGs that you want to analyze traffic for. A análise do tráfego pode ser ativada para os NSGs alojados em qualquer uma das regiões apoiadas.Traffic analytics can be enabled for NSGs hosted in any of the supported regions.

Selecione um grupo de segurança de redeSelect a network security group

Antes de permitir a registo de fluxos NSG, tem de ter um grupo de segurança de rede para registar fluxos.Before enabling NSG flow logging, you must have a network security group to log flows for. Se não tiver um grupo de segurança de rede, consulte criar um grupo de segurança de rede para criar um.If you don't have a network security group, see Create a network security group to create one.

No portal Azure, vá ao Observador de Rede e, em seguida, selecione registos de fluxo NSG.In Azure portal, go to Network watcher, and then select NSG flow logs. Selecione o grupo de segurança de rede para o quais pretende ativar um registo de fluxo NSG, como mostra a seguinte imagem:Select the network security group that you want to enable an NSG flow log for, as shown in the following picture:

Seleção de NSGs que requerem ativação do registo de fluxo NSG

Se tentar ativar a análise de tráfego para um NSG que esteja hospedado em qualquer região que não seja as regiões apoiadas,receberá um erro "Não encontrado".If you try to enable traffic analytics for an NSG that is hosted in any region other than the supported regions, you receive a "Not found" error.

Ativar as definições de registo de fluxoEnable flow log settings

Antes de ativar as definições de registo de fluxo, deve completar as seguintes tarefas:Before enabling flow log settings, you must complete the following tasks:

Registe-se no fornecedor Azure Insights, se ainda não estiver registado para a sua subscrição:Register the Azure Insights provider, if it's not already registered for your subscription:

Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Se ainda não tiver uma conta de Armazenamento Azure para armazenar registos de fluxo NSG, tem de criar uma conta de armazenamento.If you don't already have an Azure Storage account to store NSG flow logs in, you must create a storage account. Pode criar uma conta de armazenamento com o comando que se segue.You can create a storage account with the command that follows. Antes de executar o comando, <replace-with-your-unique-storage-account-name> substitua por um nome único em todos os locais do Azure, entre 3-24 caracteres de comprimento, utilizando apenas números e letras minúsculas.Before running the command, replace <replace-with-your-unique-storage-account-name> with a name that is unique across all Azure locations, between 3-24 characters in length, using only numbers and lower-case letters. Pode também alterar o nome do grupo de recursos, se necessário.You can also change the resource group name, if necessary.

New-AzStorageAccount `
  -Location westcentralus `
  -Name <replace-with-your-unique-storage-account-name> `
  -ResourceGroupName myResourceGroup `
  -SkuName Standard_LRS `
  -Kind StorageV2

Selecione as seguintes opções, como mostra a imagem:Select the following options, as shown in the picture:

  1. Selecione On para o estadoSelect On for Status
  2. Selecione a versão 2 para a versão Flow Logs.Select Version 2 for Flow Logs version. A versão 2 contém estatísticas de sessão de fluxo (Bytes e Pacotes)Version 2 contains flow-session statistics (Bytes and Packets)
  3. Selecione uma conta de armazenamento existente para armazenar os registos de fluxo.Select an existing storage account to store the flow logs in. Certifique-se de que o seu armazenamento não tem "Data Lake Storage Gen2 Hierarchical Namespace Enabled" definido para ser verdadeiro.Ensure that your storage does not have "Data Lake Storage Gen2 Hierarchical Namespace Enabled" set to true.
  4. Desabar a Retenção para o número de dias para os dias para os que pretende armazenar os dados.Set Retention to the number of days you want to store data for. Se quiser armazenar os dados para sempre, desa um valor para 0.If you want to store the data forever, set the value to 0. Incorre nas taxas de armazenamento do Azure para a conta de armazenamento.You incur Azure Storage fees for the storage account.
  5. Selecione on for Traffic Analytics Status.Select On for Traffic Analytics Status.
  6. Selecione o intervalo de processamento.Select processing interval. Com base na sua escolha, os registos de fluxo serão recolhidos a partir da conta de armazenamento e processados pela Traffic Analytics.Based on your choice, flow logs will be collected from storage account and processed by Traffic Analytics. Pode escolher o intervalo de processamento de cada 1 hora ou a cada 10 minutos.You can choose processing interval of every 1 hour or every 10 mins.
  7. Selecione um espaço de trabalho de Log Analytics (OMS) existente ou selecione Criar novo espaço de trabalho para criar um novo.Select an existing Log Analytics (OMS) Workspace, or select Create New Workspace to create a new one. Um espaço de trabalho Log Analytics é utilizado pela Traffic Analytics para armazenar os dados agregados e indexados que são depois utilizados para gerar a análise.A Log Analytics workspace is used by Traffic Analytics to store the aggregated and indexed data that is then used to generate the analytics. Se selecionar um espaço de trabalho existente, deve existir numa das regiões apoiadas e ter sido atualizado para a nova linguagem de consulta.If you select an existing workspace, it must exist in one of the supported regions and have been upgraded to the new query language. Se não pretender atualizar um espaço de trabalho existente, ou não tiver um espaço de trabalho numa região apoiada, crie um novo espaço de trabalho.If you do not wish to upgrade an existing workspace, or do not have a workspace in a supported region, create a new one. Para obter mais informações sobre idiomas de consulta, consulte o upgrade do Azure Log Analytics para nova pesquisa de registo.For more information about query languages, see Azure Log Analytics upgrade to new log search.

Nota

O espaço de trabalho de análise de log analytics que acolhe a solução de análise de tráfego e os NSGs não têm de estar na mesma região.The log analytics workspace hosting the traffic analytics solution and the NSGs do not have to be in the same region. Por exemplo, você pode ter análises de tráfego em um espaço de trabalho na região da Europa Ocidental, enquanto você pode ter NSGs em Leste dos EUA e Eua Ocidental.For example, you may have traffic analytics in a workspace in the West Europe region, while you may have NSGs in East US and West US. Vários NSGs podem ser configurados no mesmo espaço de trabalho.Multiple NSGs can be configured in the same workspace.

  1. Selecione Guardar.Select Save.

    Seleção de conta de armazenamento, espaço de trabalho Log Analytics e Ativação de Análise de Tráfego

Repita os passos anteriores para quaisquer outros NSGs para os quais deseja ativar a análise do tráfego.Repeat the previous steps for any other NSGs for which you wish to enable traffic analytics for. Os dados dos registos de fluxo são enviados para o espaço de trabalho, de modo a garantir que as leis e regulamentos locais no seu país/região permitem o armazenamento de dados na região onde o espaço de trabalho existe.Data from flow logs is sent to the workspace, so ensure that the local laws and regulations in your country/region permit data storage in the region where the workspace exists. Se tiver definido diferentes intervalos de processamento para diferentes NSGs, os dados serão recolhidos em intervalos diferentes.If you have set different processing intervals for different NSGs, data will be collected at different intervals. Por exemplo: Pode optar por ativar um intervalo de processamento de 10 minutos para VNETs críticos e 1 hora para VNETs não críticos.For example: You can choose to enable processing interval of 10 mins for critical VNETs and 1 hour for noncritical VNETs.

Também pode configurar análises de tráfego utilizando o cmdlet Set-AzNetworkWatcherConfigFlowLog PowerShell em Azure PowerShell.You can also configure traffic analytics using the Set-AzNetworkWatcherConfigFlowLog PowerShell cmdlet in Azure PowerShell. Corra Get-Module -ListAvailable Az para encontrar a sua versão instalada.Run Get-Module -ListAvailable Az to find your installed version. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell).If you need to upgrade, see Install Azure PowerShell module.

Ver análise de tráfegoView traffic analytics

Para ver Traffic Analytics, procure o Observador de Redes na barra de pesquisa do portal.To view Traffic Analytics, search for Network Watcher in the portal search bar. Uma vez dentro do Network Watcher, para explorar a análise de tráfego e as suas capacidades, selecione Traffic Analytics a partir do menu esquerdo.Once inside Network Watcher, to explore traffic analytics and its capabilities, select Traffic Analytics from the left menu.

Aceder ao painel traffic Analytics

O painel de instrumentos pode demorar até 30 minutos a aparecer pela primeira vez porque o Traffic Analytics deve primeiro agregar dados suficientes para obter insights significativos, antes que possa gerar quaisquer relatórios.The dashboard may take up to 30 minutes to appear the first time because Traffic Analytics must first aggregate enough data for it to derive meaningful insights, before it can generate any reports.

Cenários de utilizaçãoUsage scenarios

Algumas das ideias que pode querer obter depois de a Traffic Analytics estar totalmente configurada, são as seguintes:Some of the insights you might want to gain after Traffic Analytics is fully configured, are as follows:

Encontre pontos de trânsitoFind traffic hotspots

ProcurarLook for

  • Que anfitriões, sub-redes e redes virtuais estão a enviar ou a receber mais tráfego, atravessando o tráfego malicioso máximo e bloqueando fluxos significativos?Which hosts, subnets, and virtual networks are sending or receiving the most traffic, traversing maximum malicious traffic and blocking significant flows?

    • Verifique o gráfico comparativo para o anfitrião, sub-rede e rede virtual.Check comparative chart for host, subnet, and virtual network. Compreender quais os anfitriões, sub-redes e redes virtuais que estão a enviar ou receber o maior tráfego pode ajudá-lo a identificar os anfitriões que estão a processar mais tráfego, e se a distribuição de tráfego é feita corretamente.Understanding which hosts, subnets, and virtual networks are sending or receiving the most traffic can help you identify the hosts that are processing the most traffic, and whether the traffic distribution is done properly.
    • Pode avaliar se o volume de tráfego é apropriado para um hospedeiro.You can evaluate if the volume of traffic is appropriate for a host. O volume de tráfego é um comportamento normal, ou merece uma investigação mais aprofundada?Is the volume of traffic normal behavior, or does it merit further investigation?
  • Quanto tráfego de entrada/saída existe?How much inbound/outbound traffic is there?

    • Espera-se que o hospedeiro receba mais tráfego de entrada do que de saída, ou vice-versa?Is the host expected to receive more inbound traffic than outbound, or vice-versa?
  • Estatísticas do tráfego bloqueado.Statistics of blocked traffic.

    • Porque é que um hospedeiro está a bloquear um volume significativo de tráfego benigno?Why is a host blocking a significant volume of benign traffic? Este comportamento requer mais investigação e, provavelmente, otimização da configuraçãoThis behavior requires further investigation and probably optimization of configuration
  • Estatísticas de tráfego malicioso permitido/bloqueadoStatistics of malicious allowed/blocked traffic

    • Porque é que um hospedeiro está a receber tráfego malicioso e porque é que os fluxos de fontes maliciosas são permitidos?Why is a host receiving malicious traffic and why are flows from malicious sources allowed? Este comportamento requer mais investigação e provavelmente otimização da configuração.This behavior requires further investigation and probably optimization of configuration.

      Selecione Ver tudo, em Host, como mostra a seguinte imagem:Select See all, under Host, as shown in the following picture:

      Painel de instrumentos mostrando anfitrião com a maioria dos detalhes do tráfego

  • A imagem a seguir mostra a tendência do tempo para os cinco anfitriões falantes e os detalhes relacionados com o fluxo (permitidos - entradas/saídas e negados - fluxos de entrada/saída) para um hospedeiro:The following picture shows time trending for the top five talking hosts and the flow-related details (allowed – inbound/outbound and denied - inbound/outbound flows) for a host:

    Top 5 da tendência de anfitrião mais falante

ProcurarLook for

  • Quais são os pares de anfitriões mais conversadores?Which are the most conversing host pairs?

    • Comportamento esperado como comunicação frontal ou back-end ou comportamento irregular, como tráfego de internet back-end.Expected behavior like front-end or back-end communication or irregular behavior, like back-end internet traffic.
  • Estatísticas do tráfego permitido/bloqueadoStatistics of allowed/blocked traffic

    • Porque é que um hospedeiro está a permitir ou a bloquear um volume significativo de tráfegoWhy a host is allowing or blocking significant traffic volume
  • Protocolo de aplicação mais frequentemente usado entre a maioria dos pares de anfitriões conversantes:Most frequently used application protocol among most conversing host pairs:

    • Estas aplicações são permitidas nesta rede?Are these applications allowed on this network?

    • As aplicações estão configuradas corretamente?Are the applications configured properly? Estão a utilizar o protocolo adequado para a comunicação?Are they using the appropriate protocol for communication? Selecione Ver tudo em Conversação Frequente, como mostra na seguinte imagem:Select See all under Frequent conversation, as show in the following picture:

      Painel de instrumentos mostrando a conversa mais frequente

  • A imagem que se segue mostra a tendência do tempo para as cinco melhores conversas e os detalhes relacionados com o fluxo, tais como fluxos de entrada e saída permitidos e negados para um par de conversação:The following picture shows time trending for the top five conversations and the flow-related details such as allowed and denied inbound and outbound flows for a conversation pair:

    Top cinco detalhes de conversa tagarela e tendência

ProcurarLook for

  • Qual o protocolo de aplicação mais utilizado no seu ambiente e quais os pares de anfitriões que mais usam o protocolo de aplicação?Which application protocol is most used in your environment, and which conversing host pairs are using the application protocol the most?

    • Estas aplicações são permitidas nesta rede?Are these applications allowed on this network?

    • As aplicações estão configuradas corretamente?Are the applications configured properly? Estão a utilizar o protocolo adequado para a comunicação?Are they using the appropriate protocol for communication? O comportamento esperado é em portos comuns como 80 e 443.Expected behavior is common ports such as 80 and 443. Para a comunicação padrão, se forem apresentadas portas incomuns, poderão necessitar de uma alteração de configuração.For standard communication, if any unusual ports are displayed, they might require a configuration change. Selecione Ver tudo na porta aplicação, na seguinte imagem:Select See all under Application port, in the following picture:

      Dashboard mostrando protocolos de aplicação superiores

  • As seguintes imagens mostram a tendência do tempo para os cinco principais protocolos L7 e os detalhes relacionados com o fluxo (por exemplo, fluxos permitidos e negados) para um protocolo L7:The following pictures show time trending for the top five L7 protocols and the flow-related details (for example, allowed and denied flows) for an L7 protocol:

    Detalhes e tendência dos protocolos de 7 camadas 7

    Detalhes do fluxo para protocolo de aplicação na pesquisa de registo

ProcurarLook for

  • Tendências de utilização da capacidade de uma porta de entrada VPN no seu ambiente.Capacity utilization trends of a VPN gateway in your environment.

    • Cada VPN SKU permite uma certa quantidade de largura de banda.Each VPN SKU allows a certain amount of bandwidth. Os gateways VPN estão subutilizados?Are the VPN gateways underutilized?
    • Os seus portais estão a atingir a capacidade?Are your gateways reaching capacity? Deve fazer upgrade para o próximo SKU superior?Should you upgrade to the next higher SKU?
  • Quais são os anfitriões mais conversadores, através do portal VPN, sobre qual porto?Which are the most conversing hosts, via which VPN gateway, over which port?

    • Este padrão é normal?Is this pattern normal? Selecione Veja tudo sob o gateway VPN, como mostra a seguinte imagem:Select See all under VPN gateway, as shown in the following picture:

      Painel de instrumentos mostrando ligações VPN ativas de topo

  • A imagem a seguir mostra a tendência do tempo para a utilização da capacidade de um Gateway Azure VPN e os detalhes relacionados com o fluxo (tais como fluxos permitidos e portas):The following picture shows time trending for capacity utilization of an Azure VPN Gateway and the flow-related details (such as allowed flows and ports):

    Tendência de utilização de gateway VPN e detalhes do fluxo

Visualizar a distribuição de tráfego por geografiaVisualize traffic distribution by geography

ProcurarLook for

  • Distribuição de tráfego por centro de dados, como as principais fontes de tráfego para um datacenter, redes fraudulentas de topo conversando com o centro de dados, e protocolos de aplicação de conversação de topo.Traffic distribution per data center such as top sources of traffic to a datacenter, top rogue networks conversing with the data center, and top conversing application protocols.

    • Se observar mais carga num centro de dados, pode planear uma distribuição eficiente do tráfego.If you observe more load on a data center, you can plan for efficient traffic distribution.

    • Se as redes fraudulentas estiverem a conversar no centro de dados, corrija as regras do NSG para as bloquear.If rogue networks are conversing in the data center, then correct NSG rules to block them.

      Selecione Ver mapa no seu ambiente, como mostra a seguinte imagem:Select View map under Your environment, as shown in the following picture:

      Painel de instrumentos mostrando distribuição de tráfego

  • O geo-mapa mostra a fita superior para a seleção de parâmetros como centros de dados (Implantado/Não-implantação/Ative/Inative/Traffic Analytics Enabled/Traffic Analytics Não Habilitado) e países/regiões que contribuem com tráfego benigno/malicioso para a implementação ativa:The geo-map shows the top ribbon for selection of parameters such as data centers (Deployed/No-deployment/Active/Inactive/Traffic Analytics Enabled/Traffic Analytics Not Enabled) and countries/regions contributing Benign/Malicious traffic to the active deployment:

    Vista de mapa geo mostrando implementação ativa

  • O geo-mapa mostra a distribuição de tráfego para um centro de dados de países/regiões e continentes que comunicam a ele em linhas coloridas azuis (tráfego benigno) e vermelhas (tráfego malicioso):The geo-map shows the traffic distribution to a data center from countries/regions and continents communicating to it in blue (Benign traffic) and red (malicious traffic) colored lines:

    Vista de mapa geo que mostra distribuição de tráfego para países/regiões e continentes

    Detalhes do fluxo para distribuição de tráfego na pesquisa de registos

Visualizar a distribuição de tráfego por redes virtuaisVisualize traffic distribution by virtual networks

ProcurarLook for

  • Distribuição de tráfego por rede virtual, topologia, principais fontes de tráfego para a rede virtual, redes fraudulentas de topo que conversam com a rede virtual e protocolos de aplicação de conversação de topo.Traffic distribution per virtual network, topology, top sources of traffic to the virtual network, top rogue networks conversing to the virtual network, and top conversing application protocols.

    • Saber qual rede virtual está a conversar com que rede virtual.Knowing which virtual network is conversing to which virtual network. Se a conversa não for esperada, pode ser corrigida.If the conversation is not expected, it can be corrected.

    • Se as redes fraudulentas estiverem a conversar com uma rede virtual, pode corrigir as regras NSG para bloquear as redes fraudulentas.If rogue networks are conversing with a virtual network, you can correct NSG rules to block the rogue networks.

      Selecione Ver VNets no seu ambiente, como mostra a seguinte imagem:Select View VNets under Your environment, as shown in the following picture:

      Painel de instrumentos mostrando distribuição de rede virtual

  • A Topologia da Rede Virtual mostra a fita superior para a seleção de parâmetros como o de uma rede virtual (Conexões de rede virtual Inter/Ative/Inative), Conexões Externas, Fluxos Ativos e Fluxos Maliciosos da rede virtual.The Virtual Network Topology shows the top ribbon for selection of parameters like a virtual network's (Inter virtual network Connections/Active/Inactive), External Connections, Active Flows, and Malicious flows of the virtual network.

  • Pode filtrar a Topologia da Rede Virtual com base em subscrições, espaços de trabalho, grupos de recursos e intervalo de tempo.You can filter the Virtual Network Topology based on subscriptions, workspaces, resource groups and time interval. Filtros adicionais que o ajudam a compreender o fluxo são: Flow Type (InterVNet, IntraVNET, e assim por diante), Flow Direction (Entrada, Saída), Estado do Fluxo (Permitido, Bloqueado), VNETs (Direcionado e Conectado), Tipo de Ligação (Peering ou Gateway - P2S e S2S) e NSG.Additional filters that help you understand the flow are: Flow Type (InterVNet, IntraVNET, and so on), Flow Direction (Inbound, Outbound), Flow Status (Allowed, Blocked), VNETs (Targeted and Connected), Connection Type (Peering or Gateway - P2S and S2S), and NSG. Utilize estes filtros para se concentrar em VNets que pretende examinar em detalhe.Use these filters to focus on VNets that you want to examine in detail.

  • A Topologia da Rede Virtual mostra a distribuição de tráfego para uma rede virtual no que diz respeito aos fluxos (Permitido/Bloqueado/Entrada/Saída/Benign/Malicious), protocolo de aplicação e grupos de segurança de rede, por exemplo:The Virtual Network Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and network security groups, for example:

    Topologia de rede virtual mostrando detalhes de distribuição de tráfego e fluxo

    Topologia de rede virtual mostrando o nível superior e mais filtros

    Detalhes do fluxo para distribuição de tráfego de rede virtual na pesquisa de registo

ProcurarLook for

  • Distribuição de tráfego por sub-rede, topologia, principais fontes de tráfego para a sub-rede, redes fraudulentas de topo que convergem para a sub-rede, e protocolos de aplicação de conversação de topo.Traffic distribution per subnet, topology, top sources of traffic to the subnet, top rogue networks conversing to the subnet, and top conversing application protocols.

    • Saber qual sub-rede está a falar com qual sub-rede.Knowing which subnet is conversing to which subnet. Se vir conversas inesperadas, pode corrigir a sua configuração.If you see unexpected conversations, you can correct your configuration.
    • Se as redes fraudulentas estiverem a conversar com uma sub-rede, é possível corrigi-la configurando as regras NSG para bloquear as redes fraudulentas.If rogue networks are conversing with a subnet, you are able to correct it by configuring NSG rules to block the rogue networks.
  • A Topologia das Subnetas mostra a fita superior para a seleção de parâmetros tais como sub-rede Ativa/Inativa, Conexões Externas, Fluxos Ativos e Fluxos Maliciosos da sub-rede.The Subnets Topology shows the top ribbon for selection of parameters such as Active/Inactive subnet, External Connections, Active Flows, and Malicious flows of the subnet.

  • A Topologia da Sub-rede mostra a distribuição de tráfego a uma rede virtual no que diz respeito aos fluxos (Permitido/Bloqueado/Entrada/Saída/Benign/Malicioso), protocolo de aplicação e NSGs, por exemplo:The Subnet Topology shows the traffic distribution to a virtual network with regards to flows (Allowed/Blocked/Inbound/Outbound/Benign/Malicious), application protocol, and NSGs, for example:

    Topologia sub-rede que mostra distribuição de tráfego uma sub-rede de rede virtual no que diz respeito aos fluxos

ProcurarLook for

Distribuição de tráfego por Gateway de aplicação & Balancer de Carga, topologia, principais fontes de tráfego, redes fraudulentas de topo que convergem para o gateway de aplicação & Load Balancer e protocolos de aplicação conversores de topo.Traffic distribution per Application gateway & Load Balancer, topology, top sources of traffic, top rogue networks conversing to the Application gateway & Load Balancer, and top conversing application protocols.

  • Sabendo qual sub-rede está a conversar com que porta de entrada de aplicação ou balanceador de carga.Knowing which subnet is conversing to which Application gateway or Load Balancer. Se observar conversas inesperadas, pode corrigir a sua configuração.If you observe unexpected conversations, you can correct your configuration.

  • Se as redes fraudulentas estiverem a conversar com um gateway de aplicação ou um Balancer de Carga, é possível corrigi-lo configurando as regras NSG para bloquear as redes fraudulentas.If rogue networks are conversing with an Application gateway or Load Balancer, you are able to correct it by configuring NSG rules to block the rogue networks.

    O Screenshot mostra uma topologia de sub-rede com distribuição de tráfego para uma sub-rede de gateway de aplicação no que diz respeito aos fluxos.

Ver portas e máquinas virtuais que recebem tráfego da internetView ports and virtual machines receiving traffic from the internet

ProcurarLook for

  • Que portas abertas estão a conversar pela internet?Which open ports are conversing over the internet?
    • Se forem encontradas portas inesperadas abertas, pode corrigir a sua configuração:If unexpected ports are found open, you can correct your configuration:

      Painel de instrumentos que mostra portas que recebem e enviam tráfego para a internet

      Detalhes dos portos e anfitriões de destino Azure

ProcurarLook for

Tem tráfego malicioso no seu ambiente?Do you have malicious traffic in your environment? De onde vem?Where is it originating from? Para onde está destinado?Where is it destined to?

Fluxos de tráfego maliciosos detalhes na pesquisa de registo

ProcurarLook for

  • Quais as regras NSG/NSG que têm mais sucessos em gráficos comparativos com distribuição de fluxos?Which NSG/NSG rules have the most hits in comparative chart with flows distribution?

  • Quais são os pares de conversação de primeira fonte e destino de acordo com as regras NSG/NSG?What are the top source and destination conversation pairs per NSG/NSG rules?

    Painel de instrumentos que mostra NSG atinge estatísticas

  • As seguintes imagens mostram a tendência do tempo para os acessos das regras NSG e detalhes do fluxo de destino de origem para um grupo de segurança de rede:The following pictures show time trending for hits of NSG rules and source-destination flow details for a network security group:

    • Deteta rapidamente quais as regras de NSGs e NSG que atravessam fluxos maliciosos e quais são os principais endereços IP maliciosos que acedem ao seu ambiente em nuvemQuickly detect which NSGs and NSG rules are traversing malicious flows and which are the top malicious IP addresses accessing your cloud environment

    • Identificar quais as regras NSG/NSG que permitem/bloqueiam tráfego significativo de redeIdentify which NSG/NSG rules are allowing/blocking significant network traffic

    • Selecione filtros de topo para inspeção granular de regras NSG ou NSGSelect top filters for granular inspection of an NSG or NSG rules

      Apresentando tendências de tempo para os sucessos de regras NSG e as principais regras do NSG

      Top NSG regras estatísticas detalhes na pesquisa de registo

Perguntas mais frequentesFrequently asked questions

Para obter respostas a perguntas frequentes, consulte as FAQ de análise de tráfego.To get answers to frequently asked questions, see Traffic analytics FAQ.

Passos seguintesNext steps