Schema- und Datenaggregation in Traffic Analytics

Die Datenverkehrsanalyse (Englisch: Traffic Analytics) ist eine cloudbasierte Lösung, die Einblick in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken bietet. Traffic Analytics analysiert Datenflussprotokolle von Network Watcher, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Mit der Datenverkehrsanalyse können Sie folgende Aktionen durchführen:

  • Visualisieren der Netzwerkaktivität für Ihre Azure-Abonnements und Identifizieren von Hotspots
  • Erkennen von Sicherheitsrisiken für das Netzwerk und Schützen Ihres Netzwerks mithilfe von Informationen zu offenen Ports, Anwendungen, die versuchen, Zugriff auf das Internet zu erhalten, und VMs (virtuellen Computern), die Verbindungen mit betrügerischen Netzwerken herstellen
  • Verstehen von Mustern im Datenverkehr über Azure-Regionen und das Internet zur Optimierung Ihrer Netzwerkbereitstellung im Hinblick auf Leistung und Kapazität
  • Ermitteln von Fehlkonfigurationen im Netzwerk, die zu fehlerhaften Verbindungen in Ihrem Netzwerk führen
  • Kennen der Netzwerkauslastung in Byte, Paketen oder Flows

Daten-Aggregation

  • Alle Datenflussprotokolle in einer Netzwerksicherheitsgruppe zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t werden in Intervallen von einer Minute als Blobs in einem Speicherkonto erfasst.
  • Das Standardverarbeitungsintervall von Traffic Analytics beträgt 60 Minuten. Das bedeutet, dass Traffic Analytics stündlich Blobs aus dem Speicherkonto für die Aggregation auswählt. Wenn jedoch ein Verarbeitungsintervall von 10 Minuten ausgewählt wird, ruft Traffic Analytics stattdessen alle 10 Minuten Blobs aus dem Speicherkonto ab.
  • Flows, die identische Werte für Source IP, Destination IP, Destination port, NSG name, NSG rule, Flow Direction und Transport layer protocol (TCP or UDP) aufweisen, werden bei der Datenverkehrsanalyse in einem einzigen Flow zusammengefasst. (Hinweis: Der Quellport wird bei der Aggregation ausgeschlossen.)
  • Dieser einzelne Datensatz wird ergänzt (Details dazu im folgenden Abschnitt) und von der Datenverkehrsanalyse in Azure Monitor-Protokollen erfasst. Dieser Vorgang kann bis zu 1 Stunde dauern.
  • Das Feld FlowStartTime_t gibt das erste Vorkommen eines solchen aggregierten Flows (gleiches 4-Tupel) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t an.
  • Bei allen Ressourcen in der Datenverkehrsanalyse handelt es sich bei den im Azure-Portal angezeigten Flows um alle Flows, die von Mitgliedern der Netzwerksicherheitsgruppe gesehen werden. In Azure Monitor-Protokollen sehen Benutzer*innen jedoch nur den einzelnen, zusammengefassten Datensatz. Um alle Flows anzuzeigen, verwenden Sie das Feld blob_id, auf das aus dem Speicher verwiesen werden kann. Die Gesamtanzahl von Flows für diesen Datensatz entspricht den einzelnen Flows im Blob.

Mit der folgenden Abfrage können Sie alle Subnetze untersuchen, die in den letzten 30 Tagen mit öffentlichen IP-Adressen außerhalb von Azure interagiert haben.

AzureNetworkAnalytics_CL
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet1_s, Subnet2_s  

Sie können die folgende Abfrage verwenden, um den Blobpfad für die Flows der oben genannten Abfrage aufzurufen:

let TableWithBlobId =
(AzureNetworkAnalytics_CL
   | where SubType_s == "Topology" and ResourceType == "NetworkSecurityGroup" and DiscoveryRegion_s == Region_s and IsFlowEnabled_b
   | extend binTime = bin(TimeProcessed_t, 6h),
            nsgId = strcat(Subscription_g, "/", Name_s),
            saNameSplit = split(FlowLogStorageAccount_s, "/")
   | extend saName = iif(arraylength(saNameSplit) == 3, saNameSplit[2], '')
   | distinct nsgId, saName, binTime)
| join kind = rightouter (
   AzureNetworkAnalytics_CL
   | where SubType_s == "FlowLog"  
   | extend binTime = bin(FlowEndTime_t, 6h)
) on binTime, $left.nsgId == $right.NSGList_s  
| extend blobTime = format_datetime(todatetime(FlowIntervalStartTime_t), "yyyy MM dd hh")
| extend nsgComponents = split(toupper(NSGList_s), "/"), dateTimeComponents = split(blobTime, " ")
| extend BlobPath = strcat("https://", saName,
                        "@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/", nsgComponents[0],
                        "/RESOURCEGROUPS/", nsgComponents[1],
                        "/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/", nsgComponents[2],
                        "/y=", dateTimeComponents[0], "/m=", dateTimeComponents[1], "/d=", dateTimeComponents[2], "/h=", dateTimeComponents[3],
                        "/m=00/macAddress=", replace(@"-", "", MACAddress_s),
                        "/PT1H.json")
| project-away nsgId, saName, binTime, blobTime, nsgComponents, dateTimeComponents;

TableWithBlobId
| where SubType_s == "FlowLog" and FlowStartTime_t >= ago(30d) and FlowType_s == "ExternalPublic"
| project Subnet_s , BlobPath

Die obige Abfrage generiert eine URL, mit der Sie direkt auf das Blob zugreifen können. Dies ist die URL mit Platzhaltern:

https://{storageAccountName}@insights-logs-networksecuritygroupflowevent/resoureId=/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroup}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{networkSecurityGroupName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json

Schema für die Datenverkehrsanalyse

Die Datenverkehrsanalyse basiert auf Azure Monitor-Protokollen, sodass Sie benutzerdefinierte Abfragen für Daten ausführen können, die von der Datenverkehrsanalyse ergänzt wurden, und Warnungen festlegen können.

In der folgenden Tabelle sind die Felder im Schema und ihre Bedeutung für Datenflussprotokolle für Netzwerksicherheitsgruppen (NSGs) aufgeführt.

Feld Format Kommentare
TableName AzureNetworkAnalytics_CL Tabelle für Traffic Analytics-Daten.
SubType_s FlowLog Untertyp für die Flowprotokolle. Verwenden Sie nur FlowLog, die anderen Werte für SubType_s sind für die interne Nutzung bestimmt.
FASchemaVersion_s 2 Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt.
TimeProcessed_t Datum und Uhrzeit (UTC). Der Zeitpunkt, zu dem Traffic Analytics die unformatierten Flowprotokolle aus dem Speicherkonto verarbeitet hat.
FlowIntervalStartTime_t Datum und Uhrzeit (UTC). Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime_t Datum und Uhrzeit (UTC). Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowStartTime_t Datum und Uhrzeit (UTC). Das erste Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t. Dieser Flow wird basierend auf Aggregationslogik aggregiert.
FlowEndTime_t Datum und Uhrzeit (UTC). Das letzte Vorkommen des Flows (der aggregiert wird) im Verarbeitungsintervall des Datenflussprotokolls zwischen FlowIntervalStartTime_t und FlowIntervalEndTime_t. Beim Datenflussprotokoll v2 enthält dieses Feld den Zeitpunkt, zu dem der letzte Flow mit dem gleichen 4-Tupel gestartet wurde (im unformatierten Flowdatensatz als B markiert).
FlowType_s - IntraVNet
- InterVNet
- S2S
- P2S
- AzurePublic
- ExternalPublic
- MaliciousFlow
- Unknown Private
- Unbekannt
Die Definitionen finden Sie unter Hinweise.
SrcIP_s Quell-IP-Adresse In AzurePublic- und ExternalPublic-Flows leer.
DestIP_s IP-Zieladresse In AzurePublic- und ExternalPublic-Flows leer.
VMIP_s IP der VM Wird für AzurePublic- und ExternalPublic-Flows verwendet.
DestPort_d Zielport Port, an dem Datenverkehr eingeht.
L4Protocol_s - T
- U
Transportprotokoll. T = TCP
U = UDP.
L7Protocol_s Name des Protokolls Wird aus dem Zielport abgeleitet.
FlowDirection_s - I = Inbound (eingehend)
- O = Outbound (ausgehend)
Richtung des Flows: ein- oder ausgehend in der Netzwerksicherheitsgruppe pro Datenflussprotokoll.
FlowStatus_s - A = Allowed (zulässig)
- D = Denied (verweigert)
Status des Flows: von der Netzwerksicherheitsgruppe pro Datenflussprotokoll zugelassen oder verweigert.
NSGList_s <ABONNEMENT-ID>/< Die Netzwerksicherheitsgruppe, die dem Flow zugeordnet ist.
NSGRules_s <Indexwert 0>|<NAME_DER_NSG_REGEL>|<Flowrichtung>|<Flowstatus>|<FlowCount ProcessedByRule> Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRule_s NSG_RULENAME Netzwerksicherheitsgruppenregel, die diesen Flow zugelassen oder verweigert hat.
NSGRuleType_s - Benutzerdefiniert
- Standard
Der Typ der vom Flow verwendeten Netzwerksicherheitsgruppenregel.
MACAddress_s MAC-Adresse Die MAC-Adresse des Netzwerkadapters, an dem der Flow erfasst wurde.
Subscription_g Das Abonnement des virtuellen Azure-Netzwerks, der Azure-Netzwerkschnittstelle oder der Azure-VM wird in diesem Feld aufgefüllt. Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Subscription1_g Abonnement-ID Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Subscription2_g Abonnement-ID Abonnement-ID des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Ziel-IP-Adresse im Flow gehört.
Region_s Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse im Flow gehört. Gilt nur für folgende Flowtypen: S2S, P2S, AzurePublic, ExternalPublic, MaliciousFlow und UnknownPrivate (Flowtypen, bei denen es sich bei nur einer Seite um Azure handelt).
Region1_s Azure-Region Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die Quell-IP-Adresse im Flow gehört.
Region2_s Azure-Region Azure-Region des virtuellen Netzwerks, zu dem die Ziel-IP-Adresse im Flow gehört.
NIC_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> Der Netzwerkadapter, der der VM zugeordnet ist, die Datenverkehr sendet oder empfängt.
NIC1_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> Der Netzwerkadapter, der der Quell-IP-Adresse im Flow zugeordnet ist.
NIC2_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> Der Netzwerkadapter, der der Ziel-IP-Adresse im Flow zugeordnet ist.
VM_s <Name_der_Ressourcengruppe>/<Name_der_Netzwerkschnittstelle> Die VM, die der Netzwerkschnittstelle „NIC_s“ zugeordnet ist.
VM1_s <Name_der_Ressourcengruppe>/<Name_der_VM> Die VM, die der Quell-IP-Adresse im Flow zugeordnet ist.
VM2_s <Name_der_Ressourcengruppe>/<Name_der_VM> Die VM, die der Ziel-IP-Adresse im Flow zugeordnet ist.
Subnet_s <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> Das Subnetz, das „NIC_s“ zugeordnet ist.
Subnet1_s <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> Das Subnetz, das der Quell-IP-Adresse im Flow zugeordnet ist.
Subnet2_s <Ressourcengruppenname>/<VNet_Name>/<Subnetzname> Das Subnetz, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways> Das Anwendungsgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
ApplicationGateway2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Anwendungsgateways> Das Anwendungsgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ExpressRouteCircuit1_s <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> ExpressRoute-Verbindungs-ID, wenn der Flow vom Standort über ExpressRoute gesendet wird.
ExpressRouteCircuit2_s <SubscriptionID>/<ResourceGroupName>/<ExpressRouteCircuitName> ExpressRoute-Verbindungs-ID, wenn der Flow von ExpressRoute aus der Cloud empfangen wird.
ExpressRouteCircuitPeeringType_s - AzurePrivatePeering
- AzurePublicPeering
- MicrosoftPeering
Am Flow beteiligter ExpressRoute-Peeringtyp.
LoadBalancer1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls> Das Lastenausgleichsmodul, das der Quell-IP-Adresse im Flow zugeordnet ist.
LoadBalancer2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_Lastenausgleichmoduls> Das Lastenausgleichsmodul, das der Ziel-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway1_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways> Das lokale Netzwerkgateway, das der Quell-IP-Adresse im Flow zugeordnet ist.
LocalNetworkGateway2_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_des_lokalen_Netzwerkgateways> Das lokale Netzwerkgateway, das der Ziel-IP-Adresse im Flow zugeordnet ist.
ConnectionType_s - VNetPeering
- VpnGateway
- ExpressRoute
Der Verbindungstyp.
ConnectionName_s <Abonnement-ID>/<Name_der_Ressourcengruppe>/<Name_der_Verbindung> Der Verbindungsname. Beim Flowtyp P2S lautet die Formatierung <Gatewayname>_<IP-Adresse des VPN-Clients>.
ConnectingVNets_s Durch Leerzeichen getrennte Liste mit Namen virtueller Netzwerke Im Fall einer Hub-Spoke-Topologie werden hier virtuelle Hubnetzwerke aufgefüllt.
Country_s Zweibuchstabiger Ländercode (ISO 3166-1 Alpha-2) Wird für den Flowtyp „ExternalPublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen den gleichen Ländercode auf.
AzureRegion_s Standorte in der Azure-Region Wird für den Flowtyp „AzurePublic“ aufgefüllt. Alle IP-Adressen im Feld „PublicIPs_s“ weisen die gleiche Azure-Region auf.
AllowedInFlows_d Zulässige Anzahl eingehender Flows, die auch die Anzahl von Flows darstellt, die das gleiche eingehende 4-Tupel an der Netzwerkschnittstelle aufweisen, an der der Flow erfasst wurde.
DeniedInFlows_d Anzahl der eingehenden Flows, die abgelehnt wurden. (Eingehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
AllowedOutFlows_d Anzahl der ausgehenden Flows, die zugelassen wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
DeniedOutFlows_d Anzahl der ausgehenden Flows, die abgelehnt wurden. (Ausgehend an der Netzwerkschnittstelle, an der der Flow erfasst wurde.)
FlowCount_d Veraltet. Gesamtanzahl von Flows, die dem gleichen 4-Tupel entsprechen. Bei den Flowtypen „ExternalPublic“ und „AzurePublic“ enthält diese Zahl auch die Flows von verschiedenen PublicIP-Adressen.
InboundPackets_d Stellt Pakete dar, die vom Ziel an die Quelle des Datenflusses gesendet werden. Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
OutboundPackets_d Stellt Pakete dar, die von der Quelle an das Ziel des Datenflusses gesendet werden. Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
InboundBytes_d Stellt Bytes dar, die vom Ziel an die Quelle des Datenflusses gesendet werden. Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
OutboundBytes_d Stellt Bytes dar, die von der Quelle an die Ziel des Datenflusses gesendet werden. Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas aufgefüllt.
CompletedFlows_d Wird nur für Version 2 des Netzwerksicherheitsgruppen-Datenflussprotokollschemas mit einem Wert ungleich 0 aufgefüllt.
PublicIPs_s <PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Einträge sind durch Balken getrennt.
SrcPublicIPs_s <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Einträge sind durch Balken getrennt.
DestPublicIPs_s <DESTINATION_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> Einträge sind durch Balken getrennt.
IsFlowCapturedAtUDRHop_b - True
- False
Wenn der Flow bei einem UDR-Hop erfasst wurde, ist der Wert TRUE.

Wichtig

Das Traffic Analytics-Schema wurde am 22. August 2019 aktualisiert. Das neue Schema bietet getrennte Quell- und Ziel-IP-Adressen, für deren Entfernung das Feld FlowDirection nicht mehr analysiert werden muss. Dadurch werden Abfragen vereinfacht. Das aktualisierte Schema weist die folgenden Änderungen auf:

  • FASchemaVersion_s wurde von „1“ in „2“ geändert.
  • Veraltete Felder: VMIP_s, Subscription_g, Region_s, NSGRules_s, Subnet_s, VM_s, NIC_s, PublicIPs_s, FlowCount_d
  • Neue Felder: SrcPublicIPs_s, DestPublicIPs_s, NSGRule_s

Schema für Details zu öffentlichen IP-Adressen

Traffic Analytics stellt WHOIS-Daten und einen geografischen Standort für alle öffentlichen IP-Adressen in Ihrer Umgebung bereit. Für böswillige IP-Adressen stellt Traffic Analytics DNS-Domänen, Bedrohungstypen und Threadbeschreibungen gemäß den Microsoft Security Intelligence-Lösungen bereit. IP-Adressdetails werden in Ihrem Log Analytics-Arbeitsbereich veröffentlicht, sodass Sie benutzerdefinierte Abfragen erstellen und Warnungen dafür vorsehen können. Über das Traffic Analytics-Dashboard können Sie auch auf vorab aufgefüllte Abfragen zugreifen.

In der folgenden Tabelle wird das Schema für öffentliche IP-Adressen ausführlich beschrieben:

Feld Format Kommentare
TableName AzureNetworkAnalyticsIPDetails_CL Tabelle mit Traffic Analytics-Daten zu IP-Adressdetails.
SubType_s FlowLog Untertyp für die Flowprotokolle. Verwenden Sie nur „FlowLog“, denn andere Werte für „SubType_s“ sind für die interne Funktion des Produkts bestimmt.
FASchemaVersion_s 2 Schemaversion. Die Version des Netzwerksicherheitsgruppen-Datenflussprotokolls wird nicht berücksichtigt.
FlowIntervalStartTime_t Datum und Uhrzeit in UTC Startzeit des Verarbeitungsintervalls für das Datenflussprotokoll (Zeit, ab der das Flussintervall gemessen wird).
FlowIntervalEndTime_t Datum und Uhrzeit in UTC Endzeit des Verarbeitungsintervalls des Datenflussprotokolls.
FlowType_s - AzurePublic
- ExternalPublic
- MaliciousFlow
Die Definitionen finden Sie unter Hinweise.
IP Öffentliche IP-Adresse Öffentliche IP-Adresse, deren Informationen im Datensatz angegeben werden.
Location Standort der IP-Adresse - Für öffentliche Azure-IP-Adresse: Azure-Region des virtuellen Netzwerks, der Netzwerkschnittstelle oder der VM, zu dem bzw. der die IP-Adresse gehört, ODER „Global“ für IP-Adresse 168.63.129.16.
- Für externe öffentliche IP-Adressen und schädliche IP-Adressen: Landeskennzahl aus zwei Buchstaben für das Land/die Region der IP-Adresse (ISO 3166-1 alpha-2).
PublicIPDetails Informationen zur IP-Adresse - Für öffentliche Azure-IP-Adresse: Azure-Dienst, zu dem die IP-Adresse gehört, oder „virtuelle öffentliche Microsoft-IP-Adresse“ für IP-Adresse 168.63.129.16.
- Für externe öffentliche/schädliche IP-Adressen: WhoIS-Informationen zur IP-Adresse.
ThreatType Bedrohung durch schädliche IP-Adresse Nur für schädliche IP-Adressen: eine der Bedrohungen aus der Liste der derzeit zulässigen Werte (in der nächsten Tabelle beschrieben).
ThreatDescription Beschreibung des Bedrohung Nur für böswillige IP-Adressen: Beschreibung der Bedrohung durch die böswillige IP-Adresse.
DNSDomain DNS-Domäne Nur für böswillige IP-Adressen: Domänenname, der dieser schädlichen IP-Adresse zugeordnet ist.
Url URL, die dieser schädlichen IP-Adresse entspricht Nur für schädliche IP-Adressen
Port Port, der dieser schädlichen IP-Adresse entspricht Nur für schädliche IP-Adressen

Liste der Bedrohungstypen:

Wert BESCHREIBUNG
Botnet Der Indikator zeigt Details zu einem Botnetknoten/-mitglied an.
C2 Ein Indikator, der Details zum Befehls- und Steuerknoten eines Botnet anzeigt.
CryptoMining Datenverkehr, an dem diese Netzwerkadresse/URL beteiligt ist, weist auf CyrptoMining/Ressourcenmissbrauch hin.
DarkNet Der Indikator weist auf einen Darknetknoten/ein Darknet hin.
DDoS Diese Indikatoren beziehen sich auf eine aktive oder bevorstehende DDoS-Kampagne.
MaliciousUrl Diese URL stellt Schadsoftware bereit.
Malware Dieser Indikator beschreibt eine oder mehrere schädliche Dateien.
Phishing Diese Indikatoren beziehen sich auf eine Phishingkampagne.
Proxy Dieser Indikator weist auf einen Proxydienst hin.
PUA Dies steht für eine potenziell unerwünschte Anwendung.
WatchList Ein generischer Bucket, in den Indikatoren platziert werden, wenn nicht genau ermittelt werden kann, um welche Bedrohung es sich handelt, oder wenn eine von Benutzer*innen durchgeführte Interpretation erforderlich ist. WatchList sollte in der Regel nicht von Partner*innen verwendet werden, die Daten an das System übermitteln.

Hinweise

  • Bei AzurePublic- und ExternalPublic-Flows wird die IP-Adresse der im Kundenbesitz befindlichen Azure-VM im Feld VMIP_s aufgefüllt, öffentliche IP-Adressen werden im Feld PublicIPs_s aufgefüllt. Bei diesen beiden Flowtypen müssen die Felder VMIP_s und PublicIPs_s anstelle von SrcIP_s und DestIP_s verwendet werden. Für AzurePublic- und ExternalPublic-IP-Adressen erfolgt eine weitere Aggregation, damit die Anzahl der Datensätze, die im Log Analytics-Arbeitsbereich erfasst werden, möglichst klein ist. (Dieses Feld wird eingestellt und als veraltet markiert. Verwenden Sie „SrcIP_s“ und „DestIP_s“, je nachdem, ob die VM die Quelle oder das Ziel im Datenfluss war).
  • An einige Feldnamen wird _s oder _d angefügt. Dies gibt jedoch nicht die Quelle bzw. das Ziel an, sondern die Datentypen Zeichenfolge bzw. Dezimalzahl.
  • Basierend auf den am Flow beteiligten IP-Adressen werden die Flows in die folgenden Flowtypen unterteilt:
    • IntraVNet: Beide IP-Adressen im Flow befinden sich im gleichen virtuellen Azure-Netzwerk.
    • InterVNet: Die IP-Adressen im Flow befinden sich in zwei verschiedenen virtuellen Azure-Netzwerken.
    • S2S (Site-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ExpressRoute oder ein VPN-Gateway mit dem virtuellen Netzwerk verbunden ist.
    • P2S (Point-to-Site): Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem Kundennetzwerk (Standort), das über ein VPN-Gateway mit dem virtuellen Azure-Netzwerk verbunden ist.
    • AzurePublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, während die andere IP-Adresse eine öffentliche Azure-IP-Adresse im Besitz von Microsoft ist. Öffentliche IP-Adressen im Kundenbesitz gehören nicht zu diesem Flowtyp. Beispielsweise würde eine VM im Kundenbesitz, die Datenverkehr an einen Azure-Dienst (Storage-Endpunkt) sendet, in diesen Flowtyp kategorisiert.
    • ExternalPublic: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Diese wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, nicht als schädlich gemeldet.
    • MaliciousFlow: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk, die andere ist eine öffentliche IP-Adresse außerhalb von Azure. Letztere wird in den ASC-Feeds, die Traffic Analytics im Verarbeitungsintervall zwischen „FlowIntervalStartTime_t“ und „FlowIntervalEndTime_t“ nutzt, als schädlich gemeldet.
    • UnknownPrivate: Eine der IP-Adressen gehört zu einem virtuellen Azure-Netzwerk die andere zu einem privaten IP-Adressbereich, wie in RFC 1918 definiert. Diese kann von Traffic Analytics keinem Standort im Kundenbesitz und keinem virtuellen Azure-Netzwerk zugeordnet werden.
    • Unknown: Keine der IP-Adressen in den Flows kann der Kundentopologie in Azure oder einem lokalen Standort zugeordnet werden.