Visão geral da análise de tráfego

A análise de tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. Especificamente, a análise de tráfego analisa os logs de fluxo do Observador de Rede do Azure para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Com a Análise de Tráfego, você pode:

  • Visualize a atividade de rede em suas assinaturas do Azure.

  • Identifique os pontos de acesso.

  • Proteja sua rede usando informações sobre os componentes a seguir para identificar ameaças:

    • Abrir portas
    • Aplicativos que tentam acessar a Internet
    • VMs (máquinas virtuais) que se conectam a redes fraudulentas
  • Otimize a implantação de rede para desempenho e capacidade compreendendo os padrões de fluxo de tráfego entre regiões do Azure e a internet.

  • Identificar problemas de configuração de rede que podem originar conexões com falha em sua rede.

Por que a Análise de Tráfego?

É essencial monitorar, gerenciar e conhecer sua própria rede para um desempenho, conformidade e segurança incomparáveis. Conhecer o seu próprio ambiente é de suma importância para protegê-lo e otimizá-lo. Geralmente, você precisa saber o estado atual da rede, incluindo as seguintes informações:

  • Quem está se conectando à rede?
  • De onde a conexão está sendo feita?
  • Quais portas estão abertas para a Internet?
  • Qual é o comportamento de rede esperado?
  • Há algum comportamento de rede irregular?
  • Há algum aumento repentino no tráfego?

As redes de nuvem são diferentes das redes corporativas locais. As redes locais, roteadores e comutadores dão suporte ao NetFlow e outros protocolos equivalentes. Você pode usar esses dispositivos para coletar dados sobre o tráfego de rede IP conforme eles entram ou saem de um adaptador de rede. Analisando dados de fluxo de tráfego, você pode criar uma análise de volume e fluxo de tráfego de rede.

Com as redes virtuais do Azure, os logs de fluxo coletam dados sobre a rede. Esses logs fornecem informações sobre tráfego IP de entrada e saída por meio de um grupo de segurança de rede ou uma rede virtual. A análise de tráfego analisa logs de fluxo brutos e combina os dados de log com inteligência sobre segurança, topologia e geografia. Em seguida, a análise de tráfego fornece insights sobre o fluxo de tráfego em seu ambiente.

A análise de tráfego fornece as seguintes informações:

  • Hosts de comunicação mais comuns
  • Protocolos de aplicativo de comunicação mais comuns
  • A maioria dos pares de host de conversão
  • Tráfego permitido e bloqueado
  • Tráfego de entrada e de saída
  • Portas abertas da Internet
  • A maioria das regras de bloqueio
  • Distribuição de tráfego por datacenter do Azure, rede virtual, sub-redes ou rede fraudulenta

Principais componentes

Para usar a análise de tráfego, você precisa dos seguintes componentes:

  • Observador de Rede: um serviço regional que você pode usar para monitorar e diagnosticar as condições em um nível de cenário de rede no Azure. Você pode usar o Observador de Rede para ativar e desativar os logs de fluxo do grupo de segurança de rede. Para obter mais informações, consulte O que é o Observador de Rede do Azure?

  • Log Analytics: uma ferramenta no portal do Azure usada para trabalhar com dados de logs do Azure Monitor. Os logs do Azure Monitor são um serviço do Azure que coletam dados de monitoramento e armazenam os dados em um repositório central. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos pela API do Azure. Depois de coletados, esses dados ficam disponíveis para alertas, análise e exportação. Aplicativos de monitoramento, como o monitor de desempenho de rede e a análise de tráfego, usam os logs do Azure Monitor como base. Para obter mais informações, consulte Logs do Azure Monitor. O Log Analytics fornece uma maneira de editar e executar consultas em logs. Você também pode usar essa ferramenta para analisar os resultados da consulta. Para saber mais, consulte Visão geral do Log Analytics no Azure Monitor.

  • Workspace do Log Analytics: o ambiente que armazena dados de log do Azure Monitor pertencentes a uma conta do Azure. Para obter mais informações sobre workspaces do Log Analytics, consulte Visão geral do workspace do Log Analytics.

  • Além disso, você precisa de um grupo de segurança de rede habilitado para o registro em log de fluxo se estiver usando análise de tráfego para analisar os logs de fluxo do grupo de segurança de rede, ou uma rede virtual habilitada para o registro em log de fluxo se estiver usando análise de tráfego para analisar os logs de fluxo da rede virtual:

    • NSG (grupo de segurança de rede): um recurso que contém uma lista de regras de segurança que permitem ou negam o tráfego para ou de rede aos recursos conectados à rede virtual do Azure. Os grupos de segurança de rede podem ser associados a sub-redes, NICs (adaptadores de rede) anexados a VMs (Resource Manager) ou VMs individuais (clássicas). Para obter mais informações, confira Visão geral do Grupo de Segurança de Rede.

    • Logs de fluxo do grupo de segurança de rede: informações registradas sobre o tráfego IP de entrada e saída por meio de um grupo de segurança de rede. Os logs de fluxo do grupo de segurança de rede são gravados no formato JSON e incluem:

      • Fluxos de entrada e saída por regra.
      • A NIC à qual o fluxo se aplica.
      • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
      • O status do tráfego, como permitido ou negado.

      Para obter mais informações sobre o log de fluxo do grupo de segurança de rede, confira Visão geral dos logs de fluxo do grupo de segurança de rede.

    • Rede virtual (VNet): um recurso que permite que vários tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com as redes locais. Para obter mais informações, consulte Visão geral da rede virtual.

    • Logs de fluxo da rede virtual: informações registradas sobre o tráfego IP de entrada e saída por meio de uma rede virtual. Os logs de fluxo da rede virtual são gravados no formato JSON e incluem:

      • Fluxos de entrada e saída.
      • Informações sobre o fluxo, como os endereços IP de origem e destino, as portas de origem e destino e o protocolo.
      • O status do tráfego, como permitido ou negado.

      Para obter mais informações sobre logs de fluxo de rede virtual, confira Logs de fluxo de rede virtual.

      Observação

      Para obter informações sobre as diferenças entre os logs de fluxo de grupo de segurança de rede e os logs de fluxo de rede virtual, consulte Logs de fluxo de rede virtual em comparação com os logs de fluxo de grupo de segurança de rede.

Como funciona a Análise de Tráfego

A análise de tráfego examina os logs de fluxo brutos. Em seguida, ela reduz o volume do log agregando fluxos com um endereço IP de origem comum, endereço IP de destino, porta de destino e protocolo.

Um exemplo pode envolver o Host 1 no endereço IP 10.10.10.10 e o Host 2 no endereço IP 10.10.20.10. Suponha que esses dois hosts se comuniquem 100 vezes durante uma hora. Nesse caso, o log de fluxo bruto tem 100 entradas. Se esses hosts usarem o protocolo HTTP na porta 80 para cada uma dessas 100 interações, o log reduzido terá uma entrada. Essa entrada afirma que o Host 1 e o Host 2 se comunicaram 100 vezes durante uma hora usando o protocolo HTTP na porta 80.

Logs reduzidos são aprimorados com informações de região, segurança e topologia e armazenados em um workspace do Log Analytics. O diagrama a seguir mostra o fluxo de dados:

Diagrama que mostra como os dados de tráfego de rede fluem de um log de grupo de segurança de rede para um painel de análise. As etapas intermediárias incluem agregação e aprimoramento.

Pré-requisitos

A análise de tráfego requer os seguintes pré-requisitos:

  • Uma assinatura ativada do Watcher de Rede. Para obter mais informações, consulte Habilitar ou desabilitar o Observador de Rede do Azure.

  • Os logs de fluxo do grupo de segurança de rede habilitados para os grupos de segurança de rede que você deseja monitorar ou os logs de fluxo de rede virtual habilitados para a rede virtual que você deseja monitorar. Para obter mais informações, consulte Criar um log de fluxo de grupo de segurança de rede ou Criar um log de fluxo de rede virtual.

  • Um espaço de trabalho do Azure Log Analytics, com acesso de leitura e gravação. Para obter mais informações, consulte Criar um workspace do Log Analytics.

  • Uma das funções internas do Azure a seguir deve ser atribuída à sua conta:

    Modelo de implantação Função
    Gerenciador de Recursos Proprietário
    Colaborador
    Colaborador de rede 1 e Colaborador de monitoramento 2

    Se nenhuma das funções internas anteriores for atribuída à sua conta, atribua uma função personalizada à conta. A função personalizada deve dar suporte às seguintes ações no nível da assinatura:

    • Microsoft.Network/applicationGateways/read
    • Microsoft.Network/connections/read
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/localNetworkGateways/read
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/routeTables/read
    • Microsoft.Network/virtualNetworkGateways/read
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/expressRouteCircuits/read
    • Microsoft.OperationalInsights/workspaces/read 1
    • Microsoft.OperationalInsights/workspaces/sharedkeys/action 1
    • Microsoft.Insights/dataCollectionRules/read 2
    • Microsoft.Insights/dataCollectionRules/write 2
    • Microsoft.Insights/dataCollectionRules/delete 2
    • Microsoft.Insights/dataCollectionEndpoints/read 2
    • Microsoft.Insights/dataCollectionEndpoints/write 2
    • Microsoft.Insights/dataCollectionEndpoints/delete 2

    1 O colaborador de rede não abrange ações Microsoft.OperationalInsights/workspaces/*.

    2 Necessário somente ao usar a análise de tráfego para analisar logs de fluxo de rede virtual. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor e Pontos de extremidade de coleta de dados no Azure Monitor.

    Para saber como verificar as funções atribuídas a um usuário para uma assinatura, consulte Listar as atribuições de função do Azure usando o portal do Azure. Se você não conseguir ver as atribuições de função, entre em contato com o respectivo administrador de assinatura.

    Cuidado

    A regra de coleta de dados e os recursos de ponto de extremidade de coleta de dados são criados e gerenciados pela análise de tráfego. Se você executar qualquer operação nesses recursos, a análise de tráfego poderá não funcionar conforme o esperado.

Preços

Para obter detalhes sobre preços, consulte Preços do Observador de Rede e Preços do Azure Monitor.

Análise de tráfego (perguntas frequentes)

Para obter respostas para as perguntas frequentes sobre análise de tráfego, consulte Perguntas frequentes sobre análise de tráfego.