トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを視覚化するクラウドベースのソリューションです。 トラフィック分析は Azure Network Watcher のフロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 トラフィック分析を使用すると、次のことが可能になります。
- Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホットスポットを特定する。
- 開いているポート、インターネット にアクセスしようとしているアプリケーション、承認されていないネットワークに接続している仮想マシン (VM) などの情報を使用して、セキュリティの脅威を特定し、ネットワークをセキュリティで保護する。
- Azure リージョン間やインターネット上でのトラフィック フロー パターンを把握して、ネットワークのデプロイに関してパフォーマンスと容量を最適化する。
- ネットワークでの接続の失敗の原因となるネットワークの構成の誤りを特定する。
- ネットワークの使用状況 (バイト数、パケット数、またはフロー数) を把握する。
データの集計
-
FlowIntervalStartTimeからFlowIntervalEndTimeまでのフロー ログはすべて、ストレージ アカウント内の BLOB として 1 分間隔でキャプチャされます。 - トラフィック分析の既定の処理間隔は 60 分です。つまり、1 時間ごとに集計のため、トラフィック分析によってストレージ アカウントから BLOB が取得されます。 ただし、10 分の処理間隔が選択された場合、トラフィック分析により 10 分ごとにストレージ アカウントから BLOB が取得されます。
-
Source IP、Destination IP、Destination port、NSG name、NSG rule、Flow Direction、Transport layer protocol (TCP or UDP)が同じフローは、トラフィック分析によって 1 つのフローにまとめられます (注: 送信元ポートは集計から除外されます)。 - この単一レコードはトラフィック分析によって修飾され (詳しくは下記のセクションを参照)、Azure Monitor ログに取り込まれます。 このプロセスは最大で 1 時間かかる場合があります。
-
FlowStartTimeフィールドは、FlowIntervalStartTimeからFlowIntervalEndTimeまでのフロー ログ処理間隔の間に集計されたフロー (同じ 4 タプル) の最初の発生日時を示します。 - トラフィック分析内のリソースについては、Azure portal に示されるフロー数はフロー総数ですが、Azure Monitor ログでは、ユーザーはそれらをまとめた 1 件のレコードのみ確認できます。 すべてのフローを表示するには、
blob_idフィールドを使用します。これはストレージから参照できます。 そのレコードの合計フロー数は、BLOB 内にある個々 のフローと一致します。
トラフィック分析のスキーマ
トラフィック分析は Azure Monitor ログに基づいて構築されています。そのため、トラフィック分析によって修飾されたデータに対してカスタム クエリを実行し、アラートを設定できます。
次の表に、スキーマ内のフィールドと仮想ネットワーク のフロー ログにおける意味を列挙します。 詳細については、「 NTANetAnalytics」を参照してください。
| フィールド | フォーマット | 説明 |
|---|---|---|
| テーブル名 | NTANetAnalytics | トラフィック分析データのテーブル。 |
| サブタイプ | フローログ | フロー ログのサブタイプ。 FlowLog のみを使用します。SubType の他の値は内部で使用されます。 |
| FASchemaVersion | 3 | スキーマのバージョン。 仮想ネットワークのフロー ログのバージョンは反映されません。 |
| 処理済みの時間 | 日付と時刻 (UTC) | トラフィック分析がストレージ アカウントからの未加工のフロー ログを処理した時刻。 |
| フローインターバル開始時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の開始時刻 (フロー間隔の測定が開始された時刻)。 |
| フローインターバル終了時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の終了時刻。 |
| フロー開始時刻 | 日付と時刻 (UTC) |
FlowIntervalStartTime から FlowIntervalEndTime までのフロー ログ処理間隔の間の (集計対象の) 最初のフローが発生した日時。 このフローは、集計ロジックに基づいて集計されます。 |
| フロー終了時刻 | 日付と時刻 (UTC) |
FlowIntervalStartTime から FlowIntervalEndTime までのフロー ログ処理間隔の間の (集計対象の) 最後のフローが発生した日時。 |
| フロータイプ | - IntraVNet - InterVNet - S2S - P2S - AzurePublic (英語) - ExternalPublic - MaliciousFlow - Unknown Private - 不明 |
定義については、「注意」を参照してください。 |
| SrcIp | 送信元 IP アドレス | AzurePublic フローと ExternalPublic フローでは空白です。 |
| DestIp | 送信先 IP アドレス | AzurePublic フローと ExternalPublic フローでは空白です。 |
| ターゲットリソースID | ResourceGroupName/ResourceName | フロー ログとトラフィック分析が有効になっているリソースの ID。 |
| ターゲットリソースタイプ | VirtualNetwork/サブネット/NetworkInterface | フロー ログとトラフィック分析が有効になっているリソースの種類 (仮想ネットワーク、サブネット、NIC、またはネットワーク セキュリティ グループ)。 |
| FlowLogResourceId | ResourceGroupName/NetworkWatcherName/FlowLogName | フロー ログのリソース ID。 |
| DestPort | 送信先ポート | トラフィックを受信中のポート。 |
| L4プロトコル | - T - U |
トランスポート プロトコル。
T = TCP U = UDP |
| L7プロトコル | プロトコル名 | 送信先ポートから派生されます。 |
| フローディレクション |
-
I = 受信 - O = 送信 |
フローの方向: ターゲット リソースへの受信またはそこからの送信 (フロー ログごと)。 |
| フローステータス |
-
A = 許可 - D = 拒否 |
フローの状態: ターゲット リソースによる許可または拒否 (フロー ログごと)。 |
| AclList | <SubscriptionID>/<resourcegroup_Name>/<NSG_Name> | フローに関連付けられているネットワーク セキュリティ グループ。 |
| AclRule | NSG_Rule_Name | フローを許可または拒否したネットワーク セキュリティ グループ規則。 |
| MACアドレス | MAC アドレス | フローがキャプチャされた NIC の MAC アドレス。 |
| Srcサブスクリプション | サブスクリプション ID | フロー内の送信元 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンのサブスクリプション ID。 |
| Destサブスクリプション | サブスクリプション ID | フロー内の送信先 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンのサブスクリプション ID。 |
| SrcRegion | Azure リージョン | フロー内の送信元 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンの Azure リージョン。 |
| DestRegion (デストリージョン) | Azure リージョン | フロー内の送信先 IP が属している仮想ネットワークの Azure リージョン。 |
| SrcNic | <resourcegroup_Name>/<NetworkInterfaceName> | フロー内の送信元 IP に関連付けられている NIC。 |
| DestNic | <resourcegroup_Name>/<NetworkInterfaceName> | フロー内の送信先 IP に関連付けられている NIC。 |
| SrcVm | <resourcegroup_Name>/<VirtualMachineName> | フロー内の送信元 IP に関連付けられている仮想マシン。 |
| DestVm | <resourcegroup_Name>/<VirtualMachineName> | フロー内の送信先 IP に関連付けられている仮想マシン。 |
| SrcSubnet | <ResourceGroup_Name>/<VirtualNetwork_Name>/<サブネット名> | フロー内の送信元 IP に関連付けられているサブネット。 |
| DestSubnet (英語) | <ResourceGroup_Name>/<VirtualNetwork_Name>/<サブネット名> | フロー内の送信先 IP に関連付けられているサブネット。 |
| SrcApplicationGateway | <サブスクリプションID>/<ResourceGroupName>/<ApplicationGatewayName> | フロー内の送信元 IP に関連付けられているアプリケーション ゲートウェイ。 |
| DestApplicationGateway | <サブスクリプションID>/<ResourceGroupName>/<ApplicationGatewayName> | フロー内の送信先 IP に関連付けられているアプリケーション ゲートウェイ。 |
| SrcExpressRouteCircuit | <サブスクリプションID>/<リソースグループ名>/<ExpressRouteCircuitName> | ExpressRoute 回線 ID - ExpressRoute 経由でサイトからフローが送信される場合。 |
| DestExpressRouteCircuit(デストエクスプレスルート回路) | <サブスクリプションID>/<リソースグループ名>/<ExpressRouteCircuitName> | ExpressRoute 回線 ID - ExpressRoute によってクラウドからフローを受信する場合。 |
| ExpressRouteCircuitPeeringType | - AzurePrivatePeering - AzurePublicPeering - マイクロソフトピアリング |
フローに関係する ExpressRoute ピアリングの種類。 |
| SrcLoadBalancer | <サブスクリプションID>/<リソースグループ名>/<ロードバランサー名> | フロー内の送信元 IP に関連付けられているロード バランサー。 |
| DestLoadBalancer (デストロードバランサー) | <サブスクリプションID>/<リソースグループ名>/<ロードバランサー名> | フロー内の送信先 IP に関連付けられているロード バランサー。 |
| SrcLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | フロー内の送信元 IP に関連付けられているローカル ネットワーク ゲートウェイ。 |
| DestLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | フロー内の送信先 IP に関連付けられているローカル ネットワーク ゲートウェイ。 |
| 接続タイプ | - VNetピアリング - Vpnゲートウェイ - ExpressRoute |
接続の種類。 |
| 接続名 | <SubscriptionID>/<ResourceGroupName>/<ConnectionName> | 接続名。 フローの種類が P2S の場合、<GatewayName>_<VPNClientIP> という形式です |
| ConnectingVNets | 仮想ネットワーク名のスペース区切りのリスト。 | ハブとスポークのトポロジの場合は、ハブの仮想ネットワークがここに表示されます。 |
| Country | 2 文字の国番号 (ISO 3166-1 alpha-2) | フローの種類が ExternalPublic の場合に表示されます。 PublicIPs フィールド内の IP アドレスはすべて、同じ国番号になります。 |
| AzureRegion | Azure リージョンの場所 | フローの種類が AzurePublic の場合に表示されます。 PublicIPs フィールド内の IP アドレスはすべて、同じ Azure リージョンになります。 |
| AllowedInFlows | - | 許可された受信フローの数。これは、同じ 4 タプルを共有したフローの数を表します (フローがキャプチャされたネットワーク インターフェイスへの受信)。 |
| DeniedInFlows | - | 拒否された受信フローの数。 (フローがキャプチャされたネットワーク インターフェイスへの受信)。 |
| AllowedOutFlows | - | 許可された送信フローの数 (フローがキャプチャされたネットワーク インターフェイスへの送信)。 |
| DeniedOutFlows | - | 拒否された送信フローの数 (フローがキャプチャされたネットワーク インターフェイスへの送信)。 |
| PacketsDestToSrc | - | フローの送信先から送信元に送信されたパケット数を表します。 |
| PacketsSrcToDest | - | フローの送信元から送信先に送信されたパケット数を表します。 |
| BytesDestToSrc | - | フローの送信先から送信元に送信されたバイト数を表します。 |
| BytesSrcToDest | - | フローの送信元から送信先に送信されたバイト数を表します。 |
| CompletedFlows | - | 完了したフローの合計数 (フローが完了したイベントを取得したときに 0 以外の値が表示されます)。 |
| SrcPublicIPs | <送信元パブリックIP>|<フロー開始カウント>|<フロー終了カウント>|<送信パケット>|<受信パケット>|<送信バイト数>|<受信バイト数> | バーで区切られたエントリ。 |
| DestPublicIPs | <宛先パブリックIP>|<フロー開始カウント>|<フロー終了カウント>|<送信パケット>|<受信パケット>|<送信バイト>|<受信バイト> | バーで区切られたエントリ。 |
| フロー暗号化 | - 暗号化 - 非暗号化 - サポートされていないハードウェア - ソフトウェアの準備ができていない - 暗号化されていないために削除 - 検出がサポートされていない - 同じホスト上の送信先 - 暗号化なしへのフォールバック。 |
フローの暗号化レベル。 |
| プライベートエンドポイントリソースID | <リソースグループ/プライベートエンドポイントリソース> | プライベート エンドポイント リソースのリソース ID。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| PrivateLinkResourceId | <リソースグループ/リソースタイプ/プライベートリンクリソース> | プライベート リンク サービスのリソース ID。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| PrivateLinkリソース名 | プレーンテキスト | プライベート リンク サービスのリソース名。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| IsFlowCapturedAtUDRHop | - 正しい - False |
UDR ホップでフローがキャプチャされた場合、値は True です。 |
注
仮想ネットワークのフロー ログの NTANetAnalytics により、ネットワーク セキュリティ グループ のフロー ログで使用される AzureNetworkAnalytics_CL が置き換えられます。
パブリック IP の詳細のスキーマ
トラフィック分析を使用すると、お客様の環境内のすべてのパブリック IP について、WHOIS データと地理的な場所を取得できます。 悪意のある IP の場合は、トラフィック分析により、Microsoft セキュリティ インテリジェンス ソリューションによって特定される DNS ドメイン、脅威の種類、スレッドの説明が提供されます。 IP の詳細は Log Analytics ワークスペースに発行されるため、カスタム クエリを作成してアラートを設定できます。 トラフィック分析ダッシュボードから、事前に設定されたクエリにアクセスすることもできます。
次の表では、パブリック IP スキーマについて詳しく説明します。 詳細については、「 NTAIpDetails」を参照してください。
| フィールド | フォーマット | 説明 |
|---|---|---|
| テーブル名 | NTAIp詳細データ | トラフィック分析の IP の詳細のデータが含まれるテーブル。 |
| サブタイプ | フローログ | フロー ログのサブタイプ。 FlowLog のみを使用します。 SubType の他の値は製品の内部処理用です。 |
| FASchemaVersion | 3 | スキーマのバージョン。 仮想ネットワークのフロー ログのバージョンは反映されません。 |
| フローインターバル開始時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の開始時刻 (フロー間隔の測定が開始される時刻)。 |
| フローインターバル終了時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の終了時刻。 |
| フロータイプ | - AzurePublic (英語) - ExternalPublic - MaliciousFlow |
定義については、「注意」を参照してください。 |
| IP | パブリック IP | レコード内に情報が示されるパブリック IP。 |
| PublicIPDetails(英語) | IP に関する情報 |
AzurePublic IP の場合: IP を所有している Azure サービス。または、IP 168.63.129.16 の場合は Microsoft 仮想パブリック IP。 ExternalPublic/Malicious IP: IP の WhoIS 情報。 |
| 脅威の種類 | 悪意のある IP によってもたらされる脅威 | 悪意のある IP の場合のみ。 現在許可されている値のリストに含まれる脅威の 1 つ。 詳細については、「注意」を参照してください。 |
| DNSドメイン | DNS ドメイン | 悪意のある IP の場合のみ。 この IP に関連付けられているドメイン名。 |
| 脅威説明 | 脅威の説明 | 悪意のある IP の場合のみ。 悪意のある IP によってもたらされる脅威の説明。 |
| Location | IP の場所 |
Azure パブリック IP の場合: IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンの Azure リージョン。または、IP 168.63.129.16 の場合は Global。 外部パブリック IP と悪意のある IP の場合: IP が存在している国の 2 文字の国番号 (ISO 3166-1 alpha-2)。 |
| Url | 悪意のある IP に対応する URL | 悪意のある IP の場合のみ。 |
| Port | 悪意のある IP に対応するポート | 悪意のある IP の場合のみ。 |
注
仮想ネットワークのフロー ログの NTAIPDetails により、ネットワーク セキュリティ グループのフロー ログで使用される AzureNetworkAnalyticsIPDetails_CL が置き換えられます。
トラフィック分析では、悪意のあるフローの IP に関連付けられた悪意のある FQDN のログを記録できます。 フィルターで除外するには、必要に応じて、ポート、URL、ドメインの各フィールドを使用します。
脅威の種類
次の表に、トラフィック分析 IP 詳細スキーマの ThreatType フィールドで現在許可されている値を示します。
| 値 | 説明 |
|---|---|
| ボットネット | ボットネット ノードまたはメンバーについて詳述するインジケーター。 |
| C2 | ボットネットのコマンド アンド コントロール ノードについて詳述するインジケーター。 |
| クリプトマイニング | このネットワーク アドレスと URL に関連するトラフィックは、CyrptoMining とリソースの不正使用を示します。 |
| ダークネット | Darknet ノードまたはネットワークのインジケーター。 |
| DDoS攻撃 | 現在発生中または今後発生する DDoS キャンペーンに関連するインジケーター。 |
| 悪意のあるURL | マルウェアを配信している URL。 |
| マルウェア | 悪意のあるファイルを記述するインジケーター。 |
| フィッシング | フィッシング キャンペーンに関連するインジケーター。 |
| プロキシ | プロキシ サービスのインジケーター。 |
| PUA | 望ましくない可能性のあるアプリケーション。 |
| ウォッチリスト | 脅威が何であるかを正確に判断できない場合、または人による解釈を必要とする場合にインジケーターが配置される汎用バケット。
WatchList は、通常、システムにデータを送信するパートナーが使用してはいけません。 |
注意
-
AzurePublicフローとExternalPublicフローの場合、VMIP_sフィールドにお客様所有の Azure 仮想マシンの IP が表示され、PublicIPs_sフィールドにパブリック IP アドレスが表示されます。 これらの 2 種類のフローの場合、VMIP_sフィールドとPublicIPs_sフィールドではなく、SrcIP_sとDestIP_sを使用する必要があります。 AzurePublic および ExternalPublic の IP アドレスの場合はさらに集計を行い、Log Analytics ワークスペースに取り込まれるレコードの数を最小限に抑えます。 (このフィールドは非推奨になります。仮想マシンがフローの送信元であったか送信先であったかに応じて、SrcIP_s と DestIP_s を使用します)。 - 一部のフィールド名には、
_sまたは_dが追加されます。これは送信元や送信 先を意味しておらず、それぞれ、データ型の string と decimal を示します。 - フローに関係している IP アドレスに基づき、Microsoft ではフローを以下のフロー型に分類しています。
-
IntraVNet: フロー内の両方の IP アドレスが、同じ Azure 仮想ネットワーク内に存在しています。 -
InterVNet: フロー内の IP アドレスが、2 つの異なる Azure 仮想ネットワーク内に存在しています。 -
S2S(サイト対サイト): 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、VPN ゲートウェイまたは ExpressRoute 経由で仮想ネットワークに接続されたお客様のネットワーク (サイト) に属しています。 -
P2S(ポイント対サイト): 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、VPN ゲートウェイ経由で Azure Virtual Network に接続されたお客様のネットワーク (サイト) に属しています。 -
AzurePublic: 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは Microsoft が所有する Azure パブリック IP アドレスです。 お客様が所有するパブリック IP アドレスは、このフロー型の一部ではありません。 たとえば、お客様が所有する VM が Azure のサービス (ストレージ エンドポイント) にトラフィックを送信している場合は、このフロー型に分類されます。 -
ExternalPublic: 一方の IP アドレスは Azure 仮想ネットワークに属しています。他方の IP アドレスは、Microsoft 所有でも、顧客所有のサブスクリプションの一部でもないパブリック IP であり、Traffic Analytics に表示され、Traffic Analytics がFlowIntervalStartTime_tからFlowIntervalEndTime_tの処理間隔で使用する ASC フィード内で悪意のあるものとして報告されません。 -
MaliciousFlow: 一方の IP アドレスは Azure 仮想ネットワークに属しています。他方の IP アドレスは、Microsoft 所有でも、顧客所有のサブスクリプションの一部でもないパブリック IP であり、Traffic Analytics に表示され、Traffic Analytics がFlowIntervalStartTime_tからFlowIntervalEndTime_tの処理間隔で使用する ASC フィード内で悪意のあるものとして報告されます。 -
UnknownPrivate: 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、RFC 1918 で定義されたプライベート IP 範囲に属していて、トラフィック分析ではお客様が所有するサイトまたは Azure 仮想ネットワークにマッピングできませんでした。 -
Unknown: フロー内のどちらの IP アドレスも、Azure やオンプレミス (サイト) 内のお客様のトポロジとマッピングできません。
-
注
サブスクリプションが Log Analytics ワークスペース内のトラフィック分析に表示されるのは、そのワークスペースに対して構成されたフロー ログが含まれている場合です。