トラフィック分析は、クラウド ネットワークでのユーザーとアプリケーションのアクティビティを視覚化するクラウドベースのソリューションです。 トラフィック分析は Azure Network Watcher のフロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 トラフィック分析を使用すると、次のことが可能になります。
- Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホットスポットを特定する。
- 開いているポート、インターネット にアクセスしようとしているアプリケーション、承認されていないネットワークに接続している仮想マシン (VM) などの情報を使用して、セキュリティの脅威を特定し、ネットワークをセキュリティで保護する。
- Azure リージョン間やインターネット上でのトラフィック フロー パターンを把握して、ネットワークのデプロイに関してパフォーマンスと容量を最適化する。
- ネットワークでの接続の失敗の原因となるネットワークの構成の誤りを特定する。
- ネットワークの使用状況 (バイト数、パケット数、またはフロー数) を把握する。
データの集計
-
FlowIntervalStartTimeからFlowIntervalEndTimeまでのフロー ログはすべて、ストレージ アカウント内の BLOB として 1 分間隔でキャプチャされます。 - トラフィック分析の既定の処理間隔は 60 分です。つまり、1 時間ごとに集計のため、トラフィック分析によってストレージ アカウントから BLOB が取得されます。 ただし、10 分の処理間隔が選択された場合、トラフィック分析により 10 分ごとにストレージ アカウントから BLOB が取得されます。
-
Source IP、Destination IP、Destination port、NSG name、NSG rule、Flow Direction、Transport layer protocol (TCP or UDP)が同じフローは、トラフィック分析によって 1 つのフローにまとめられます (注: 送信元ポートは集計から除外されます)。 - この単一レコードはトラフィック分析によって修飾され (詳しくは下記のセクションを参照)、Azure Monitor ログに取り込まれます。 このプロセスは最大で 1 時間かかる場合があります。
-
FlowStartTimeフィールドは、FlowIntervalStartTimeからFlowIntervalEndTimeまでのフロー ログ処理間隔の間に集計されたフロー (同じ 4 タプル) の最初の発生日時を示します。 - トラフィック分析内のリソースについては、Azure portal に示されるフロー数はフロー総数ですが、Azure Monitor ログでは、ユーザーはそれらをまとめた 1 件のレコードのみ確認できます。 すべてのフローを表示するには、
blob_idフィールドを使用します。これはストレージから参照できます。 そのレコードの合計フロー数は、BLOB 内にある個々 のフローと一致します。
トラフィック分析のスキーマ
トラフィック分析は Azure Monitor ログに基づいて構築されています。そのため、トラフィック分析によって修飾されたデータに対してカスタム クエリを実行し、アラートを設定できます。
次の表に、スキーマ内のフィールドと仮想ネットワーク のフロー ログにおける意味を列挙します。 詳細については、「 NTANetAnalytics」を参照してください。
| フィールド | フォーマット | 説明 |
|---|---|---|
| テーブル名 | NTANetAnalytics | トラフィック分析データのテーブル。 |
| サブタイプ | フローログ | フロー ログのサブタイプ。 FlowLog のみを使用します。SubType の他の値は内部で使用されます。 |
| FASchemaVersion | 3 | スキーマのバージョン。 仮想ネットワークのフロー ログのバージョンは反映されません。 |
| 処理済みの時間 | 日付と時刻 (UTC) | トラフィック分析がストレージ アカウントからの未加工のフロー ログを処理した時刻。 |
| フローインターバル開始時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の開始時刻 (フロー間隔の測定が開始された時刻)。 |
| フローインターバル終了時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の終了時刻。 |
| フロー開始時刻 | 日付と時刻 (UTC) |
FlowIntervalStartTime から FlowIntervalEndTime までのフロー ログ処理間隔の間の (集計対象の) 最初のフローが発生した日時。 このフローは、集計ロジックに基づいて集計されます。 |
| フロー終了時刻 | 日付と時刻 (UTC) |
FlowIntervalStartTime から FlowIntervalEndTime までのフロー ログ処理間隔の間の (集計対象の) 最後のフローが発生した日時。 |
| フロータイプ | - IntraVNet - InterVNet - S2S - P2S - AzurePublic (英語) - ExternalPublic - MaliciousFlow - Unknown Private - 不明 |
定義については、「注意」を参照してください。 |
| SrcIp | 送信元 IP アドレス | AzurePublic フローと ExternalPublic フローでは空白です。 |
| DestIp | 送信先 IP アドレス | AzurePublic フローと ExternalPublic フローでは空白です。 |
| ターゲットリソースID | ResourceGroupName/ResourceName | フロー ログとトラフィック分析が有効になっているリソースの ID。 |
| ターゲットリソースタイプ | VirtualNetwork/サブネット/NetworkInterface | フロー ログとトラフィック分析が有効になっているリソースの種類 (仮想ネットワーク、サブネット、NIC、またはネットワーク セキュリティ グループ)。 |
| FlowLogResourceId | ResourceGroupName/NetworkWatcherName/FlowLogName | フロー ログのリソース ID。 |
| DestPort | 送信先ポート | トラフィックを受信中のポート。 |
| L4プロトコル | - T - U |
トランスポート プロトコル。
T = TCP U = UDP |
| L7プロトコル | プロトコル名 | 送信先ポートから派生されます。 |
| フローディレクション |
-
I = 受信 - O = 送信 |
フローの方向: ターゲット リソースへの受信またはそこからの送信 (フロー ログごと)。 |
| フローステータス |
-
A = 許可 - D = 拒否 |
フローの状態: ターゲット リソースによる許可または拒否 (フロー ログごと)。 |
| AclList | <SubscriptionID>/<resourcegroup_Name>/<NSG_Name> | フローに関連付けられているネットワーク セキュリティ グループ。 |
| AclRule | NSG_Rule_Name | フローを許可または拒否したネットワーク セキュリティ グループ規則。 |
| MACアドレス | MAC アドレス | フローがキャプチャされた NIC の MAC アドレス。 |
| Srcサブスクリプション | サブスクリプション ID | フロー内の送信元 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンのサブスクリプション ID。 |
| Destサブスクリプション | サブスクリプション ID | フロー内の送信先 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンのサブスクリプション ID。 |
| SrcRegion | Azure リージョン | フロー内の送信元 IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンの Azure リージョン。 |
| DestRegion (デストリージョン) | Azure リージョン | フロー内の送信先 IP が属している仮想ネットワークの Azure リージョン。 |
| SrcNic | <resourcegroup_Name>/<NetworkInterfaceName> | フロー内の送信元 IP に関連付けられている NIC。 |
| DestNic | <resourcegroup_Name>/<NetworkInterfaceName> | フロー内の送信先 IP に関連付けられている NIC。 |
| SrcVm | <resourcegroup_Name>/<VirtualMachineName> | フロー内の送信元 IP に関連付けられている仮想マシン。 |
| DestVm | <resourcegroup_Name>/<VirtualMachineName> | フロー内の送信先 IP に関連付けられている仮想マシン。 |
| SrcSubnet | <ResourceGroup_Name>/<VirtualNetwork_Name>/<サブネット名> | フロー内の送信元 IP に関連付けられているサブネット。 |
| DestSubnet (英語) | <ResourceGroup_Name>/<VirtualNetwork_Name>/<サブネット名> | フロー内の送信先 IP に関連付けられているサブネット。 |
| SrcApplicationGateway | <サブスクリプションID>/<ResourceGroupName>/<ApplicationGatewayName> | フロー内の送信元 IP に関連付けられているアプリケーション ゲートウェイ。 |
| DestApplicationGateway | <サブスクリプションID>/<ResourceGroupName>/<ApplicationGatewayName> | フロー内の送信先 IP に関連付けられているアプリケーション ゲートウェイ。 |
| SrcExpressRouteCircuit | <サブスクリプションID>/<リソースグループ名>/<ExpressRouteCircuitName> | ExpressRoute 回線 ID - ExpressRoute 経由でサイトからフローが送信される場合。 |
| DestExpressRouteCircuit(デストエクスプレスルート回路) | <サブスクリプションID>/<リソースグループ名>/<ExpressRouteCircuitName> | ExpressRoute 回線 ID - ExpressRoute によってクラウドからフローを受信する場合。 |
| ExpressRouteCircuitPeeringType | - AzurePrivatePeering - AzurePublicPeering - マイクロソフトピアリング |
フローに関係する ExpressRoute ピアリングの種類。 |
| SrcLoadBalancer | <サブスクリプションID>/<リソースグループ名>/<ロードバランサー名> | フロー内の送信元 IP に関連付けられているロード バランサー。 |
| DestLoadBalancer (デストロードバランサー) | <サブスクリプションID>/<リソースグループ名>/<ロードバランサー名> | フロー内の送信先 IP に関連付けられているロード バランサー。 |
| SrcLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | フロー内の送信元 IP に関連付けられているローカル ネットワーク ゲートウェイ。 |
| DestLocalNetworkGateway | <SubscriptionID>/<ResourceGroupName>/<LocalNetworkGatewayName> | フロー内の送信先 IP に関連付けられているローカル ネットワーク ゲートウェイ。 |
| 接続タイプ | - VNetピアリング - Vpnゲートウェイ - ExpressRoute |
接続の種類。 |
| 接続名 | <SubscriptionID>/<ResourceGroupName>/<ConnectionName> | 接続名。 フローの種類が P2S の場合、<GatewayName>_<VPNClientIP> という形式です |
| ConnectingVNets | 仮想ネットワーク名のスペース区切りのリスト。 | ハブとスポークのトポロジの場合は、ハブの仮想ネットワークがここに表示されます。 |
| Country | 2 文字の国番号 (ISO 3166-1 alpha-2) | フローの種類が ExternalPublic の場合に表示されます。 PublicIPs フィールド内の IP アドレスはすべて、同じ国番号になります。 |
| AzureRegion | Azure リージョンの場所 | フローの種類が AzurePublic の場合に表示されます。 PublicIPs フィールド内の IP アドレスはすべて、同じ Azure リージョンになります。 |
| AllowedInFlows | - | 許可された受信フローの数。これは、同じ 4 タプルを共有したフローの数を表します (フローがキャプチャされたネットワーク インターフェイスへの受信)。 |
| DeniedInFlows | - | 拒否された受信フローの数。 (フローがキャプチャされたネットワーク インターフェイスへの受信)。 |
| AllowedOutFlows | - | 許可された送信フローの数 (フローがキャプチャされたネットワーク インターフェイスへの送信)。 |
| DeniedOutFlows | - | 拒否された送信フローの数 (フローがキャプチャされたネットワーク インターフェイスへの送信)。 |
| PacketsDestToSrc | - | フローの送信先から送信元に送信されたパケット数を表します。 |
| PacketsSrcToDest | - | フローの送信元から送信先に送信されたパケット数を表します。 |
| BytesDestToSrc | - | フローの送信先から送信元に送信されたバイト数を表します。 |
| BytesSrcToDest | - | フローの送信元から送信先に送信されたバイト数を表します。 |
| CompletedFlows | - | 完了したフローの合計数 (フローが完了したイベントを取得したときに 0 以外の値が表示されます)。 |
| SrcPublicIPs | <SOURCE_PUBLIC_IP>|<FLOW_STARTED_COUNT>|<FLOW_ENDED_COUNT>|<OUTBOUND_PACKETS>|<INBOUND_PACKETS>|<OUTBOUND_BYTES>|<INBOUND_BYTES> | バーで区切られたエントリ。 |
| DestPublicIPs | <宛先パブリックIP>|<フロー開始カウント>|<フロー終了カウント>|<送信パケット>|<受信パケット>|<送信バイト>|<受信バイト> | バーで区切られたエントリ。 |
| フロー暗号化 | - 暗号化 - 非暗号化 - サポートされていないハードウェア - ソフトウェアの準備ができていない - 暗号化されていないために削除 - 検出がサポートされていない - 同じホスト上の送信先 - 暗号化なしへのフォールバック。 |
フローの暗号化レベル。 |
| プライベートエンドポイントリソースID | <リソースグループ/プライベートエンドポイントリソース> | プライベート エンドポイント リソースのリソース ID。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| PrivateLinkResourceId | <リソースグループ/リソースタイプ/プライベートリンクリソース> | プライベート リンク サービスのリソース ID。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| PrivateLinkリソース名 | プレーンテキスト | プライベート リンク サービスのリソース名。 プライベート エンドポイント リソースとの間でトラフィックが流れているときに表示されます。 |
| IsFlowCapturedAtUDRHop | - 正しい -偽 |
UDR ホップでフローがキャプチャされた場合、値は True です。 |
注
仮想ネットワークのフロー ログの NTANetAnalytics により、ネットワーク セキュリティ グループ のフロー ログで使用される AzureNetworkAnalytics_CL が置き換えられます。
パブリック IP の詳細のスキーマ
トラフィック分析を使用すると、お客様の環境内のすべてのパブリック IP について、WHOIS データと地理的な場所を取得できます。 悪意のある IP の場合、トラフィック分析では、Microsoft セキュリティ インテリジェンス ソリューションによって識別される DNS ドメイン、脅威の種類、スレッドの説明が提供されます。 IP の詳細は Log Analytics ワークスペースに発行されるため、カスタム クエリを作成してアラートを設定できます。 トラフィック分析ダッシュボードから、事前に設定されたクエリにアクセスすることもできます。
次の表では、パブリック IP スキーマについて詳しく説明します。 詳細については、「 NTAIpDetails」を参照してください。
| フィールド | フォーマット | 説明 |
|---|---|---|
| テーブル名 | NTAIp詳細データ | トラフィック分析の IP の詳細のデータが含まれるテーブル。 |
| サブタイプ | フローログ | フロー ログのサブタイプ。 FlowLog のみを使用します。 SubType の他の値は製品の内部処理用です。 |
| FASchemaVersion | 2 | スキーマのバージョン。 仮想ネットワークのフロー ログのバージョンは反映されません。 |
| フローインターバル開始時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の開始時刻 (フロー間隔の測定が開始される時刻)。 |
| フローインターバル終了時間 | 日付と時刻 (UTC) | フロー ログ処理間隔の終了時刻。 |
| フロータイプ | - AzurePublic (英語) - ExternalPublic - MaliciousFlow |
定義については、「注意」を参照してください。 |
| IP | パブリック IP | レコード内に情報が示されるパブリック IP。 |
| PublicIPDetails(英語) | IP に関する情報 |
AzurePublic IP の場合: IP を所有している Azure サービス。または、IP 168.63.129.16 の場合は Microsoft 仮想パブリック IP。 ExternalPublic/Malicious IP: IP の WhoIS 情報。 |
| 脅威の種類 | 悪意のある IP によってもたらされる脅威 | 悪意のある IP の場合のみ。 現在許可されている値のリストに含まれる脅威の 1 つ。 詳細については、「注意」を参照してください。 |
| DNSドメイン | DNS ドメイン | 悪意のある IP の場合のみ。 この IP に関連付けられているドメイン名。 |
| 脅威説明 | 脅威の説明 | 悪意のある IP の場合のみ。 悪意のある IP によってもたらされる脅威の説明。 |
| Location | IP の場所 |
Azure パブリック IP の場合: IP が属している仮想ネットワーク、ネットワーク インターフェイス、または仮想マシンの Azure リージョン。または、IP 168.63.129.16 の場合は Global。 外部パブリック IP と悪意のある IP の場合: IP が存在している国の 2 文字の国番号 (ISO 3166-1 alpha-2)。 |
| Url | 悪意のある IP に対応する URL | 悪意のある IP の場合のみ。 |
| Port | 悪意のある IP に対応するポート | 悪意のある IP の場合のみ。 |
注
仮想ネットワークのフロー ログの NTAIPDetails により、ネットワーク セキュリティ グループのフロー ログで使用される AzureNetworkAnalyticsIPDetails_CL が置き換えられます。
トラフィック分析では、悪意のあるフローの IP に関連付けられた悪意のある FQDN のログを記録できます。 フィルターで除外するには、必要に応じてポート、URL、およびドメイン フィールドを使用します。
脅威の種類
次の表に、トラフィック分析 IP 詳細スキーマの ThreatType フィールドで現在許可されている値を示します。
| 値 | 説明 |
|---|---|
| ボットネット | ボットネット ノードまたはメンバーについて詳述するインジケーター。 |
| C2 | ボットネットのコマンド アンド コントロール ノードについて詳述するインジケーター。 |
| クリプトマイニング | このネットワーク アドレスと URL に関連するトラフィックは、CyrptoMining とリソースの不正使用を示します。 |
| ダークネット | Darknet ノードまたはネットワークのインジケーター。 |
| DDoS攻撃 | 現在発生中または今後発生する DDoS キャンペーンに関連するインジケーター。 |
| 悪意のあるURL | マルウェアを配信している URL。 |
| マルウェア | 悪意のあるファイルを記述するインジケーター。 |
| フィッシング | フィッシング キャンペーンに関連するインジケーター。 |
| プロキシ | プロキシ サービスのインジケーター。 |
| PUA | 望ましくない可能性のあるアプリケーション。 |
| ウォッチリスト | 脅威が何であるかを正確に判断できない場合、または人による解釈を必要とする場合にインジケーターが配置される汎用バケット。
WatchList は、通常、システムにデータを送信するパートナーが使用してはいけません。 |
注意
-
AzurePublicフローとExternalPublicフローの場合、VMIP_sフィールドにお客様所有の Azure 仮想マシンの IP が表示され、PublicIPs_sフィールドにパブリック IP アドレスが表示されます。 これらの 2 種類のフローの場合、VMIP_sフィールドとPublicIPs_sフィールドではなく、SrcIP_sとDestIP_sを使用する必要があります。 AzurePublic および ExternalPublic の IP アドレスの場合はさらに集計を行い、Log Analytics ワークスペースに取り込まれるレコードの数を最小限に抑えます。 (このフィールドは非推奨になります。仮想マシンがフローの送信元であったか送信先であったかに応じて、SrcIP_s と DestIP_s を使用します)。 - 一部のフィールド名には、
_sまたは_dが追加されます。これは送信元や送信 先を意味しておらず、それぞれ、データ型の string と decimal を示します。 - フローに関係している IP アドレスに基づき、Microsoft ではフローを以下のフロー型に分類しています。
-
IntraVNet: フロー内の両方の IP アドレスが、同じ Azure 仮想ネットワーク内に存在しています。 -
InterVNet: フロー内の IP アドレスが、2 つの異なる Azure 仮想ネットワーク内に存在しています。 -
S2S(サイト対サイト): 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、VPN ゲートウェイまたは ExpressRoute 経由で仮想ネットワークに接続されたお客様のネットワーク (サイト) に属しています。 -
P2S(ポイント対サイト): 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、VPN ゲートウェイ経由で Azure Virtual Network に接続されたお客様のネットワーク (サイト) に属しています。 -
AzurePublic: 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは Microsoft が所有する Azure パブリック IP アドレスです。 お客様が所有するパブリック IP アドレスは、このフロー型の一部ではありません。 たとえば、お客様が所有する VM が Azure のサービス (ストレージ エンドポイント) にトラフィックを送信している場合は、このフロー型に分類されます。 -
ExternalPublic: IP アドレスの 1 つは Azure 仮想ネットワークに属し、もう 1 つの IP アドレスは、Microsoft が所有していないパブリック IP、またはトラフィック分析に表示される顧客所有サブスクリプションの一部であり、トラフィック分析がFlowIntervalStartTime_tとFlowIntervalEndTime_tの間の処理間隔で消費する ASC フィードでは悪意のあるものとして報告されません。 -
MaliciousFlow: IP アドレスの 1 つは Azure 仮想ネットワークに属し、もう 1 つの IP アドレスは、Microsoft が所有していないパブリック IP、またはトラフィック分析に表示される顧客所有のサブスクリプションの一部であり、トラフィック分析がFlowIntervalStartTime_tとFlowIntervalEndTime_tの間の処理間隔で消費する ASC フィードで悪意があると報告されます。 -
UnknownPrivate: 一方の IP アドレスは Azure 仮想ネットワークに属していますが、他方の IP アドレスは、RFC 1918 で定義されたプライベート IP 範囲に属していて、トラフィック分析ではお客様が所有するサイトまたは Azure 仮想ネットワークにマッピングできませんでした。 -
Unknown: フロー内のどちらの IP アドレスも、Azure やオンプレミス (サイト) 内のお客様のトポロジとマッピングできません。
-
注
サブスクリプションが Log Analytics ワークスペース内のトラフィック分析に表示されるのは、そのワークスペースに対して構成されたフロー ログが含まれている場合です。