トラフィックエクスプローラ
トラフィックエクスプローラは、環境およびKubernetes クラスタのネットワークトラフィックに関心のあるイベントを視覚化するのに役立ちます。環境ログやワークロードネットワークログから情報を収集して表示し、脅威インテリジェンスフィード、IP レピュテーションデータベース、地理位置情報データベースなどの追加ソースからの情報を強化します。
サービス、アプリケーション、またはデータベースがいつインターネットに公開されているか、および潜在的なデータ拡張の試行があるかを検出できます。
トラフィックエクスプローラには、3 つの主要なビューがあります。
グラフ表示
ログビュー
統計ビュー
グラフ表示
グラフビューには、収集されたフローログに基づいて、クラウド環境またはKubernetes クラスタ内のネットワークトラフィックが表示されます。
グラフ表示要素
項目 | 説明 |
|---|---|
1 | 環境セレクター |
2 | GSL照会 |
3 | タイムフレームメニュー |
4 | Runボタン |
5 | Queryメニュー |
6 | グループボタンとズームボタン |
ツールバー
ページ上部のツールバーには、次のボタンがあります。
左上の環境リスト(1) には、トラフィックアクティビティが有効な環境のみが含まれます(フローログを使用したインテリジェンスに搭載)。
GSL クエリー(2) を使用すると、ネットワークリソースまたはネットワークフローを検索できます。クエリで、特定のパケット、バイト、送信元、または宛先の詳細を指定して、環境またはクラスタに属するリソースのトラフィックと相互接続を監視できます。ボックスでクエリーテキストを直接編集するか、グラフィッククエリーエディターを開きます。
時間枠(3) は、現在の時間(15 分、1 時間、24 時間、7 日) またはカスタム時間範囲の開始日と終了日から戻る時間です。ビューの時間枠を変更するには、新しい値を選択し、Run (4) をクリックして新しいクエリを実行します。
注 - グラフには、エンティティ間の実際のトラフィックのみが表示されます。選択した時間枠内にネットワークアクティビティがないエンティティは表示されません。
Queries アイコン
(5) 適切なカテゴリからクエリを選択できます。
中央部分には、クエリと時間枠に基づいて、環境エンティティとそれらの間のネットワークトラフィックのグラフが表示されます。各グラフノードは、クラウドアセットまたはKubernetes エンティティ(ポッド、ノード、またはサービス) を表します。エンティティは、エンティティのインターネットへのエクスポージャーに応じてゾーン(External、DMZ、Internal など) にグループ化されます。外部エンティティは公開されるため、インターネットアドレスを持っていますが、内部エンティティはインターネットに公開されていません。
| 注 - ホストネットワーク上で実行されるKubernetes ポッドは別個のエンティティとして表示されないため、トラフィックは関連するノードのトラフィックと結合されます。 |
グループ
環境プラットフォームに基づいて、表示可能なアセットを共通の特性でグループ化できます。
Effective Policy (AWS, Azure) - 同じポリシーでアセットを統合します。
Name (AWS, Azure) - 同じ名前でアセットを統合します。
VPC (AWS、Azure) - 同じ VPC に属するアセットを統合します。
Services (Kubernetes) -サービスまたはワークロード(Controller グループ) によってアセットを統合します。たとえば、Pod がDaemonSet またはサービスの一部である場合、グループを解除するオプションを持つグループとして表示されます。
所有者参照のないポッドとクラスタノードは、No Services グループの下に表示されます。
Namespace (Kubernetes) - 同じネームスペース内のすべてのポッドまたはサービスを統合します。
いずれかのグループをクリックします。右側のペインには、グループ内のエンティティのリストが表示されます。サイズ1 のグループは、通常のグラフノードとして表示されます。
ズームコントロール
次のツールを使用してビューを制御できます。
Zoom:ビューの中央セクションでポイントを選択し、マウスのスクロールホイールを使用してディスプレイをズームインまたはズームアウトします。または、ビューの上部にあるズームコントロールを使用します。
)ビューでエンティティを選択すると、その詳細が右ペインに表示されます。詳細の多くは、追加情報へのリンクです。
すべてのエンティティの前のビューに戻るには、(エンティティではなく)ビューの中央部分をクリックします。
ログビュー
選択したエンティティの実際のログ情報を調べることができます。この情報は、フローログに基づいており、追加のコンテキスト情報とともにIntelligence によって強化されます。
「ログ」ビューを開くには、以下のいずれかの操作を行います:
Network Security メニューのTraffic Explorer ページに移動し、Logs タブをクリックします。
Events メニューのNetwork Traffic ページに移動します。
テーブル内のエンティティをクリックすると、その詳細が表示されます。
詳細ペインでエンティティをクリックしてクエリに追加し、対象の特定の項目にクエリを絞り込みます。
統計ビュー
環境ネットワークトラフィックの統計情報を表示できます。一部のトラフィック統計は、指定された時間枠内のGSLクエリーに一致するネットワークログに基づいています。
統計要素からクエリにさらにフィルタオプションを追加して、特定の結果に焦点を当てることができます。要素をクリックし、クエリに追加するロジック(AND、OR、NOT) を選択します。複数のフィルタ追加を追加できます。
アクション
トラフィックエクスプローラグラフの表示 このビューには、クエリによってフィルタリングされたネットワークログが表示されます。
Network Security メニューのTraffic Explorer ページに移動します。Graph ビューが開き、環境のフローログに適用されるデフォルトクエリが表示されます。
左上のSelect Environment リストから、環境の名前を選択します。
クリック
ツールバーでQueryメニューを開きます。リストからクエリを選択します。
ページが更新され、選択したクエリが環境のログデータに適用されます。
このビューのクエリはいつでも変更できます。クエリメニューを開き、新しいクエリを選択します。クエリボックスに新しいクエリを直接入力することも、エディタを使用してインタラクティブに作成することもできます。
フィルタビュー
トラフィックエクスプローラのフィルタリング トラフィックエクスプローラビューをフィルタリングして、対象のイベントに焦点を当てることができます。
Graph filter
フィルタバーでフィルタオプションを選択します。複数のオプションを選択できます。すべてがビューに適用されます。
Classifications - ビュー内のスイムレーンゾーン(External、DMZ、Private など)
Action - 特定のトラフィックアクション(ACCEPT、REJECT)
Malicious -トラフィックの悪意のあるソースまたは悪意のないソースの選択
Region (AWS, Azure) - 特定のクラウドリージョン
VPC (AWS, Azure) - 環境内の特定のクラウドVPC
Source Asset Type -トラフィックソースの特定のアセットタイプの選択
Destination Asset Type -トラフィック宛先の特定のアセットタイプの選択
フィルタを変更した後、Run をクリックしてクエリを再実行し、グラフを更新します。
Statistics filter
統計ビューでは、統計結果に基づいてクエリに用語を追加できます。
統計ウィジェットの詳細をクリックします。
これをクエリに追加するロジックを選択します(AND、OR、NOT)。選択したプロパティがクエリ文字列に追加されます。
