VPC-Datenflussaktivität in AWS

Sie können den Datenverkehr von Amazon Virtual Private Cloud (VPC) auf der Seite VPC Flow Logs (VPC-Datenflussprotokolle) für den AWS-Cloud-Service überwachen. Die dynamische Grafik zeigt den akzeptierten und zurückgewiesenen Datenverkehr zwischen den Ports und IP-Adressen Ihrer Netze (einschließlich des Datenverkehrsflusses) und jeden Datenverkehr, für den es Warnungen gibt. Die Datenflussinformationen werden automatisch aus Datenflussprotokollquellen von Amazon AWS VPC gefüllt.

Stellen Sie sicher, dass die richtigen AWS-Berechtigungsnachweisinformationen auf der Konfigurationsseite angegeben sind, damit der Datenverkehr ordnungsgemäß nach VPCs gruppiert wird. Wenn die Berechtigungsnachweise nicht korrekt sind, fehlen oder nicht den Flussdaten entsprechen, wird der Datenverkehr an eine VPC geleitet, die als Unknown (Unbekannt) gekennzeichnet ist. Weitere Informationen zum Konfigurieren Ihrer Berechtigungsnachweise finden Sie unter Kontoübergreifenden Zugriff auf Amazon AWS mithilfe des AWS IAM-Service.

In der VPC-Übersichtsanzeige werden die Platten angezeigt, die die VPC-Knoten darstellen. Eine Platte stellt die einzelnen VPCs dar, während eine andere Platte ohne Kennzeichnung das Internet darstellt. Der Datenverkehr zwischen den VPC-Knoten wird für einen bestimmten Zeitrahmen verfolgt, den Sie in den Filtern auswählen können. Standardmäßig sind die letzten 5 Minuten ausgewählt.

Abb. 1. VPC-Übersichtsseite
VPC-Übersichtsseite mit einer VPC, die mit dem Internet verbunden ist.

In der VPC-Übersichtsanzeige zeigt der äußere Rand der Platte den Prozentsatz der Gesamtsumme der Knoten an, deren Eigner die betreffende VPC ist. Der Innenbogen des Kreises hilft Ihnen dabei, das Verhältnis zwischen erfolgreichem und zurückgewiesenem Datenverkehr in einer bestimmten VPC zu verstehen. Wenn eine öffentliche oder nicht auflösbare IP in mehreren VPCs festgestellt wird, wird sie in jeder VPC gezählt.

Abbildung 2: Beispiel für ein VPC-Datenflussprotokoll
Filter, die auf eine VPC angewendet werden können, und die Grafik, die den Datenverkehr zwischen IP-Adressen darstellt.

Wenn Sie nur über eine VPC verfügen, führt QRadar Cloud Visibility nach dem Laden der Daten automatisch einen Drilldown zu den Details der VPC durch. Andernfalls können Sie auf eine VPC-Platte klicken, um einen Drilldown zu einer bestimmten VPC durchzuführen. Klicken Sie von einer einzelnen VPC aus auf Back (Zurück), um zum Übersichtsmodus zurückzukehren. Sie können nicht auf die Platte klicken, die das Internet darstellt.

Wenn Sie auf eine Verbindung zwischen zwei Knoten innerhalb einer VPC klicken, wird eine Seite Datenflussliste in QRadargeöffnet, auf der Sie den Datenfluss in Echtzeit überwachen und untersuchen können, indem Sie die Daten filtern oder erweiterte Suchen durchführen, um die angezeigten Datenflüsse zu filtern.