Aktywność przepływu VPC w programie AWS

Istnieje możliwość monitorowania ruchu Amazon Virtual Private Cloud (VPC) na stronie VPC Flow Logs (Dzienniki przepływu VPC) dla usługi przetwarzania w chmurze AWS . Dynamiczna grafika przedstawia akceptowany i odrzucający ruch między portami sieci i adresami IP, w tym przepływ ruchu, oraz każdy ruch, który ma ostrzeżenia. Informacje o przepływie są automatycznie zapełniane źródłami dziennika przepływu Amazon AWS VPC.

Upewnij się, że na stronie konfiguracji są poprawne informacje o referencjach AWS , tak aby ruch danych był poprawnie pogrupowany przez VPC. Jeśli informacje autoryzacyjne są niepoprawne, brakuje lub nie odpowiadają one danych przepływu, ruch przechodzi do komputera VPC, który jest oznaczony jako Nieznane. Więcej informacji na temat konfigurowania referencji zawiera sekcja Ręczne konfigurowanie usługi Amazon AWS na potrzeby konta przy użyciu usługi AWS IAM.

Na ekranie Przegląd VPC wyświetlane są dyski, które reprezentują węzły VPC. Jeden dysk reprezentuje każdy VPC, a inny dysk bez etykiety reprezentuje internet. Ruch między węzłami VPC jest śledzony dla konkretnego przedziału czasu, który można wybrać w filtrach. Domyślnie wybierana jest ostatnia 5 minut.

Rysunek 1. VPC-strona przeglądu
VPC-przegląd strony z jednym VPC, który jest podłączony do Internetu.

Na ekranie przeglądu VPC zewnętrzna krawędź dysku wskazuje procent wszystkich węzłów, które należą do tego VPC. Wewnętrzny łuk koła pomaga zrozumieć stosunek udanego ruchu do ruchu odrzuconego w konkretnym VPC. Jeśli publiczny lub nierozstrzygalny adres IP jest wykrywany w więcej niż jednym komputerze VPC, jest on liczony w każdym VPC.

Rysunek 2. Przykład dziennika przepływu VPC
Filtry, które można zastosować do VPC i grafiki, która pokazuje ruch w miarę jak porusza się między adresami IP.

Jeśli użytkownik ma tylko jeden komputer VPC, program QRadar Cloud Visibility automatycznie wiernie w szczegóły na VPC po załadowaniu danych. W przeciwnym razie, można kliknąć dysk VPC, aby przejść do konkretnego VPC. W przypadku pojedynczego VPC kliknij przycisk Wstecz , aby powrócić do trybu przeglądu. Nie można kliknąć dysku, który reprezentuje internet.

Po kliknięciu połączenia między dwoma węzłami w systemie VPC zostanie otwarta strona Lista przepływów w programie QRadar, w której można monitorować i badać przepływ w czasie rzeczywistym, filtrując dane lub przeprowadzając zaawansowane wyszukiwania w celu filtrowania wyświetlanych przepływów.