Pular para o conteúdo principal

Laboratório Técnico: Interpret virtual network flow logs

Questões

Questão 1 — Múltipla Escolha

Os VNet flow logs registram informações sobre o tráfego IP que passa por uma rede virtual. Ao analisar um registro de fluxo, um engenheiro precisa determinar se uma conexão TCP foi efetivamente estabelecida ou apenas tentada. Qual campo do registro permite essa distinção?

A) O campo de bytes enviados, pois conexões estabelecidas sempre transferem mais de zero bytes em ambas as direções.

B) O campo de estado do fluxo (flowState), que indica se o fluxo foi iniciado, estabelecido ou encerrado.

C) O campo de ação (action), que registra se o tráfego foi permitido ou negado pelo NSG ou pela política de rede.

D) O campo de protocolo, pois o valor TCP em conjunto com a porta de destino confirma que a conexão foi aceita pelo destino.

Questão 2 — Cenário Técnico

Um engenheiro de rede está investigando por que uma VM não consegue se comunicar com um serviço externo. Ele habilita os VNet flow logs e, após alguns minutos, consulta os registros no Log Analytics. A consulta retorna registros com a seguinte estrutura resumida:

flowTupleCount : 12
action         : D
flowState      : B
srcIP          : 10.0.2.4
dstIP          : 52.168.10.5
dstPort        : 443
protocol       : T

Com base nesses dados, qual é a interpretação correta do comportamento observado?

A) O tráfego está sendo permitido, mas o destino está recusando a conexão na porta 443.

B) O tráfego de saída está sendo bloqueado antes de atingir o destino, pois a ação registrada indica negação.

C) O fluxo foi estabelecido com sucesso, mas encerrado pelo destino após a transferência de dados.

D) O registro indica que o tráfego foi bloqueado por uma política de roteamento, não por um NSG.

Questão 3 — Múltipla Escolha

Uma organização usa Traffic Analytics sobre os VNet flow logs para obter visibilidade do tráfego de rede. Ao comparar o uso direto dos flow logs com o uso via Traffic Analytics, qual diferença operacional é mais relevante para a tomada de decisões em tempo próximo ao real?

A) Os flow logs armazenam dados por no máximo 30 dias, enquanto o Traffic Analytics retém os dados indefinidamente no Log Analytics.

B) O Traffic Analytics agrega e processa os flow logs em intervalos configuráveis, introduzindo uma latência de análise que os logs brutos não possuem.

C) Os flow logs registram apenas tráfego negado, enquanto o Traffic Analytics inclui também o tráfego permitido na análise.

D) O Traffic Analytics substitui os flow logs como fonte de dados, desativando o armazenamento dos registros brutos na conta de armazenamento.

Questão 4 — Cenário Técnico

Uma equipe de segurança precisa identificar quais endereços IP externos estão gerando maior volume de tráfego de entrada para uma VNet específica durante um período de sete dias. Os VNet flow logs estão habilitados e os dados estão sendo enviados ao Log Analytics via Traffic Analytics.

Qual abordagem resolve esse requisito de forma mais direta?

A) Consultar os blobs JSON na conta de armazenamento associada aos flow logs, filtrando manualmente por srcIP e somando os bytes por origem.

B) Usar o painel do Traffic Analytics no portal do Azure, que oferece visualizações agregadas de IPs externos por volume de tráfego sem necessidade de consultas manuais.

C) Criar um alerta no Azure Monitor baseado em métricas de bytes de entrada da VNet, agrupado por endereço IP de origem.

D) Habilitar o Network Watcher Connection Monitor para rastrear conexões de entrada e gerar relatórios de volume por IP de origem.

Questão 5 — Verdadeiro ou Falso

Os VNet flow logs registram o tráfego em nível de rede virtual e, por isso, capturam automaticamente o tráfego entre VNets conectadas via VNet peering, sem necessidade de habilitar os flow logs separadamente em cada VNet envolvida na comunicação.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Explique:

  • O campo flowState nos VNet flow logs indica o estado do fluxo TCP ao longo do tempo. Os valores possíveis incluem B (Begin), C (Continue) e E (End), permitindo identificar se uma conexão foi apenas iniciada, mantida ativamente ou encerrada. Isso possibilita distinguir tentativas de conexão sem resposta de conexões efetivamente estabelecidas.
  • A alternativa A é enganosa porque bytes zero em uma das direções pode ocorrer em conexões legítimas (como requisições HTTP sem corpo de resposta) e não é um indicador confiável de estabelecimento.
  • A alternativa C confunde a dimensão de segurança (permitido/negado) com a dimensão de estado da conexão; ambos os campos existem, mas respondem perguntas diferentes.
  • A alternativa D representa um equívoco de camada: o protocolo e a porta descrevem a intenção do tráfego, não confirmam aceitação pelo destino.

Gabarito — Questão 2

Resposta: B

Explique:

  • No formato dos VNet flow logs, o campo action com valor D significa Deny (negação), e o campo flowState com valor B significa Begin, indicando que o fluxo foi iniciado, mas nunca estabelecido. A combinação desses dois valores confirma que o tráfego de saída para 52.168.10.5:443 está sendo bloqueado na origem, provavelmente por uma regra de NSG ou política de rede.
  • A alternativa A é incorreta porque action: D significa que o tráfego foi bloqueado localmente, não que chegou ao destino e foi recusado.
  • A alternativa C contradiz o campo action: D; um fluxo encerrado pelo destino após transferência apareceria com action: A e flowState: E.
  • A alternativa D é incorreta porque os VNet flow logs registram decisões de NSG e políticas de rede virtual, não distinguem bloqueios por roteamento de bloqueios por política.

Gabarito — Questão 3

Resposta: B

Explique:

  • O Traffic Analytics processa os flow logs em intervalos configuráveis (padrão de 60 minutos, podendo ser reduzido para 10 minutos). Esse processamento introduz uma latência inerente entre o momento em que o tráfego ocorre e o momento em que ele aparece nas visualizações do Traffic Analytics. Para cenários que exigem reatividade próxima ao real, consultar os logs brutos no Log Analytics pode ser mais adequado.
  • A alternativa A é incorreta quanto à retenção: o Traffic Analytics envia dados ao Log Analytics, onde a retenção é configurável, mas os flow logs brutos também podem ter retenção configurada; nenhum dos dois é ilimitado por padrão.
  • A alternativa C representa um equívoco fundamental: os flow logs registram tanto tráfego permitido quanto negado; o Traffic Analytics não altera o escopo dos dados.
  • A alternativa D é incorreta porque o Traffic Analytics consome os flow logs sem substituí-los; os blobs continuam sendo gravados na conta de armazenamento configurada.

Gabarito — Questão 4

Resposta: B

Explique:

  • O Traffic Analytics processa e agrega os flow logs, gerando visualizações prontas como mapa de tráfego, top IPs externos, fluxos maliciosos conhecidos e distribuição por porta. Para o requisito descrito (volume por IP externo em 7 dias), o painel do Traffic Analytics oferece essa visão de forma direta, sem necessidade de construir consultas KQL complexas ou processar arquivos JSON manualmente.
  • A alternativa A é tecnicamente viável, mas operacionalmente ineficiente para um período de sete dias com volume de dados potencialmente grande; não é a abordagem mais direta.
  • A alternativa C é incorreta porque as métricas do Azure Monitor para VNets não são desagregadas por IP de origem; métricas são dados agregados, não registros por fluxo.
  • A alternativa D descreve uma ferramenta para monitorar conectividade de saída e latência entre pontos específicos, não para agregar volume de tráfego por IP de origem externo.

Gabarito — Questão 5

Resposta: Falso

Explique:

  • Os VNet flow logs são habilitados por VNet individualmente. O tráfego que atravessa um peering é registrado na perspectiva de cada VNet separadamente. Se apenas uma VNet tiver os flow logs habilitados, somente o tráfego processado por aquela VNet será capturado; o tráfego na VNet remota não será registrado automaticamente.
  • Essa distinção é importante em arquiteturas hub-and-spoke: habilitar os flow logs apenas no hub não captura os fluxos internos dos spokes, mesmo que o tráfego passe pelo hub.
  • O equívoco comum é tratar o VNet peering como uma extensão transparente da VNet local, quando na prática cada VNet mantém seu próprio plano de observabilidade independente.