Verwenden von Azure Firewall-Arbeitsmappen

Azure Firewall Workbook bietet eine flexible Canvas für die Azure Firewall-Datenanalyse. Sie können es verwenden, um umfangreiche visuelle Berichte im Azure-Portal zu erstellen. Sie können mehrere Firewalls nutzen, die in Azure bereitgestellt werden, und sie in einheitlichen interaktiven Umgebungen kombinieren.

Sie können Einblicke in Azure Firewall-Ereignisse erhalten, Informationen zu Ihren Anwendungs- und Netzwerkregeln erhalten und Statistiken zu Firewallaktivitäten über URLs, Ports und Adressen hinweg anzeigen. Azure Firewall Workbook ermöglicht es Ihnen, Ihre Firewalls und Ressourcengruppen zu filtern und dynamisch pro Kategorie mit einfach zu lesenden Datensätzen zu filtern, wenn sie ein Problem in Ihren Protokollen untersuchen.

Voraussetzungen

Bevor Sie beginnen, aktivieren Sie Azure Structured Firewall Logs über das Azure-Portal.

Wenn Sie Legacyprotokolle verwenden möchten, können Sie die Diagnoseprotokollierung über das Azure-Portal aktivieren. Wechseln Sie dann zu GitHub-Arbeitsmappe für Azure Firewall , und folgen Sie den Anweisungen auf der Seite.

Lesen Sie außerdem Azure Firewall-Protokolle und -Metriken , um einen Überblick über die Diagnoseprotokolle und Metriken zu erhalten, die für Azure Firewall verfügbar sind.

Get started

Nachdem Sie strukturierte Firewallprotokolle eingerichtet haben, sind Sie alle für die Verwendung der eingebetteten Azure Firewall-Arbeitsmappen mit den folgenden Schritten eingerichtet:

1. Navigieren Sie im Portal zu Ihrer Azure Firewall-Ressource.

2. Wählen Sie unter "Überwachung" die Option "Arbeitsmappen" aus.

3. Im Katalog können Sie neue Arbeitsmappen erstellen oder die vorhandene Azure Firewall-Arbeitsmappe wie hier gezeigt verwenden:

   

4. Wählen Sie den Log Analytics-Arbeitsbereich und einen oder mehrere Firewallnamen aus, die Sie in dieser Arbeitsmappe verwenden möchten, wie hier gezeigt:

   

Abschnitte in der Arbeitsmappe

Die Azure Firewall-Arbeitsmappe verfügt über sieben Registerkarten, die jeweils unterschiedliche Aspekte des Diensts behandeln. In den folgenden Abschnitten werden die einzelnen Registerkarten beschrieben.

Überblick

Auf der Registerkarte "Übersicht" werden Diagramme und Statistiken zu allen Arten von Firewallereignissen dargestellt, die aus verschiedenen Protokollierungskategorien aggregiert werden. Dazu gehören Netzwerkregeln, Anwendungsregeln, DNS, Intrusion Detection and Prevention System (IDPS), Threat Intelligence und vieles mehr. Die verfügbaren Widgets auf der Registerkarte "Übersicht" umfassen:

• Ereignisse nach Uhrzeit: Zeigt die Ereignishäufigkeit im Laufe der Zeit an.
• Ereignisse nach Firewall im Laufe der Zeit: Zeigt die Ereignisverteilung über Firewalls im Laufe der Zeit an.
• Ereignisse nach Kategorie: Kategorisiert und zählt Ereignisse.
• Ereigniskategorien nach Uhrzeit: Zeigt Ereigniskategorien im Laufe der Zeit an.
• Durchschnittlicher Durchsatz des Firewalldatenverkehrs: Zeigt durchschnittliche Daten an, die durch die Firewall übergeben werden.
• SNAT-Portnutzung: Zeigt die Verwendung von SNAT-Ports an.
• Anzahl der Netzwerkregeltreffer (SUM): Zählt Netzwerkregeltrigger.
• Anzahl der Anwendungsregeltreffer (SUM): Zählt Anwendungsregeltrigger.

Anwendungsregeln

Auf der Registerkarte "Anwendungsregeln" werden Statistiken zu Ereignissen der Ebene 7 angezeigt, die mit Ihren spezifischen Anwendungsregeln in der Azure Firewall-Richtlinie korreliert sind. Die folgenden Widgets sind auf der Registerkarte "Anwendungsregeln" verfügbar:

• Anwendungsregelverwendung: Zeigt die Verwendung von Anwendungsregeln an.
• Verweigerte FQDNs im Laufe der Zeit: Zeigt verweigerte vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) im Laufe der Zeit an.
• Verweigerte FQDNs nach Anzahl: Zählt die verweigerten FQDNs.
• Zulässige FQDNs im Zeitverlauf: Zeigt zulässige FQDNs im Laufe der Zeit an.
• Zulässige FQDNs nach Anzahl: Anzahl zulässiger FQDNs.
• Erlaubte Webkategorien im Zeitverlauf: Zeigt die im Zeitverlauf erlaubten Webkategorien an.
• Zulässige Webkategorien nach Anzahl: Anzahl zulässiger Webkategorien.
• Verweigerte Webkategorien im Zeitverlauf: Zeigt verweigerte Webkategorien im Laufe der Zeit an.
• Abgelehnte Webkategorien nach Anzahl: Zählt die abgelehnten Webkategorien.

Netzwerkregeln

Auf der Registerkarte "Netzwerkregeln" werden Statistiken zu Ereignissen der Ebene 4 angezeigt, die mit Ihren spezifischen Netzwerkregeln in der Azure Firewall-Richtlinie korreliert sind. Die folgenden Widgets sind auf der Registerkarte "Netzwerkregeln" verfügbar:

• Regelaktionen: Zeigt Aktionen an, die von Regeln ausgeführt werden.
• Zielports: Zeigt gezielte Ports im Netzwerkdatenverkehr an.
• DNAT-Aktionen: Zeigt Aktionen der Zielnetzwerkadressenübersetzung (DNAT) an.
• GeoLocation: Zeigt geografische Standorte an, die am Netzwerkdatenverkehr beteiligt sind.
• Regelaktionen nach IP-Adressen: Zeigt Regelaktionen an, die nach IP-Adressen kategorisiert sind.
• Zielports nach Quell-IP: Zeigt zielorientierte Ports an, die nach Quell-IP-Adressen kategorisiert sind.
• DNAT-Vorgänge im Laufe der Zeit: Zeigt DNAT-Vorgänge im Laufe der Zeit an.
• GeoLocation im Laufe der Zeit: Zeigt geografische Standorte an, die im Laufe der Zeit an Netzwerkdatenverkehr beteiligt sind.
• Aktionen nach Zeit: Zeigt Netzwerkaktionen im Laufe der Zeit an.
• Alle IP-Adressenereignisse mit GeoLocation: Zeigt alle Ereignisse mit IP-Adressen an, kategorisiert nach geografischem Standort.

DNS-Proxy

Diese Registerkarte ist relevant, wenn Sie Azure Firewall so eingerichtet haben, dass sie als DNS-Proxy fungiert und als Vermittler für DNS-Anforderungen von virtuellen Clientcomputern zu einem DNS-Server dient. Die Registerkarte "DNS-Proxy" enthält verschiedene Widgets, die Sie verwenden können:

• DNS-Proxydatenverkehr nach Anzahl pro Firewall: Zeigt die Anzahl des DNS-Proxydatenverkehrs für jede Firewall an.
• DNS-Proxyanzahl nach Anforderungsname: Zählt DNS-Proxyanforderungen nach Anforderungsname.
• Anzahl der DNS-Proxyanforderungen nach Client-IP: Zählt DNS-Proxyanforderungen nach Client-IP-Adresse.
• DNS-Proxyanforderung im Laufe der Zeit nach Client-IP: Zeigt DNS-Proxyanforderungen im Laufe der Zeit an, kategorisiert nach Client-IP.
• DNS-Proxyinformationen: Stellt Protokollinformationen im Zusammenhang mit Ihrem DNS-Proxysetup bereit.

Eindringungserkennungs- und Präventionssystem (IDPS)

Die Registerkarte IDPS-Protokollstatistik bietet eine Zusammenfassung von bösartigen Datenverkehrsereignissen und die präventiven Maßnahmen, die vom Dienst durchgeführt werden. Auf der Registerkarte "IDPS" finden Sie verschiedene Widgets, die Sie verwenden können:

• ANZAHL DER IDPS-Aktionen: Zählt IDPS-Aktionen.
• IDPS-Protokollanzahl: Zählt protokolle, die von IDPS erkannt wurden.
• IDPS SignatureID Count: Zählt IDPS-Erkennungen nach Signatur-ID.
• IDPS SourceIP Count: Zählt IDPS-Erkennungen nach Quell-IP-Adresse.
• Gefilterte IDPS-Aktionen nach Anzahl: Zählt gefilterte IDPS-Aktionen.
• Gefilterte IDPS-Protokolle nach Anzahl: Zählt gefilterte IDPS-Protokolle.
• Gefilterte IDPS SignatureIDs nach Anzahl: Zählt gefilterte IDPS-Erkennungen nach Signatur-ID.
• Gefiltertes SourceIP: Zeigt gefilterte Quell-IPs an, die von IDPS erkannt wurden.
• Anzahl der Azure Firewall-IDPS im Laufe der Zeit: Zeigt die Anzahl der Azure Firewall-IDPS im Laufe der Zeit an.
• Azure Firewall IDPS-Protokolle mit GeoLocation: Stellt Azure Firewall-IDPS-Protokolle bereit, kategorisiert nach geografischem Standort.

Bedrohungsinformationen (TI)

Diese Registerkarte bietet eine gründliche Perspektive auf Bedrohungserkennungsaktivitäten, die die häufigsten Bedrohungen, Aktionen und Protokolle hervorheben. Er gliedert die fünf wichtigsten vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) und IP-Adressen, die mit diesen Bedrohungen verbunden sind, und zeigt im Laufe der Zeit Erkennungen von Bedrohungen an. Darüber hinaus werden detaillierte Protokolle der Threat Intelligence von Azure Firewall für eine umfassende Analyse bereitgestellt. Auf der Registerkarte "Threat Intelligence" finden Sie verschiedene Widgets, die Sie verwenden können:

• Anzahl der Bedrohungsaufklärungsaktionen: Zählt Aktionen, die von der Bedrohungsaufklärung erkannt wurden.
• Anzahl der Bedrohungs-Intel-Protokolle: Zählt protokolle, die von Threat Intelligence identifiziert wurden.
• Top 5 FQDN Count: Zeigt die fünf häufigsten vollqualifizierten Domänennamen (FQDNs) an.
• Top 5 IP Count: Zeigt die fünf häufigsten IP-Adressen an.
• Threat Intelligence von Azure Firewall im Laufe der Zeit: Zeigt die Erkennung von Azure Firewall-Threat Intelligence im Laufe der Zeit an.
• Azure Firewall Threat Intelligence: Bietet Protokolle von der Bedrohungsintelligenz des Azure Firewalls an.

Untersuchungen

Der Untersuchungsabschnitt ermöglicht die Erkundung und Problembehandlung und bietet zusätzliche Details wie den Namen des virtuellen Computers und den Netzwerkschnittstellennamen, der mit der Initiierung oder Beendigung des Datenverkehrs verknüpft ist. Außerdem werden Korrelationen zwischen Quell-IP-Adressen, den vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) hergestellt, auf die sie zugreifen, sowie die geografische Standortansicht Ihres Datenverkehrs. Widgets, die auf der Registerkarte "Untersuchung" verfügbar sind:

• FQDN-Datenverkehr nach Anzahl: Zählt Datenverkehr nach vollqualifizierten Domänennamen (FQDNs).
• Anzahl der Quell-IP-Adressen: Zählt Vorkommen von Quell-IP-Adressen.
• Ressourcensuche für Quell-IP-Adressen: Sucht Ressourcen, die quellbezogenen IP-Adressen zugeordnet sind.
• FQDN-Nachschlageprotokolle: Stellt Protokolle aus FQDN-Nachschlagevorgängen bereit.
• Azure Firewall Premium mit geografischem Standort – IDPS: Zeigt das Angriffserkennungs- und Präventionssystem der Azure-Firewall (IDPS) an, die nach geografischem Standort kategorisiert sind.

Nächste Schritte

• Weitere Informationen zur Azure Firewall Diagnostics
• Informationen zum Nachverfolgen von Regelsatzänderungen mithilfe von Azure Resource Graph