Freigeben über

Nachverfolgen von Änderungen des Azure Firewall-Regelsatzes

In diesem Artikel erfahren Sie, wie Sie Änderungen an Azure Firewall-Regelsammlungsgruppen mithilfe von Azure Resource Graph überwachen und nachverfolgen. Mithilfe der Änderungsnachverfolgung können Sie die Sicherheitscompliance beibehalten, Konfigurationsänderungen überwachen und Probleme beheben, indem Sie einen detaillierten Verlauf der Änderungen von Regelgruppen bereitstellen.

Azure Resource Graph bietet Änderungsanalysedaten, mit denen Sie nachverfolgen können, wann Änderungen in Azure Firewall-Regelsammlungsgruppen erkannt wurden. Sie können Details zu Eigenschaftsänderungen und Änderungen von Abfragen in großem Umfang in Ihrem Abonnement, Ihrer Verwaltungsgruppe oder Ihrem Mandanten anzeigen.

Die Änderungsnachverfolgung für Azure Firewall-Regelsammlungsgruppen ermöglicht Folgendes:

  • Überwachen von Konfigurationsänderungen: Nachverfolgen aller Änderungen an Firewallregeln und -richtlinien
  • Compliance verwalten: Erstellen von Prüfpfaden zur Erfüllung von Sicherheits- und Compliance-Anforderungen
  • Problembehandlung: Identifizieren, wann Änderungen vorgenommen wurden, die sich auf die Konnektivität auswirken könnten
  • Analysieren von Trends: Verstehen von Mustern in Regeländerungen im Laufe der Zeit

Voraussetzungen

Bevor Sie Änderungen des Regelsatzes nachverfolgen können, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

  • Sie verfügen über eine Azure Firewall mit konfigurierten Regelsammlungsgruppen
  • Sie verfügen über entsprechende Berechtigungen für den Zugriff auf Azure Resource Graph
  • Ihre Azure-Firewall verwendet Die Azure-Firewallrichtlinie (nicht klassische Regeln)

Zugreifen auf Azure Resource Graph-Explorer

Zum Ausführen von Änderungsnachverfolgungsabfragen müssen Sie auf den Azure Resource Graph-Explorer zugreifen:

  1. Anmelden beim Azure-Portal
  2. Suchen und Auswählen des Ressourcendiagramm-Explorers
  3. Im Abfragefenster können Sie die in den folgenden Abschnitten beschriebenen Änderungsnachverfolgungsabfragen ausführen.

Grundlegende Änderungsnachverfolgungsabfrage

Verwenden Sie diese Abfrage, um eine umfassende Ansicht aller Änderungen an Azure Firewall-Regelsammlungsgruppen zu erhalten:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| extend parsedProperties = parse_json(properties)
| extend TargetResource = tostring(parsedProperties.targetResourceId),
         Timestamp = todatetime(parsedProperties.changeAttributes.timestamp),
         Changes = todynamic(parsedProperties.changes),
         ChangeType = tostring(parsedProperties.changeType),
         PreviousSnapshotId = tostring(parsedProperties.changeAttributes.previousResourceSnapshotId),
         NewSnapshotId = tostring(parsedProperties.changeAttributes.newResourceSnapshotId),
         CorrelationId = tostring(parsedProperties.changeAttributes.correlationId),
         ChangesCount = toint(parsedProperties.changeAttributes.changesCount),
         TenantId = tostring(tenantId),
         Location = tostring(location),
         SubscriptionId = tostring(subscriptionId),
         ResourceGroup = tostring(resourceGroup),
         FirewallPolicyName = extract('/firewallPolicies/([^/]+)/', 1, tostring(id))
| mv-expand ChangeKey = bag_keys(Changes)
| extend ChangeDetails = todynamic(Changes[tostring(ChangeKey)])
| extend RuleCollectionName = extract('properties\\.ruleCollections\\["([^"]+)"\\]', 1, tostring(ChangeKey))
| where isnotempty(RuleCollectionName)
| summarize Changes = make_list(pack("ChangeKey", ChangeKey, "PreviousValue", tostring(ChangeDetails.previousValue), "NewValue", tostring(ChangeDetails.newValue)))
    by Timestamp = format_datetime(Timestamp, 'yyyy-MM-dd HH:mm:ss'),
       TenantId,
       SubscriptionId,
       ResourceGroup,
       Location,
       TargetResource,
       FirewallPolicyName,
       RuleCollectionName,
       ChangeType,
       PreviousSnapshotId,
       NewSnapshotId,
       CorrelationId,
       ChangesCount
| project Timestamp,
          TenantId,
          SubscriptionId,
          ResourceGroup,
          Location,
          TargetResource,
          FirewallPolicyName,
          RuleCollectionName,
          ChangeType,
          PreviousSnapshotId,
          NewSnapshotId,
          CorrelationId,
          ChangesCount,
          Changes
| order by Timestamp desc

Grundlegendes zu den Abfrageergebnissen

Die Änderungsnachverfolgungsabfrage gibt die folgenden Informationen für jede erkannte Änderung zurück:

Feld Description
Timestamp Zeitpunkt der Änderung
SubscriptionId Azure-Abonnement mit der Firewall
ResourceGroup Ressourcengruppe, die die Firewallrichtlinie enthält
FirewallPolicyName Name der betroffenen Firewallrichtlinie
RuleCollectionName Name der betroffenen Regelsammlung
Änderungstyp Änderungstyp (Erstellen, Aktualisieren, Löschen)
ChangesCount Anzahl der geänderten Eigenschaften
Änderungen Detaillierte Liste der Geänderten, einschließlich vorheriger und neuer Werte
CorrelationId Eindeutiger Identifikator, der verwandte Änderungen verbindet

Filtern von Änderungen nach Zeitraum

Um sich auf aktuelle Änderungen zu konzentrieren, können Sie Ihrer Abfrage einen Zeitfilter hinzufügen:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where todatetime(properties.changeAttributes.timestamp) >= ago(7d)  // Last 7 days
// ... rest of query

Filtern nach bestimmten Firewallrichtlinien

So verfolgen Sie Änderungen für eine bestimmte Firewallrichtlinie:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where id contains "/firewallPolicies/your-policy-name"
// ... rest of query

Einrichten der automatisierten Überwachung

Für eine kontinuierliche Überwachung sollten Sie Folgendes einrichten:

  • Geplante Abfragen: Verwenden von Azure Logic Apps oder Azure Automation zum Ausführen von Abfragen nach einem Zeitplan
  • Warnungen: Erstellen von Azure Monitor-Warnungen basierend auf Änderungsmustern
  • Berichte: Exportieren von Ergebnissen in Speicher- oder Visualisierungstools für Die Berichterstellung

Bewährte Methoden

Beim Implementieren der Regelsatz-Änderungsnachverfolgung:

  • Regelmäßige Überwachung: Einrichten der regulären Abfrageausführung, um Änderungen umgehend abzufangen
  • Aufbewahrungsrichtlinien: Planen der langfristigen Speicherung von Änderungsdaten für Compliance-Vorgaben
  • Zugriffssteuerung: Beschränken des Zugriffs auf Änderungsnachverfolgungsdaten basierend auf Sicherheitsanforderungen
  • Integration: Erwägen Sie die Integration mit Ihren vorhandenen SIEM- oder Überwachungstools.

Problembehandlung

Wenn die erwarteten Änderungen in Ihren Ergebnissen nicht angezeigt werden:

  • Stellen Sie sicher, dass Sie die Azure-Firewallrichtlinie verwenden (nicht klassische Regeln)
  • Überprüfen Sie, ob der Zeitraum in Ihrer Abfrage die Zeit abdeckt, in der Änderungen aufgetreten sind.
  • Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für den Zugriff auf Azure Resource Graph verfügen
  • Vergewissern Sie sich, dass die Ressourcennamen in Ihren Filtern korrekt sind.

Verwandte Inhalte

  • Last updated on