Uso de Libros de Azure Firewall

El Libro de Azure Firewall proporciona un lienzo flexible para el análisis de datos de Azure Firewall. Puede utilizarlo para crear informes visuales completos en Azure Portal. Puede acceder a varias instancias de Firewall implementadas en Azure y combinarlas en experiencias interactivas unificadas.

Puede obtener información sobre los eventos de Azure Firewall, conocer las reglas de la aplicación y de la red, y ver las estadísticas de las actividades de firewall en direcciones URL, puertos y direcciones. El Libro de Azure Firewall le permite filtrar los firewalls y los grupos de recursos, así como filtrar de forma dinámica por categoría con conjuntos de datos fáciles de leer al investigar un problema en los registros.

Prerrequisitos

Antes de empezar, habilite Registros de firewall estructurados de Azure a través de Azure Portal.

Si quiere usar registros heredados, puede habilitar registro de diagnóstico mediante Azure Portal. A continuación, vaya a Libro de GitHub para Azure Firewall y siga las instrucciones de la página.

Asimismo, lea Métricas y registros de Azure Firewall para obtener una introducción a los registros y las métricas de diagnóstico disponibles para Azure Firewall.

Comienza

Una vez que haya establecido los registros estructurados de Firewall, estará listo para usar los libros de trabajo insertados de Azure Firewall siguiendo los siguientes pasos:

1. En el portal, navegue hasta su recurso de Azure Firewall.

2. En Supervisión, seleccione Libros.

3. En la Galería, puede crear nuevos libros o usar el libro existente de Azure Firewall, como se muestra aquí:

   

4. Seleccione el área de trabajo de Log Analytics y uno o más nombres de firewall que quiera usar en este libro, como se muestra aquí:

   

Secciones del libro

El libro de Azure Firewall tiene siete pestañas, cada una de las cuales aborda distintos aspectos del servicio. En las secciones siguientes se describe cada pestaña.

Información general

La pestaña de información general muestra gráficos y estadísticas relacionados con todos los tipos de eventos de firewall agregados a partir de varias categorías de registro. Esto incluye reglas de red, reglas de aplicación, DNS, Sistema de detección y prevención de intrusiones (IDPS), Inteligencia sobre amenazas y mucho más. Los widgets disponibles en la pestaña Información general incluyen:

• Eventos, por tiempo: muestra la frecuencia de eventos a lo largo del tiempo.
• Eventos, por firewall a lo largo del tiempo: muestra la distribución de eventos por firewalls a lo largo del tiempo.
• Eventos, por categoría: clasifica y cuenta los eventos.
• Categorías de eventos, por tiempo: muestra las categorías de eventos por tiempo.
• Rendimiento promedio del tráfico de firewall: muestra el promedio de datos que pasan por el firewall.
• Utilización de puertos SNAT: muestra la utilización de los puertos SNAT.
• Recuento de aciertos de reglas de red (SUMA): cuenta los desencadenadores de reglas de red.
• Recuento de aciertos de reglas de aplicación (SUMA): cuenta los desencadenadores de reglas de aplicación.

Reglas de aplicación

La pestaña Reglas de aplicación muestra las estadísticas de eventos relacionados con la Capa 7 correlacionados con sus reglas de aplicación específicas en la directiva de Azure Firewall. Los siguientes widgets están disponibles en la pestaña Reglas de aplicación:

• Utilización de las reglas de aplicación: muestra la utilización de las reglas de aplicación.
• FQDN denegados a lo largo del tiempo: muestra los nombres de dominio completo (FQDN) denegados a lo largo del tiempo.
• FQDN denegados por recuento: cuenta los FQDN denegados.
• FQDN permitidos a lo largo del tiempo: muestra los FQDN permitidos a lo largo del tiempo.
• FQDN permitidos por recuento: cuenta los FQDN permitidos.
• Categorías web permitidas a lo largo del tiempo: muestra las categorías web permitidas a lo largo del tiempo.
• Categorías web permitidas por recuento: cuenta las categorías web permitidas.
• Categorías web denegadas a lo largo del tiempo: muestra las categorías web denegadas a lo largo del tiempo.
• Categorías web denegadas por recuento: cuenta las categorías web denegadas.

Reglas de red

La pestaña Reglas de red muestra las estadísticas de eventos relacionados con la Capa 4 correlacionados con sus reglas de red específicas en la directiva de Azure Firewall. Los siguientes widgets están disponibles en la pestaña Reglas de red:

• Acciones de regla: muestra las acciones realizadas por reglas.
• Puertos de destino: muestra los puertos de destino en el tráfico de red.
• Acciones DNAT: muestra las acciones de la traducción de direcciones de red de destino (DNAT).
• Geolocalización: muestra las ubicaciones geográficas implicadas en el tráfico de la red.
• Acciones de regla, por direcciones IP: muestra las acciones de reglas clasificadas por direcciones IP.
• Puertos de destino, por IP de origen: muestra los puertos de destino clasificados por direcciones IP de origen.
• DNAT a lo largo del tiempo: muestra las acciones de DNAT a lo largo del tiempo.
• Geolocalización a lo largo del tiempo: muestra las ubicaciones geográficas implicadas en el tráfico de red a lo largo del tiempo.
• Acciones, por tiempo: muestra las acciones de red a lo largo del tiempo.
• Todos los eventos de direcciones IP con geolocalización: muestra todos los eventos que implican direcciones IP, clasificados por ubicación geográfica.

Proxy DNS

Esta pestaña es relevante si ha establecido que Azure Firewall funcione como proxy DNS, sirviendo de intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS. La pestaña Proxy DNS incluye varios widgets que puede usar:

• Tráfico de proxy DNS por recuento por firewall: muestra el recuento de tráfico de proxy DNS por cada firewall.
• Recuento de proxy DNS por nombre de solicitud: cuenta las solicitudes de proxy DNS por nombre de solicitud.
• Recuento de solicitudes de proxy DNS por IP de cliente: cuenta las solicitudes de proxy DNS por dirección IP del cliente.
• Solicitud de proxy DNS a lo largo del tiempo por IP de cliente: muestra las solicitudes de proxy DNS a lo largo del tiempo, clasificadas por IP de cliente.
• Información de proxy DNS: proporciona información de registro relacionada con la configuración del proxy DNS.

Sistema de detección y prevención de intrusiones (IDPS)

La pestaña Estadísticas de registro de IDPS ofrece un resumen de los eventos de tráfico malintencionados y las acciones preventivas realizadas por el servicio. En la pestaña IDPS, encontrará varios widgets que puede usar:

• Recuento de acciones de IDPS: cuenta las acciones de IDPS.
• Recuento de protocolos de IDPS: cuenta los protocolos detectados por IDPS.
• Recuento de IDPS por id. de firma: cuenta las detecciones de IDPS por id. de firma.
• Recuento de IDPS por IP de origen: Cuenta las detecciones de IDPS por dirección IP de origen.
• Acciones de IDPS filtradas por recuento: acciones de IDPS filtradas por recuento.
• Protocolos de IDPS filtrados por recuento: cuenta los protocolos de IDPS filtrados.
• Identificadores de firma de IDPS filtrados por recuento: cuenta las detecciones de IDPS filtradas por id. de firma.
• IP de origen filtrada: muestra las IP de origen filtradas detectadas por IDPS.
• Recuento de IDPS de Azure Firewall a lo largo del tiempo: muestra el recuento de IDPS de Azure Firewall a lo largo del tiempo.
• Registros de IDPS de Azure Firewall con geolocalización: proporciona registros de IDPS de Azure Firewall, clasificados por ubicación geográfica.

Inteligencia sobre amenazas (TI)

Esta pestaña ofrece una perspectiva completa de las actividades de inteligencia sobre amenazas, destacando las amenazas, acciones y protocolos más frecuentes. Delinea los cinco nombres de dominio completo (FQDN) y direcciones IP más importantes asociados a estas amenazas, mostrando las detecciones de inteligencia sobre amenazas a lo largo del tiempo. Además, los registros detallados de la Inteligencia sobre amenazas de Azure Firewall se proporcionan para un análisis completo. En la pestaña Inteligencia sobre amenazas, encontrará varios widgets que puede usar:

• Recuento de acciones de Inteligencia sobre amenazas: cuenta las acciones detectadas por la Inteligencia sobre amenazas.
• Recuento de protocolos de Inteligencia sobre amenazas: cuenta los protocolos identificados por la Inteligencia sobre amenazas.
• Recuento de los 5 FQDN principales: muestra los cinco nombres de dominio completo (FQDN) más frecuentes.
• Recuento de las 5 IP principales: muestra las cinco direcciones IP más frecuentes.
• Inteligencia sobre amenazas de Azure Firewall a lo largo del tiempo: muestra las detecciones de Inteligencia sobre amenazas de Azure Firewall a lo largo del tiempo.
• Inteligencia sobre amenazas de Azure Firewall: proporciona registros de la Inteligencia sobre amenazas de Azure Firewall.

Investigaciones

La sección de investigación habilita la exploración y la solución de problemas, ofreciendo detalles adicionales como el nombre de la máquina virtual y el nombre de la interfaz de red asociada con el inicio o la terminación del tráfico. También establece correlaciones entre las direcciones IP de origen, los nombres de dominio completo (FQDN) a los que intentan acceder, así como la vista de ubicación geográfica del tráfico. Widgets disponibles en la pestaña Investigación:

• Tráfico de FQDN por recuento: cuenta el tráfico por nombres de dominio completo (FQDN).
• Recuento de direcciones IP de origen: cuenta las apariciones de direcciones IP de origen.
• Búsqueda de recursos de direcciones IP de origen: busca los recursos asociados a las direcciones IP de origen.
• Registros de búsqueda de FQDN: proporciona registros de las búsquedas de FQDN.
• Azure Firewall Premium con geolocalización - IDPS: muestra las detecciones del Sistema de detección y prevención de intrusiones (IDPS) de Azure Firewall, clasificadas por ubicación geográfica.

Pasos siguientes

• Obtenga más información sobre el Diagnostico de Azure Firewall
• Obtenga información sobre cómo realizar un seguimiento de los cambios del conjunto de reglas mediante Azure Resource Graph