Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia direcciones IP, FQDN y direcciones URL malintencionadas. Las direcciones IP, los dominios y las direcciones URL proceden de la fuente de inteligencia sobre amenazas de Microsoft, que abarca varios orígenes, incluido el equipo de ciberseguridad de Microsoft.
Cuando se habilita el filtrado basado en inteligencia sobre amenazas, Azure Firewall evalúa el tráfico frente a las reglas de inteligencia sobre amenazas antes de aplicar las reglas nat, de red o de aplicación.
Los administradores pueden configurar el firewall para que funcione en modo de solo alerta o en modo de alerta y denegación cuando se desencadena una regla de inteligencia sobre amenazas. De forma predeterminada, el firewall funciona en modo de solo alerta. Este modo se puede deshabilitar o cambiar a alerta y denegar.
Las listas de permitidos se pueden definir para excluir FQDN específicos, direcciones IP, intervalos o subredes del filtrado de inteligencia sobre amenazas.
Para las operaciones por lotes, los administradores pueden cargar un archivo CSV que contenga direcciones IP, intervalos y subredes para rellenar la lista de permitidos.
Logs
El siguiente extracto del registro muestra una regla desencadenada:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. Para ayudar a probar que las alertas de salida funcionan, hay un FQDN de prueba que desencadena una alerta. Use
testmaliciousdomain.eastus.cloudapp.azure.compara las pruebas salientes.Para prepararse para las pruebas y asegurarse de que no obtiene un error de resolución DNS, configure los siguientes elementos:
- Agregue un registro ficticio al archivo de hosts en el equipo de prueba. Por ejemplo, en un equipo que ejecuta Windows, podría agregar
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comal archivoC:\Windows\System32\drivers\etc\hosts. - Asegúrese de que la solicitud HTTP/S probada está permitida mediante una regla de aplicación, no una regla de red.
- Agregue un registro ficticio al archivo de hosts en el equipo de prueba. Por ejemplo, en un equipo que ejecuta Windows, podría agregar
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Verá alertas incluso si el firewall solo permite orígenes específicos en la regla DNAT y se deniega el tráfico de otra manera. Azure Firewall no alerta sobre todos los escáneres de puerto conocidos, solo sobre aquellos que también participan en actividades malintencionadas.