Udostępnij przez

Korzystanie ze skoroszytów usługi Azure Firewall

Skoroszyt Azure Firewall zapewnia elastyczną przestrzeń do analizy danych Azure Firewall. Służy do tworzenia rozbudowanych raportów wizualnych w witrynie Azure Portal. Możesz wykorzystać wiele zapór wdrożonych na platformie Azure i połączyć je w ujednolicone interaktywne środowiska.

Możesz uzyskać wgląd w zdarzenia usługi Azure Firewall, zapoznać się z regułami dotyczącymi aplikacji i sieci oraz zapoznać się ze statystykami działalności zapory w kontekście adresów URL, portów i adresów. Skoroszyt usługi Azure Firewall umożliwia filtrowanie zapór i grup zasobów oraz dynamiczne filtrowanie według kategorii przy użyciu łatwych do odczytania zestawów danych podczas badania problemu w dziennikach.

Wymagania wstępne

Przed rozpoczęciem włącz dzienniki usługi Azure Structured Firewall za pośrednictwem witryny Azure Portal.

Ważne

Wszystkie poniższe sekcje są prawidłowe tylko w przypadku ustrukturyzowanych dzienników zaporowych.

Jeśli chcesz używać starszych dzienników, możesz włączyć rejestrowanie diagnostyczne przy użyciu witryny Azure Portal. Następnie przejdź do Skoroszytu GitHub dla Azure Firewall i postępuj zgodnie z instrukcjami na stronie.

Przeczytaj również dzienniki i metryki usługi Azure Firewall , aby zapoznać się z omówieniem dzienników diagnostycznych i metryk dostępnych dla usługi Azure Firewall.

Wprowadzenie

Po skonfigurowaniu dzienników strukturalnych dla zapory jesteście przygotowani do korzystania z wbudowanych skoroszytów Azure Firewall, wykonując następujące kroki:

  1. W portalu przejdź do zasobu usługi Azure Firewall.

  2. W sekcji Monitorowanie wybierz Workbooki.

  3. W galerii możesz utworzyć nowe skoroszyty lub użyć istniejącego skoroszytu usługi Azure Firewall, jak pokazano poniżej:

    Zrzut ekranu przedstawiający galerię skoroszytów dla zapory ogniowej.

  4. Wybierz obszar roboczy usługi Log Analytics i co najmniej jedną nazwę zapory, której chcesz użyć w tym skoroszycie, jak pokazano poniżej:

    Zrzut ekranu przedstawiający dzienniki ustrukturyzowane.

Sekcje skoroszytu

Skoroszyt usługi Azure Firewall ma siedem kart, z których każda odpowiada odrębnym aspektom usługi. W poniższych sekcjach omówiono każdą kartę.

Przegląd

Karta Przegląd zawiera wykresy i statystyki związane ze wszystkimi typami zdarzeń zapory zagregowanymi z różnych kategorii rejestrowania. Obejmuje to reguły sieci, reguły aplikacji, system DNS, wykrywanie nieautoryzowanego dostępu i zapobieganie (IDPS), analizę zagrożeń i nie tylko. Dostępne widżety na karcie Przegląd obejmują:

  • Zdarzenia według czasu: wyświetla częstotliwość zdarzeń w czasie.
  • Zdarzenia według zapory w czasie: pokazuje rozkład zdarzeń między zaporami w czasie.
  • Zdarzenia według kategorii: Kategoryzuje i zlicza zdarzenia.
  • Kategorie zdarzeń według czasu: wyświetla kategorie zdarzeń w czasie.
  • Średnia przepustowość ruchu zapory: Pokazuje średnią ilość danych przekazywanych przez zaporę.
  • Wykorzystanie portów SNAT: wyświetla użycie portów SNAT.
  • Liczba trafień reguły sieciowej (SUM): zlicza wyzwalacze reguły sieciowej.
  • Liczba trafień reguły aplikacji (SUM): zlicza wyzwalacze reguły aplikacji.

Omówienie skoroszytu usługi Azure Firewall

Reguły aplikacji

Na karcie Reguły aplikacji są wyświetlane statystyki zdarzeń związanych z warstwą 7 skorelowane z określonymi regułami aplikacji w zasadach usługi Azure Firewall. Następujące widżety są dostępne na karcie Reguły aplikacji:

  • Użycie reguły aplikacji: pokazuje użycie reguł aplikacji.
  • Odmowa w pełni kwalifikowanych nazw domen w czasie: wyświetla w czasie odrzucone w pełni kwalifikowane nazwy domen (FQDN).
  • Odrzucone nazwy FQDN według liczby: Liczba zliczonych odrzuconych nazw FQDN.
  • Dozwolone nazwy FQDN w czasie: wyświetla dozwolone nazwy FQDN z biegiem czasu.
  • Dozwolone nazwy FQDN według liczby: liczba dozwolonych nazw FQDN.
  • Dozwolone kategorie sieci Web z biegiem czasu: pokazuje dozwolone kategorie sieci Web w miarę upływu czasu.
  • Dozwolone kategorie sieci Web według liczby: zlicza dozwolone kategorie sieci Web.
  • Odrzucone kategorie sieci Web w czasie: wyświetla odrzucone kategorie sieci Web z upływem czasu.
  • Odrzucone kategorie sieci Web według liczby: liczba odrzuconych kategorii sieci Web.

Zrzut ekranu przedstawiający kartę Reguły aplikacji.

Reguły sieci

Na karcie Reguły sieci są wyświetlane statystyki zdarzeń związanych z warstwą 4 skorelowane z określonymi regułami sieciowymi w zasadach usługi Azure Firewall. Następujące widżety są dostępne na karcie Reguły sieci:

  • Akcje reguły: wyświetla akcje podejmowane przez reguły.
  • Porty docelowe: pokazuje docelowe porty w ruchu sieciowym.
  • Akcje DNAT: wyświetla akcje docelowego tłumaczenia adresów sieciowych (DNAT).
  • GeoLokalizacja: pokazuje lokalizacje geograficzne związane z ruchem sieciowym.
  • Akcje reguły według adresów IP: Wyświetla akcje reguły podzielone na kategorie według adresów IP.
  • Porty docelowe według źródłowego adresu IP: pokazuje porty docelowe podzielone na kategorie według źródłowych adresów IP.
  • DNAT w czasie: Wyświetla działania DNAT w czasie.
  • Geolokalizacja w czasie: pokazuje lokalizacje geograficzne związane z ruchem sieciowym w czasie.
  • Akcje według czasu: wyświetla akcje sieciowe w czasie.
  • Wszystkie zdarzenia adresów IP z geolokalizacją: przedstawia wszystkie zdarzenia obejmujące adresy IP podzielone na kategorie według lokalizacji geograficznej.

Zrzut ekranu przedstawiający kartę reguł sieci.

Serwer proxy DNS

Ta karta jest odpowiednia, jeśli skonfigurowaliśmy usługę Azure Firewall do działania jako serwer proxy DNS, służąc jako pośrednik dla żądań DNS z maszyn wirtualnych klienta do serwera DNS. Karta Serwer proxy DNS zawiera różne widżety, których można użyć:

  • Ruch serwera proxy DNS według liczby na zaporę: wyświetla liczbę ruchu serwera proxy DNS dla każdej zapory.
  • Liczba serwerów proxy DNS według nazwy żądania: zlicza żądania serwera proxy DNS według nazwy żądania.
  • Liczba żądań serwera proxy DNS według adresu IP klienta: zlicza żądania serwera proxy DNS według adresu IP klienta.
  • Żądanie serwera proxy DNS w czasie według adresu IP klienta: wyświetla żądania serwera proxy DNS w czasie, podzielone na kategorie według adresu IP klienta.
  • Informacje o serwerze proxy DNS: zawiera informacje dziennika związane z konfiguracją serwera proxy DNS.

Zrzut ekranu przedstawiający kartę serwera proxy DNS.

System wykrywania i zapobiegania włamaniom (IDPS)

Karta Statystyka dziennika IDPS zawiera podsumowanie złośliwych zdarzeń ruchu i działań zapobiegawczych podjętych przez usługę. Na karcie IDPS znajdziesz różne widżety, których można użyć:

  • Liczba akcji IDPS: zlicza akcje IDPS.
  • Liczba protokołów IDPS: Zlicza protokoły wykryte przez IDPS.
  • IdPS SignatureID Count: zlicza wykrycia idPS według identyfikatora podpisu.
  • Liczba wykryć IDPS SourceIP: zlicza wykrycia IDPS według źródłowego adresu IP.
  • Przefiltrowane akcje IDPS według liczby: liczby przefiltrowanych akcji IDPS.
  • Filtrowane protokoły IDPS według liczby: protokoły IDPS filtrowane na podstawie liczby.
  • Filtrowane identyfikatory sygnatur IDPS według liczby: liczba przefiltrowanych wykryć idPS według identyfikatora podpisu.
  • Filtrowany adres IP źródłowy: wyświetla filtrowane adresy IP źródłowe wykryte przez system IDPS.
  • Liczba idPS usługi Azure Firewall w czasie: pokazuje liczbę idPS usługi Azure Firewall w czasie.
  • Dzienniki IDPS usługi Azure Firewall z geolokalizacją: udostępnia dzienniki IDPS usługi Azure Firewall podzielone na kategorie według lokalizacji geograficznej.

Zrzut ekranu przedstawiający kartę IDPS.

Analiza zagrożeń (TI)

Ta zakładka oferuje dokładną perspektywę działań związanych z analizą zagrożeń, skupiając się na najbardziej rozpowszechnionych zagrożeniach, działaniach i protokołach. Określa pięć pierwszych w pełni kwalifikowanych nazw domen (FQDN) i adresów IP skojarzonych z tymi zagrożeniami, pokazując wykrywanie zagrożeń w czasie. Ponadto dostarczane są szczegółowe dzienniki z funkcji Threat Intelligence usługi Azure Firewall dla przeprowadzenia kompleksowej analizy. Na karcie Analiza zagrożeń znajdziesz różne widżety, których można użyć:

  • Liczba wykrytych akcji przez Threat Intelligence: zlicza akcje wykryte przez analizę zagrożeń.
  • Liczba protokołów firmy Threat Intel: zlicza protokoły zidentyfikowane przez analizę zagrożeń.
  • 5 najczęściej występujących domen FQDN: Wyświetla pięć najczęściej występujących w pełni kwalifikowanych nazw domen (FQDN).
  • Ranking 5 najlepszych adresów IP: przedstawia pięć najczęściej występujących adresów IP.
  • Azure Firewall Threat Intel Over Time: Wyświetla wykrycia Threat Intelligence przez Azure Firewall w czasie.
  • Usługa Azure Firewall Threat Intel: udostępnia dzienniki z analizy zagrożeń usługi Azure Firewall.

Zrzut ekranu przedstawiający kartę analizy zagrożeń.

Investigations

Sekcja badania umożliwia eksplorację i rozwiązywanie problemów, oferując dodatkowe szczegóły, takie jak nazwa maszyny wirtualnej i nazwa interfejsu sieciowego skojarzone z inicjowaniem lub kończeniem ruchu. Ustanawia również korelacje między źródłowymi adresami IP, w pełni kwalifikowanymi nazwami domen (FQDN), do których próbują uzyskać dostęp, a także widokiem lokalizacji geograficznej ruchu. Widżety dostępne na karcie Badanie:

  • Ruch FQDN według liczby: zlicza ruch według w pełni kwalifikowanych nazw domen (FQDN).
  • Liczba źródłowych adresów IP: zlicza wystąpienia źródłowych adresów IP.
  • Wyszukiwanie zasobów źródłowego adresu IP: wyszukuje zasoby skojarzone z źródłowymi adresami IP.
  • Dzienniki wyszukiwania nazw FQDN: zapewniają dzienniki z zapytań FQDN.
  • Azure Firewall Premium z lokalizacją geograficzną — IDPS: Wyświetla wykrycia systemu wykrywania i zapobiegania włamaniom usługi Azure Firewall (IDPS), podzielone według lokalizacji geograficznej.

Zrzut ekranu przedstawiający kartę badania.

Następne kroki

  • Last updated on