Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Filtrowanie oparte na analizie zagrożeń dla zapory można włączyć, aby otrzymywać alerty i odrzucać ruch ze/do znanych złośliwych adresów IP, nazw FQDN i adresów URL. Adresy IP, domeny i adresy URL pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft, który obejmuje wiele źródeł, w tym zespół ds. zabezpieczeń cybernetycznych firmy Microsoft.
Po włączeniu filtrowania opartego na analizie zagrożeń usługa Azure Firewall ocenia ruch względem reguł analizy zagrożeń przed zastosowaniem reguł NAT, sieci lub aplikacji.
Administratorzy mogą skonfigurować zaporę do działania w trybie tylko alertów lub w trybie alertu i odmowy po wyzwoleniu reguły analizy zagrożeń. Domyślnie zapora działa w trybie alarmowym. Ten tryb można wyłączyć lub zmienić na ostrzeżenie i odmowę.
Listy dozwolonych można zdefiniować w celu wykluczenia określonych nazw FQDN, adresów IP, zakresów lub podsieci z filtrowania analizy zagrożeń.
W przypadku operacji wsadowych administratorzy mogą przekazać plik CSV zawierający adresy IP, zakresy i podsieci, aby wypełnić listę dozwolonych.
Logs
Poniższy fragment dziennika przedstawia wyzwoloną regułę:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. Aby ułatwić testowanie działania alertów wychodzących, istnieje testowa w pełni kwalifikowana nazwa domeny (FQDN), która wyzwala alert. Użyj elementu
testmaliciousdomain.eastus.cloudapp.azure.comdla testów wychodzących.Aby przygotować się do testów i upewnić się, że nie otrzymasz błędu rozpoznawania nazw DNS, skonfiguruj następujące elementy:
- Dodaj fikcyjny rekord do pliku hosts na komputerze testowym. Na przykład na komputerze z systemem Windows można dodać
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comdo plikuC:\Windows\System32\drivers\etc\hosts. - Upewnij się, że przetestowane żądanie HTTP/S jest dozwolone przy użyciu reguły aplikacji, a nie reguły sieciowej.
- Dodaj fikcyjny rekord do pliku hosts na komputerze testowym. Na przykład na komputerze z systemem Windows można dodać
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Nawet jeśli zapora zezwala tylko na określone źródła w regule DNAT, a ruch jest w przeciwnym razie odrzucany, zobaczysz alerty. Usługa Azure Firewall nie powiadamia wszystkich znanych skanerów portów; tylko w przypadku skanerów, które również angażują się w złośliwe działania.
Next steps
- Eksplorowanie ochrony przed zagrożeniami w usłudze Azure Firewall
- Zobacz Przykłady usługi Log Analytics w usłudze Azure Firewall
- Dowiedz się, jak wdrożyć i skonfigurować usługę Azure Firewall
- Zapoznaj się z raportem analizy zabezpieczeń firmy Microsoft