Compartilhar via

Usando pastas de trabalho do Firewall do Azure

A Pasta de Trabalho do Firewall do Azure fornece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode explorar vários Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Você pode obter informações sobre eventos do Firewall do Azure, aprender sobre seu aplicativo e regras de rede e ver estatísticas de atividades de firewall em URLs, portas e endereços. A Pasta de Trabalho do Firewall do Azure permite filtrar seus firewalls e grupos de recursos e filtrar dinamicamente por categoria com conjuntos de dados fáceis de ler ao investigar um problema em seus logs.

Pré-requisitos

Antes de começar, habilite os Logs de Firewall Estruturado do Azure por meio do portal do Azure.

Importante

Todas as seções a seguir são válidas somente para logs estruturados do Firewall.

Se quiser usar logs herdados, você pode habilitar registro de diagnóstico usando o portal do Azure. Em seguida, vá para a Pasta de Trabalho do GitHub para Firewall do Azure e siga as instruções na página.

Além disso, leia métricas e logs do Firewall do Azure para obter uma visão geral dos logs e métricas de diagnóstico disponíveis para o Firewall do Azure.

Introdução

Depois de configurar logs estruturados pelo Firewall, você estará pronto para usar as pastas de trabalho inseridas do Firewall do Azure usando as seguintes etapas:

  1. No portal, navegue até o recurso do Firewall do Azure.

  2. Em Monitoramento, selecione Pastas de Trabalho.

  3. Na Galeria, você pode criar novas pastas de trabalho ou usar a pasta de trabalho existente do Firewall do Azure, conforme mostrado aqui:

    Captura de tela mostrando a galeria de pastas de trabalho do firewall.

  4. Selecione o Log Analytics workspace e um ou mais nomes de firewall que você deseja usar neste livro de trabalho, conforme mostrado aqui:

    Captura de tela mostrando logs estruturados.

Seções da pasta de trabalho

A pasta de trabalho do Firewall do Azure tem sete guias, cada uma abordando aspectos distintos do serviço. As seções a seguir descrevem cada aba.

Visão geral

A aba de visão geral mostra gráficos e estatísticas relacionados a todos os tipos de eventos no firewall agregados a partir de várias categorias de log. Isso inclui regras de rede, regras de aplicativo, DNS, IDPS (Sistema de Detecção e Prevenção de Intrusões), Inteligência contra Ameaças e muito mais. Os widgets disponíveis na guia Visão geral incluem:

  • Eventos, por tempo: exibe a frequência do evento ao longo do tempo.
  • Eventos por firewall ao longo do tempo: Mostra a distribuição de eventos entre firewalls ao longo do tempo.
  • Eventos, por categoria: categoriza e conta eventos.
  • Categorias de eventos, por tempo: exibe categorias de evento ao longo do tempo.
  • Taxa de transferência média do tráfego de firewall: mostra dados médios passando pelo firewall.
  • Utilização da porta SNAT: exibe o uso de portas SNAT.
  • Contagem de acertos de regras de rede (SUM): Conta os acionadores de regras de rede.
  • Contagem de acertos de regras de aplicação (SUM): Conta os acionadores de regras de aplicação.

Visão geral da Pasta de Trabalho do Firewall do Azure

Regras do aplicativo

A guia Regras de aplicativo mostra estatísticas de eventos relacionados à Camada 7 correlacionadas com suas regras de aplicativo específicas na política de Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras do aplicativo:

  • Uso da regra de aplicativo: mostra o uso de regras de aplicativo.
  • FQDNs negados ao longo do tempo: Exibe nomes de domínio totalmente qualificados (FQDNs) negados ao longo do tempo.
  • FQDNs negados por contagem: Contagens de FQDNs negados.
  • FQDNs permitidos ao longo do tempo: Exibe FQDNs permitidos ao longo do tempo.
  • FQDNs permitidos por contagem: Conta os FQDNs permitidos.
  • Categorias da Web Permitidas ao Longo do Tempo: mostra categorias da Web permitidas ao longo do tempo.
  • Categorias da Web permitidas por contagem: Quantifica categorias da Web permitidas.
  • Categorias da Web negadas ao longo do tempo: exibe categorias da Web negadas ao longo do tempo.
  • Categorias da Web negadas por contagem: Conta categorias da Web negadas.

Captura de tela mostrando a guia regras do aplicativo.

Regras de rede

A guia Regras de rede mostra estatísticas de eventos relacionados à Camada 4 correlacionadas com suas regras de rede específicas na política de Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras de rede:

  • Ações de regra: exibe ações executadas por regras.
  • Portas de destino: mostram portas alvo no tráfego de rede.
  • Ações de DNAT: exibe ações de DNAT (Conversão de Endereços de Rede de Destino).
  • GeoLocação: mostra as localizações geográficas envolvidas no tráfego de rede.
  • Ações de regra, por endereços IP: exibe ações de regra categorizadas por endereços IP.
  • Portas de destino, por IP de origem: mostra portas direcionadas categorizadas por endereços IP de origem.
  • DNAT'ed ao longo do tempo: Exibe ações de DNAT ao longo do tempo.
  • GeoLocação ao longo do tempo: mostra as localizações geográficas envolvidas no tráfego de rede ao longo do tempo.
  • Ações, por tempo: exibe ações de rede ao longo do tempo.
  • Todos os eventos de ENDEREÇO IP com Localização Geográfica: mostra todos os eventos envolvendo endereços IP, categorizados por localização geográfica.

Captura de tela mostrando a guia de regras de rede.

Proxy DNS

Essa guia será relevante se você configurou o Firewall do Azure para funcionar como um proxy DNS, servindo como intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS. A guia Proxy DNS inclui vários widgets que você pode usar:

  • Contagem de tráfego de Proxy DNS por Firewall: exibe a contagem de tráfego de proxy DNS para cada firewall.
  • Contagem de proxy DNS por nome da solicitação: Conta as solicitações de proxy DNS por nome da solicitação.
  • Contagem de solicitações de proxy DNS por IP do cliente: conta solicitações de proxy DNS por endereço IP do cliente.
  • Solicitação de Proxy DNS ao longo do tempo pelo IP do cliente: exibe solicitações de proxy DNS ao longo do tempo, categorizadas por IP do cliente.
  • Informações de proxy DNS: fornece informações de log relacionadas à configuração do proxy DNS.

Captura de tela mostrando a guia proxy DNS.

IDPS (Sistema de Detecção e Prevenção de Intrusões)

A guia de estatísticas de log do IDPS oferece um resumo dos eventos de tráfego maliciosos e das ações preventivas realizadas pelo serviço. Na guia IDPS, você encontrará vários widgets que você pode usar:

  • Contagem de Ações do IDPS: Conta as ações do IDPS.
  • Contagem de protocolos IDPS: conta os protocolos detectados pelo IDPS.
  • Contagem de IDPS SignatureID: Conta detecções de IDPS por ID de assinatura.
  • Contagem de IDPS SignatureID: Conta detecções de IDPS por ID de assinatura.
  • Ações IDPS filtradas por contagem: conta ações IDPS filtradas.
  • Protocolos IDPS filtrados por contagem: Conta protocolos IDPS filtrados.
  • SignatureIDs IDPS filtrados por contagem: Conta detecções de IDPS filtradas por ID de assinatura.
  • SourceIP filtrado: exibe IPs de origem filtrados detectados pelo IDPS.
  • Contagem de IDPS do Firewall do Azure ao longo do tempo: mostra a contagem de IDPS do Firewall do Azure ao longo do tempo.
  • Logs IDPS do Firewall do Azure com GeoLocation: fornece logs IDPS do Firewall do Azure, categorizados por localização geográfica.

Captura de tela mostrando a guia IDPS.

TI (Inteligência contra Ameaças)

Essa guia oferece uma perspectiva completa sobre as atividades de inteligência contra ameaças, destacando as ameaças, ações e protocolos mais prevalentes. Ele delinea os cinco principais FQDNs (Nomes de Domínio Totalmente Qualificados) e endereços IP associados a essas ameaças, mostrando detecções de inteligência contra ameaças ao longo do tempo. Além disso, os logs detalhados da Inteligência contra Ameaças do Firewall do Azure são fornecidos para análise abrangente. Na guia Inteligência contra Ameaças, você encontrará vários widgets que você pode usar:

  • Contagem de ações de inteligência sobre ameaças: registra as ações detectadas pela Inteligência sobre Ameaças.
  • Contagem de protocolos de inteligência de ameaças: conta protocolos identificados pela Inteligência de Ameaças.
  • Top 5 FQDN Count: exibe os cinco FQDNs (Nomes de Domínio Totalmente Qualificados) mais frequentes.
  • Contagem de IP top 5: mostra os cinco endereços IP mais frequentes.
  • Informações sobre ameaças do Firewall do Azure ao longo do tempo: Exibe as detecções de inteligência sobre ameaças do Firewall do Azure ao longo do tempo.
  • Informações sobre ameaças do Firewall do Azure: Fornece logs da inteligência sobre ameaças do Firewall do Azure.

Captura de tela mostrando a aba de inteligência contra ameaças.

Investigações

A seção de investigação permite a exploração e a solução de problemas, oferecendo detalhes adicionais, como o nome da máquina virtual e o nome da interface de rede associados à iniciação ou encerramento do tráfego. Ele também estabelece correlações entre endereços IP de origem, os FQDNs (Nomes de Domínio Totalmente Qualificados) que eles tentam acessar, bem como a exibição de localização geográfica do tráfego. Widgets disponíveis na guia Investigação:

  • Tráfego FQDN por contagem: Conta o tráfego por nomes de domínio totalmente qualificados (FQDNs).
  • Contagem de endereços IP de origem: Conta ocorrências de endereços IP de origem.
  • Consulta de Recursos do Endereço IP de Origem: consulta recursos associados a endereços IP de origem.
  • Logs de pesquisa do FQDN: fornece registros das consultas de FQDN.
  • Firewall do Azure Premium com Localização Geográfica – IDPS: exibe o Sistema de Prevenção e Detecção de Intrusões do Firewall do Azure – (IDPS) – detecções, categorizadas por localização geográfica.

Captura de tela mostrando a aba de investigação.

Próximas etapas

  • Last updated on