Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode habilitar a filtragem baseada em inteligência de ameaças para que seu firewall alerte e negue tráfego de/para endereços IP mal-intencionados, FQDNs e URLs conhecidos. Os endereços IP, domínios e URLs são provenientes do feed de Inteligência de Ameaças da Microsoft, que inclui várias fontes, incluindo a equipe de Segurança Cibernética da Microsoft.
Quando a filtragem baseada em inteligência de ameaças está habilitada, o Firewall do Azure avalia o tráfego em relação às regras de inteligência de ameaças antes de aplicar regras de NAT, rede ou aplicativo.
Os administradores podem configurar o firewall para operar no modo somente alerta ou no modo alerta e negação quando uma regra de inteligência de ameaças é acionada. Por padrão, o firewall opera no modo somente alerta. Este modo pode ser desativado ou alterado para alertar e negar.
As listas de permissões podem ser definidas para isentar FQDNs, endereços IP, intervalos ou sub-redes específicos da filtragem de inteligência de ameaças.
Para operações em lote, os administradores podem carregar um arquivo CSV contendo endereços IP, intervalos e sub-redes para preencher a lista de permissões.
Logs
O seguinte trecho de log mostra uma regra acionada:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. Para ajudar a testar se os alertas de saída estão funcionando, existe um FQDN de teste que dispara um alerta. Use
testmaliciousdomain.eastus.cloudapp.azure.compara seus testes de saída.Para se preparar para os testes e garantir que você não obtenha uma falha de resolução de DNS, configure os seguintes itens:
- Adicione um registro fictício ao arquivo hosts em seu computador de teste. Por exemplo, num computador com o
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comWindows, pode adicionarC:\Windows\System32\drivers\etc\hostsao ficheiro. - Certifique-se de que a solicitação HTTP/S testada seja permitida usando uma regra de aplicativo, não uma regra de rede.
- Adicione um registro fictício ao arquivo hosts em seu computador de teste. Por exemplo, num computador com o
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Você verá alertas mesmo se o firewall permitir apenas fontes específicas na regra DNAT e o tráfego for negado. O Firewall do Azure não alerta em todos os scanners de porta conhecidos; apenas em scanners que também se envolvem em atividades maliciosas.
Next steps
- Explorando a proteção contra ameaças do Firewall do Azure
- Consulte Exemplos do Azure Firewall Log Analytics
- Saiba como implantar e configurar um Firewall do Azure
- Analise o relatório de inteligência de segurança da Microsoft