استخدام مصنفات جدار حماية Azure

يوفر مصنف جدار حماية Azure لوحة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية غنية داخل مدخل Microsoft Azure. يمكنك الاستفادة من جدران الحماية المتعددة المنشورة عبر Azure، ودمجها في تجارب تفاعلية موحدة.

يمكنك الحصول على رؤى حول أحداث Azure Firewall، والتعرف على قواعد التطبيق والشبكة، والاطلاع على إحصائيات أنشطة جدار الحماية عبر عناوين URL والمنافذ والعناوين. يسمح لك مصنف Azure Firewall بتصفية جدران الحماية ومجموعات الموارد، والتصفية ديناميكيا لكل فئة مع مجموعات بيانات سهلة القراءة عند التحقيق في مشكلة في سجلاتك.

المتطلبات الأساسية

قبل البدء، قم بتمكين سجلات جدار الحماية الهيكلي Azure من خلال مدخل Microsoft Azure.

هام

جميع الأقسام التالية صالحة للسجلات المنظمة لجدار الحماية فقط.

إذا كنت ترغب في استخدام السجلات القديمة، فيمكنك تمكين التسجيل التشخيصي باستخدام مدخل Microsoft Azure. ثم انتقل إلى مصنف GitHub ل Azure Firewall واتبع الإرشادات الموجودة على الصفحة.

اقرأ أيضا سجلات ومقاييس Azure Firewall للحصول على نظرة عامة على سجلات التشخيص والمقاييس المتوفرة ل Azure Firewall.

Get started

بمجرد إعداد السجلات المنظمة لجدار الحماية، تكون جاهزا تماما لاستخدام المصنفات المضمنة في Azure Firewall باستخدام الخطوات التالية:

1. في المدخل، انتقل إلى مورد Azure Firewall.

2. ضمن المراقبة، حدد المصنفات.

3. في المعرض، يمكنك إنشاء مصنفات جديدة أو استخدام مصنف Azure Firewall الموجود كما هو موضح هنا:

   

4. حدد مساحة عمل تحليلات السجل واسم جدار حماية واحد أو أكثر تريد استخدامه في هذا المصنف كما هو موضح هنا:

   

أقسام المصنف

يحتوي مصنف Azure Firewall على سبع علامات تبويب، كل منها يتناول جوانب مميزة للخدمة. تصف الأقسام التالية كل علامة تبويب.

Overview

تعرض علامة التبويب نظرة عامة الرسوم البيانية والإحصائيات المتعلقة بجميع أنواع أحداث جدار الحماية المجمعة من فئات تسجيل مختلفة. يتضمن ذلك قواعد الشبكة وقواعد التطبيق ونظام أسماء النطاقات ونظام الكشف عن التسلل والوقاية منه (IDPS) وذكاء التهديدات والمزيد. تتضمن الأدوات المتوفرة في علامة التبويب نظرة عامة ما يلي:

• الأحداث، حسب الوقت: يعرض تكرار الأحداث بمرور الوقت.
• الأحداث، حسب جدار الحماية بمرور الوقت: يعرض توزيع الأحداث عبر جدران الحماية بمرور الوقت.
• الأحداث، حسب الفئة: تصنيف الأحداث واحتسابها.
• فئات الأحداث، حسب الوقت: يعرض فئات الأحداث بمرور الوقت.
• متوسط معدل نقل حركة مرور جدار الحماية: يعرض متوسط البيانات التي تمر عبر جدار الحماية.
• إستخدام منفذ SNAT: يعرض إستخدام منافذ SNAT.
• عدد نتائج قاعدة الشبكة (SUM): يحسب مشغلات قاعدة الشبكة.
• عدد نتائج قاعدة التطبيق (SUM): يحسب مشغلات قاعدة التطبيق.

قواعد التطبيق

تعرض علامة التبويب قواعد التطبيق إحصائيات الأحداث ذات الصلة بالطبقة 7 المرتبطة بقواعد التطبيق المحددة في نهج Azure Firewall. تتوفر عناصر واجهة المستخدم التالية في علامة التبويب قواعد التطبيق:

• استخدام قاعدة التطبيق: يعرض استخدام قواعد التطبيق.
• تم رفض العمل الإضافي ل FQDN: يعرض أسماء النطاقات المؤهلة بالكامل (FQDNs) المرفوضة بمرور الوقت.
• تم رفض FQDN حسب العدد: تم رفض التهم FQDNs.
• العمل الإضافي المسموح به ل FQDN: يعرض FQDNs المسموح بها بمرور الوقت.
• FQDN المسموح بها حسب العدد: التهم المسموح بها FQDNs.
• الوقت الإضافي لفئات الويب المسموح بها: يعرض فئات الويب المسموح بها بمرور الوقت.
• فئات الويب المسموح بها حسب العدد: تحسب فئات الويب المسموح بها.
• الوقت الإضافي لفئات الويب المرفوضة: يعرض فئات الويب المرفوضة بمرور الوقت.
• فئات الويب المرفوضة حسب العدد: تحسب فئات الويب المرفوضة.

قواعد الشبكة

تعرض علامة التبويب قواعد الشبكة إحصائيات الأحداث ذات الصلة بالطبقة 4 المرتبطة بقواعد الشبكة المحددة في نهج جدار حماية Azure. تتوفر عناصر واجهة المستخدم التالية في علامة التبويب قواعد الشبكة:

• إجراءات القاعدة: تعرض الإجراءات التي تتخذها القواعد.
• المنافذ المستهدفة: يعرض المنافذ المستهدفة في حركة مرور الشبكة.
• إجراءات DNAT: يعرض إجراءات ترجمة عنوان الشبكة الوجهة (DNAT).
• الموقع الجغرافي: يعرض المواقع الجغرافية المشاركة في حركة مرور الشبكة.
• إجراءات القاعدة، حسب عناوين IP: يعرض إجراءات القاعدة المصنفة حسب عناوين IP.
• المنافذ المستهدفة، حسب عنوان IP المصدر: يعرض المنافذ المستهدفة المصنفة حسب عناوين IP المصدر.
• DNAT'ed بمرور الوقت: يعرض إجراءات DNAT بمرور الوقت.
• الموقع الجغرافي بمرور الوقت: يعرض المواقع الجغرافية المشاركة في حركة مرور الشبكة بمرور الوقت.
• الإجراءات، حسب الوقت: يعرض إجراءات الشبكة بمرور الوقت.
• جميع أحداث عناوين IP باستخدام الموقع الجغرافي: يعرض جميع الأحداث التي تتضمن عناوين IP، مصنفة حسب الموقع الجغرافي.

وكيل DNS

تكون علامة التبويب هذه ذات صلة إذا قمت بإعداد Azure Firewall ليعمل كوكيل DNS، ويعمل كوسيط لطلبات DNS من الأجهزة الظاهرية للعميل إلى خادم DNS. تتضمن علامة التبويب وكيل DNS عناصر واجهة مستخدم متنوعة يمكنك استخدامها:

• حركة مرور وكيل DNS حسب العدد لكل جدار حماية: يعرض عدد زيارات وكيل DNS لكل جدار حماية.
• عدد وكيل DNS حسب اسم الطلب: يحسب طلبات وكيل DNS حسب اسم الطلب.
• عدد طلبات وكيل DNS حسب عنوان IP للعميل: يحسب طلبات وكيل DNS حسب عنوان IP للعميل.
• طلب وكيل DNS بمرور الوقت بواسطة عنوان IP للعميل: يعرض طلبات وكيل DNS بمرور الوقت، مصنفة حسب عنوان IP للعميل.
• معلومات وكيل DNS: يوفر معلومات السجل المتعلقة بإعداد وكيل DNS.

نظام الكشف عن التسلل والوقاية منه (IDPS)

تقدم علامة التبويب إحصائيات سجل IDPS ملخصا لأحداث حركة المرور الضارة والإجراءات الوقائية التي تتخذها الخدمة. في علامة التبويب IDPS، ستجد العديد من الأدوات التي يمكنك استخدامها:

• عدد إجراءات IDPS: يحسب إجراءات IDPS.
• عدد بروتوكول IDPS: يحسب البروتوكولات التي اكتشفها IDPS.
• IDPS SignatureID Count: يحسب عمليات اكتشاف IDPS حسب معرف التوقيع.
• IDPS SourceIP Count: يحسب اكتشافات IDPS حسب عنوان IP المصدر.
• إجراءات IDPS التي تمت تصفيتها حسب العدد: تحسب إجراءات IDPS التي تمت تصفيتها.
• بروتوكولات IDPS التي تمت تصفيتها حسب العدد: تحسب بروتوكولات IDPS التي تمت تصفيتها.
• IDPS SignatureIDs التي تمت تصفيتها حسب العدد: تحسب عمليات اكتشاف IDPS التي تمت تصفيتها حسب معرف التوقيع.
• SourceIP الذي تمت تصفيته: يعرض عناوين IP المصدر التي تمت تصفيتها التي تم اكتشافها بواسطة IDPS.
• عدد IDPS لجدار حماية Azure بمرور الوقت: يعرض عدد IDPS لجدار حماية Azure بمرور الوقت.
• سجلات Azure Firewall IDPS مع الموقع الجغرافي: يوفر سجلات Azure Firewall IDPS، مصنفة حسب الموقع الجغرافي.

التحليل الذكي للتهديدات (TI)

تقدم علامة التبويب هذه منظورا شاملا لأنشطة الاستخبارات المتعلقة بالتهديدات، وتسلط الضوء على التهديدات والإجراءات والبروتوكولات الأكثر انتشارا. يحدد أفضل خمسة أسماء نطاقات مؤهلة بالكامل (FQDNs) وعناوين IP المرتبطة بهذه التهديدات ، ويعرض اكتشافات الاستخبارات الاستخباراتية للتهديدات بمرور الوقت. بالإضافة إلى ذلك، يتم توفير سجلات مفصلة من التحليل الذكي للمخاطر في Azure Firewall لتحليل شامل. ضمن علامة التبويب التحليل الذكي للمخاطر، ستجد عناصر واجهة مستخدم متنوعة يمكنك استخدامها:

• عدد إجراءات Threat Intel: يحسب الإجراءات التي تم اكتشافها بواسطة التحليل الذكي للمخاطر.
• عدد بروتوكول Threat Intel: يحسب البروتوكولات التي تم تحديدها بواسطة التحليل الذكي للمخاطر.
• أهم 5 عدد من أسماء النطاقات المؤهلة بالكامل: يعرض أسماء النطاقات الخمسة الأكثر شيوعا (FQDNs).
• أهم 5 عدد عناوين IP: يعرض أفضل خمسة عناوين IP شيوعا.
• Azure Firewall Threat Intel بمرور الوقت: يعرض اكتشافات التحليل الذكي لمخاطر جدار حماية Azure بمرور الوقت.
• Azure Firewall Threat Intel: يوفر سجلات من التحليل الذكي للمخاطر في Azure Firewall.

التحقيقات

يتيح قسم التحقيق الاستكشاف واستكشاف الأخطاء وإصلاحها، مما يوفر تفاصيل إضافية مثل اسم الجهاز الظاهري واسم واجهة الشبكة المرتبط ببدء حركة المرور أو إنهائها. كما أنه يحدد ارتباطات بين عناوين IP المصدر وأسماء النطاقات المؤهلة بالكامل (FQDNs) التي يحاولون الوصول إليها بالإضافة إلى عرض الموقع الجغرافي لحركة المرور الخاصة بك. الأدوات المتوفرة في علامة التبويب التحقيق:

• حركة مرور FQDN حسب العدد: تحسب حركة المرور حسب أسماء النطاقات المؤهلة بالكامل (FQDNs).
• عدد عناوين IP المصدر: يحسب تكرارات عناوين IP المصدر.
• البحث عن مورد عنوان IP المصدر: يبحث عن الموارد المقترنة بعناوين IP المصدر.
• سجلات بحث FQDN: توفر سجلات من عمليات بحث FQDN.
• Azure Firewall Premium مع الموقع الجغرافي - IDPS: يعرض اكتشافات نظام الكشف عن التسلل والوقاية منه من Azure Firewall - (IDPS) - ، مصنفة حسب الموقع الجغرافي.

الخطوات التالية

• تعرف على المزيد حول تشخيصات جدار حماية Azure
• تعرف على كيفية تعقب تغييرات مجموعة القواعد باستخدام Azure Resource Graph