استخدام مصنفات جدار حماية Azure

  • مقالة

يوفر مصنف Azure Firewall مادة مرنة لتحليل بيانات Azure Firewall. يمكنك استخدامه لإنشاء تقارير مرئية ثرية من خلال مدخل Microsoft Azure. يمكنك استخدام جدران حماية متعددة منتشرة عبر Azure، ودمجها في تجارب تفاعلية موحدة.

يمكنك الحصول على رؤى حول أحداث جدار حماية Azure والتعرف على قواعد التطبيق والشبكة، والاطلاع على إحصائيات أنشطة جدار الحماية عبر عناوين URL والمنافذ والعناوين. يسمح لك مصنف جدار حماية Azure بتصفية جدران الحماية ومجموعات الموارد، والتصفية ديناميكياً لكل فئة مع مجموعات بيانات سهلة القراءة عند التحقيق في مشكلة في سجلاتك.

المتطلبات الأساسية

قبل البدء، قم بتمكين Azure Structured Firewall Logs من خلال مدخل Microsoft Azure.

هام

جميع الأقسام التالية صالحة للسجلات المنظمة لجدار الحماية فقط.

إذا كنت ترغب في استخدام السجلات القديمة، يمكنك تمكين التسجيل التشخيصي باستخدام مدخل Microsoft Azure. ثم انتقل إلى مصنف GitHub لجدار حماية Azure واتبع الإرشادات الموجودة على الصفحة.

اقرأ أيضاً سجلات ومقاييس Azure Firewall للحصول على نظرة عامة على سجلات ومقاييس التشخيص المتوفرة لجدار حماية Azure.

الشروع في العمل

بمجرد إعداد سجلات جدار الحماية المنظمة، يتم تعيينك جميعا لاستخدام مصنفات Azure Firewall المضمنة باستخدام الخطوات التالية:

  1. في المدخل، انتقل إلى مورد Azure Firewall.

  2. ضمن Monitoring، حدد Workbooks.

  3. في المعرض، يمكنك إنشاء مصنفات جديدة أو استخدام مصنف Azure Firewall الموجود كما هو موضح هنا:

    Screenshot showing the firewall workbook gallery.

  4. حدد مساحة عمل تحليلات السجل واسم جدار حماية واحد أو أكثر تريد استخدامه في هذا المصنف كما هو موضح هنا:

    Screenshot showing structured logs.

أقسام المصنف

يحتوي مصنف Azure Firewall على سبع علامات تبويب، كل منها يعالج جوانب مميزة من الخدمة. تصف الأقسام التالية كل علامة تبويب.

نظرة عامة

تعرض علامة التبويب نظرة عامة الرسوم البيانية والإحصائيات المتعلقة بجميع أنواع أحداث جدار الحماية المجمعة من فئات تسجيل مختلفة. يتضمن ذلك قواعد الشبكة وقواعد التطبيق وDNS ونظام الكشف عن التسلل والوقاية منه (IDPS) وذكاء التهديدات والمزيد. تتضمن عناصر واجهة المستخدم المتوفرة في علامة التبويب نظرة عامة ما يلي:

  • الأحداث، حسب الوقت: يعرض تكرار الحدث بمرور الوقت.
  • الأحداث، حسب جدار الحماية بمرور الوقت: يعرض توزيع الأحداث عبر جدران الحماية بمرور الوقت.
  • الأحداث، حسب الفئة: تصنيف الأحداث وتعدادها.
  • فئات الأحداث، حسب الوقت: يعرض فئات الأحداث بمرور الوقت.
  • متوسط معدل نقل حركة مرور جدار الحماية: يظهر متوسط البيانات التي تمر عبر جدار الحماية.
  • استخدام منفذ SNAT: يعرض استخدام منافذ SNAT.
  • عدد مرات الوصول إلى قاعدة الشبكة (SUM): حساب مشغلات قاعدة الشبكة.
  • عدد مرات الوصول إلى قاعدة التطبيق (SUM): حساب مشغلات قاعدة التطبيق.

Azure Firewall Workbook overview

قواعد التطبيق

تعرض علامة التبويب قواعد التطبيق إحصائيات الأحداث ذات الصلة بالطبقة 7 المرتبطة بقواعد التطبيق المحددة في نهج Azure Firewall. تتوفر عناصر واجهة المستخدم التالية في علامة التبويب قواعد التطبيق:

  • استخدام قاعدة التطبيق: يظهر استخدام قواعد التطبيق.
  • الوقت الإضافي ل FQDN المرفوض: يعرض أسماء المجالات المؤهلة بالكامل (FQDNs) المرفوضة بمرور الوقت.
  • رفض FQDN حسب العدد: عدد FQDNs مرفوضة.
  • الوقت الإضافي المسموح به ل FQDN: يعرض FQDNs المسموح بها بمرور الوقت.
  • اسم المجال المؤهل بالكامل المسموح به حسب العدد: العدد المسموح به ل FQDNs.
  • الوقت الإضافي المسموح به لفئات ويب: يعرض فئات ويب المسموح بها بمرور الوقت.
  • فئات ويب المسموح بها حسب العدد: عدد فئات الويب المسموح بها.
  • الوقت الإضافي لفئات ويب المرفوضة: يعرض فئات ويب المرفوضة بمرور الوقت.
  • فئات ويب مرفوضة حسب العدد: عدد فئات الويب التي تم رفضها.

Screenshot showing the application rules tab.

قواعد الشبكة

تعرض علامة التبويب قواعد الشبكة إحصائيات الأحداث ذات الصلة بالطبقة 4 المرتبطة بقواعد الشبكة المحددة في نهج Azure Firewall. تتوفر عناصر واجهة المستخدم التالية في علامة تبويب قواعد الشبكة:

  • إجراءات القاعدة: تعرض الإجراءات التي اتخذتها القواعد.
  • المنافذ المستهدفة: تعرض المنافذ المستهدفة في حركة مرور الشبكة.
  • إجراءات DNAT: تعرض إجراءات ترجمة عنوان الشبكة الوجهة (DNAT).
  • الموقع الجغرافي: يعرض المواقع الجغرافية المتضمنة في حركة مرور الشبكة.
  • إجراءات القاعدة، حسب عناوين IP: يعرض إجراءات القاعدة المصنفة حسب عناوين IP.
  • المنافذ الهدف، حسب عنوان IP المصدر: يعرض المنافذ المستهدفة المصنفة حسب عناوين IP المصدر.
  • DNAT'ed مع مرور الوقت: يعرض إجراءات DNAT بمرور الوقت.
  • الموقع الجغرافي بمرور الوقت: يعرض المواقع الجغرافية المتضمنة في حركة مرور الشبكة بمرور الوقت.
  • الإجراءات، حسب الوقت: يعرض إجراءات الشبكة بمرور الوقت.
  • جميع أحداث عناوين IP باستخدام الموقع الجغرافي: تعرض جميع الأحداث التي تتضمن عناوين IP، مصنفة حسب الموقع الجغرافي.

Screenshot showing network rules tab.

وكيل نظام أسماء المجالات (DNS)

تكون علامة التبويب هذه ذات صلة إذا قمت بإعداد Azure Firewall للعمل كوكيل DNS، ويعمل كوسيط لطلبات DNS من الأجهزة الظاهرية للعميل إلى خادم DNS. تتضمن علامة التبويب وكيل DNS عناصر واجهة مستخدم مختلفة يمكنك استخدامها:

  • نسبة استخدام الشبكة لوكيل DNS حسب العدد لكل جدار حماية: يعرض عدد نسبة استخدام الشبكة لوكيل DNS لكل جدار حماية.
  • عدد وكيل DNS حسب اسم الطلب: حساب طلبات وكيل DNS حسب اسم الطلب.
  • عدد طلبات وكيل DNS حسب عنوان IP للعميل: حساب طلبات وكيل DNS حسب عنوان IP للعميل.
  • طلب وكيل DNS بمرور الوقت بواسطة عنوان IP للعميل: يعرض طلبات وكيل DNS بمرور الوقت، مصنفة حسب IP العميل.
  • معلومات وكيل DNS: توفر معلومات السجل المتعلقة بإعداد وكيل DNS.

Screenshot showing the DNS proxy tab.

نظام الكشف عن التسلل والوقاية منه (IDPS)

تقدم علامة التبويب إحصائيات سجل IDPS ملخصا لأحداث حركة المرور الضارة والإجراءات الوقائية التي اتخذتها الخدمة. في علامة التبويب IDPS، ستجد عناصر واجهة مستخدم مختلفة يمكنك استخدامها:

  • عدد إجراءات IDPS: يحسب إجراءات IDPS.
  • عدد بروتوكولات IDPS: حساب البروتوكولات التي تم الكشف عنها بواسطة IDPS.
  • عدد معرف توقيع IDPS: يحسب عمليات الكشف عن IDPS بواسطة معرف التوقيع.
  • عدد IDPS SourceIP: حساب اكتشافات IDPS حسب عنوان IP المصدر.
  • إجراءات IDPS المصفاة حسب العدد: عدد إجراءات IDPS المصفاة.
  • بروتوكولات IDPS التي تمت تصفيتها حسب العدد: تحسب بروتوكولات IDPS التي تمت تصفيتها.
  • معرفات تواقيع IDPS التي تمت تصفيتها حسب العدد: تحسب عمليات الكشف عن IDPS التي تمت تصفيتها حسب معرف التوقيع.
  • SourceIP المصفاة: يعرض عناوين IP المصدر المصفاة التي تم الكشف عنها بواسطة IDPS.
  • عدد IDPS لجدار حماية Azure بمرور الوقت: يعرض عدد IDPS لجدار حماية Azure بمرور الوقت.
  • سجلات IDPS لجدار حماية Azure مع GeoLocation: يوفر سجلات IDPS لجدار حماية Azure، مصنفة حسب الموقع الجغرافي.

Screenshot showing the IDPS tab.

التحليل الذكي للمخاطر (TI)

تقدم علامة التبويب هذه منظورا شاملا حول أنشطة التحليل الذكي للمخاطر، وتسلط الضوء على التهديدات والإجراءات والبروتوكولات الأكثر انتشارا. وهي تحدد أفضل خمسة أسماء مجالات مؤهلة بالكامل (FQDNs) وعناوين IP المقترنة بهذه التهديدات، مع عرض اكتشافات التحليل الذكي للمخاطر بمرور الوقت. بالإضافة إلى ذلك، يتم توفير سجلات مفصلة من تحليل ذكي للمخاطر في Azure Firewall لتحليل شامل. ضمن علامة التبويب تحليل ذكي للمخاطر، ستجد عناصر واجهة مستخدم مختلفة يمكنك استخدامها:

  • عدد إجراءات Intel التهديد: يحسب الإجراءات التي تم اكتشافها بواسطة تحليل ذكي للمخاطر.
  • عدد بروتوكولات Intel للمخاطر: حساب البروتوكولات التي تم تحديدها بواسطة تحليل ذكي للمخاطر.
  • أعلى 5 FQDN Count: يعرض أفضل خمسة أسماء مجالات مؤهلة بالكامل (FQDNs) الأكثر شيوعا.
  • أعلى 5 عناوين IP: يظهر أفضل خمسة عناوين IP الأكثر شيوعا.
  • Azure Firewall Threat Intel بمرور الوقت: يعرض اكتشافات تحليل ذكي للمخاطر في جدار حماية Azure بمرور الوقت.
  • Azure Firewall Threat Intel: يوفر سجلات من تحليل ذكي للمخاطر في Azure Firewall.

Screenshot showing the threat intelligence tab.

التحقيقات

يتيح قسم التحقيق الاستكشاف واستكشاف الأخطاء وإصلاحها، ويقدم تفاصيل إضافية مثل اسم الجهاز الظاهري واسم واجهة الشبكة المرتبطة ببدء أو إنهاء حركة المرور. كما أنه ينشئ ارتباطات بين عناوين IP المصدر وأسماء المجالات المؤهلة بالكامل (FQDNs) التي تحاول الوصول إليها بالإضافة إلى عرض الموقع الجغرافي لنسبة استخدام الشبكة الخاصة بك. عناصر واجهة المستخدم المتوفرة في علامة التبويب التحقيق:

  • حركة مرور FQDN حسب العدد: تحسب نسبة استخدام الشبكة حسب أسماء المجالات المؤهلة بالكامل (FQDNs).
  • عدد عناوين IP المصدر: يحسب تكرارات عناوين IP المصدر.
  • البحث عن مورد عنوان IP المصدر: البحث عن الموارد المقترنة بعناوين IP المصدر.
  • سجلات بحث FQDN: توفر سجلات من عمليات بحث FQDN.
  • Azure Firewall Premium مع الموقع الجغرافي - IDPS: يعرض نظام الكشف عن التسلل والوقاية من جدار حماية Azure - (IDPS) - عمليات الكشف، مصنفة حسب الموقع الجغرافي.

Screenshot showing the investigation tab.

الخطوات التالية