Sdílet prostřednictvím

Použití sešitů služby Azure Firewall

Sešit služby Azure Firewall poskytuje flexibilní plátno pro analýzu dat služby Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav na webu Azure Portal. Můžete využít několik firewallů nasazených na Azure a spojit je do jednotných interaktivních zkušeností.

Můžete získat přehled o událostech služby Azure Firewall, seznámit se s pravidly vaší aplikace a sítě a zobrazit statistiky aktivit brány firewall napříč adresami URL, porty a adresami. Sešit Azure Firewall umožňuje filtrovat brány firewall a skupiny prostředků a dynamicky filtrovat v rámci kategorií se snadno čitelnými datovými sadami při zkoumání problému v protokolech.

Požadavky

Než začnete, povolte protokoly strukturované brány firewall Azure prostřednictvím Azure portálu.

Důležité

Všechny následující části jsou platné jenom pro strukturované protokoly brány firewall.

Pokud chcete použít starší protokoly, můžete protokolování diagnostiky povolit pomocí webu Azure Portal. Pak přejděte na GitHub Workbook pro Azure Firewall a postupujte podle pokynů na stránce.

Projděte si také protokoly a metriky služby Azure Firewall a přehled diagnostických protokolů a metrik dostupných pro Azure Firewall.

Začínáme

Jakmile nastavíte strukturované protokoly brány firewall, budete moct používat vložené sešity služby Azure Firewall pomocí následujících kroků:

  1. V portálu přejděte k prostředku Azure Firewall.

  2. V části Monitorování vyberte Sešity.

  3. V galerii můžete vytvořit nové sešity nebo použít existující sešit služby Azure Firewall, jak je znázorněno tady:

    Snímek obrazovky znázorňující galerii pracovních sešitů brány firewall.

  4. Vyberte pracovní prostor služby Log Analytics a jeden nebo více názvů brány firewall, které chcete v tomto sešitu použít, jak je znázorněno tady:

    Snímek obrazovky zobrazující strukturované protokoly

Oddíly sešitu

Pracovní sešit služby Azure Firewall má sedm karet, z nichž každá řeší jednotlivé aspekty služby. Jednotlivé karty jsou popsány v následujících sekcích.

Přehled

Na kartě Přehled jsou znázorněny grafy a statistiky související se všemi typy událostí brány firewall agregovaných z různých kategorií protokolování. Patří sem pravidla sítě, pravidla aplikací, DNS, detekce vniknutí a systém prevence (IDPS), analýza hrozeb a další. Mezi dostupné widgety na kartě Přehled patří:

  • Události podle času: Zobrazuje frekvenci událostí v průběhu času.
  • Události podle brány firewall v průběhu času: Zobrazuje distribuci událostí mezi branami firewall v průběhu času.
  • Události podle kategorie: Kategorizuje a počítá události.
  • Kategorie událostí podle času: Zobrazuje kategorie událostí v průběhu času.
  • Průměrná propustnost provozu brány firewall: Zobrazuje průměrná data procházející bránou firewall.
  • Využití portů SNAT: Zobrazuje využití portů SNAT.
  • Počet přístupů k pravidlům sítě (SUMA):: Spočítá triggery pravidel sítě.
  • Počet přístupů k pravidlům aplikace (SUM): Počítá triggery pravidel aplikace.

Přehled sešitu služby Azure Firewall

Pravidla aplikací

Na kartě Pravidla aplikace se zobrazují statistiky souvisejících událostí vrstvy 7, které korelují s konkrétními pravidly aplikace v zásadách služby Azure Firewall. Na kartě Pravidla aplikace jsou k dispozici následující widgety:

  • Použití pravidla aplikace: Zobrazuje použití pravidel aplikace.
  • Odepřené FQDN v průběhu času: Zobrazuje odepřené plně kvalifikované názvy domén (FQDN) v průběhu času.
  • Počet odepřených plně kvalifikovaných názvů domén: Počet odepřených plně kvalifikovaných názvů domén.
  • Povolené přesčasové názvy plně kvalifikovaných názvů domén: Zobrazuje povolené plně kvalifikované názvy domén v průběhu času.
  • Povolené plně kvalifikované názvy domén podle počtu: Počet povolených plně kvalifikovaných názvů domén.
  • Povolené webové kategorie časem: Zobrazuje povolené webové kategorie v průběhu času.
  • Povolené webové kategorie podle počtu: Počty povolených webových kategorií
  • Odepřené webové kategorie v průběhu času: Zobrazuje odepřené webové kategorie v průběhu času.
  • Zamítnuté webové kategorie podle počtu: Počet odepřených webových kategorií

Snímek obrazovky zobrazuje kartu Pravidla aplikace.

Pravidla sítě

Na kartě Pravidla sítě se zobrazují statistiky souvisejících událostí vrstvy 4, které korelují s konkrétními pravidly sítě v zásadách služby Azure Firewall. Na kartě Pravidla sítě jsou k dispozici následující widgety:

  • Akce pravidel: Zobrazí akce, které byly provedeny pravidly.
  • Cílové porty: Zobrazuje cílové porty v síťovém provozu.
  • Akce DNAT: Zobrazuje akce překladu adres cílové sítě (DNAT).
  • Geografická poloha: Zobrazuje zeměpisná umístění zahrnutá do síťového provozu.
  • Akce pravidla podle IP adres: Zobrazí akce pravidel zařazené do kategorií podle IP adres.
  • Cílové porty podle zdrojové IP adresy: Zobrazuje cílové porty zařazené do kategorií podle zdrojových IP adres.
  • DNAT'ed over time: Zobrazuje akce DNAT v průběhu času.
  • Geografická poloha v průběhu času: Zobrazuje geografická umístění zahrnutá v síťovém provozu v průběhu času.
  • Akce podle času: Zobrazuje síťové akce v průběhu času.
  • Všechny události IP adres s GeoLocation: Zobrazuje všechny události zahrnující IP adresy, kategorizované podle zeměpisného umístění.

Snímek obrazovky zobrazující kartu pravidel sítě

Proxy server DNS

Tato karta je relevantní, pokud jste nastavili službu Azure Firewall tak, aby fungovala jako proxy server DNS, která slouží jako zprostředkovatel pro požadavky DNS z klientských virtuálních počítačů na server DNS. Karta Proxy DNS obsahuje různé widgety, které můžete použít:

  • Přenosy DNS proxy podle počtu na firewall: Zobrazí počet přenosů DNS proxy pro každý firewall.
  • Počet proxy serverů DNS podle názvu požadavku: Počítá požadavky proxy serveru DNS podle názvu požadavku.
  • Počet požadavků proxy serveru DNS podle IP adresy klienta: Počítá požadavky proxy serveru DNS podle IP adresy klienta.
  • Požadavek proxy serveru DNS v průběhu času podle IP adresy klienta: Zobrazuje požadavky proxy serveru DNS v průběhu času zařazené do kategorií podle IP adresy klienta.
  • Informace o proxy serveru DNS: Poskytuje záznamy o nastavení proxy serveru DNS.

Snímek obrazovky zobrazující kartu proxy serveru DNS

Systém detekce a prevence neoprávněných vniknutí (IDPS)

Karta statistiky protokolu IDPS nabízí souhrn škodlivých událostí provozu a preventivních akcí provedených službou. Na kartě IDPS najdete různé widgety, které můžete použít:

  • Počet akcí IDPS: Počítá akce IDPS.
  • Počet protokolů IDPS: Počítá protokoly zjištěné IDPS.
  • Počet IDPS SignatureID: Počítá detekce IDPS podle ID podpisu.
  • Počet zdrojových IP adres IDPS: Počítá detekce IDPS podle zdrojové IP adresy.
  • Filtrované akce IDPS podle počtu: Počítá filtrované akce IDPS.
  • Filtrované protokoly IDPS podle počtu: Počítá filtrované protokoly IDPS.
  • Filtrované ID PODPISŮ IDPS podle počtu: Počítá filtrované detekce IDPS podle ID podpisu.
  • Filtrované zdrojové IP: Zobrazí filtrované zdrojové IP adresy zjištěné systémem IDPS.
  • Počet IDPS služby Azure Firewall v průběhu času: Zobrazuje počet IDPS služby Azure Firewall v průběhu času.
  • Protokoly IDPS služby Azure Firewall s geolokací: Poskytuje protokoly IDPS služby Azure Firewall zařazené do kategorií podle zeměpisného umístění.

Snímek obrazovky s panelem IDPS

Analýza hrozeb (TI)

Tato karta nabízí důkladnou perspektivu týkající se aktivit analýzy hrozeb, přičemž se zaměřuje na nejběžnější hrozby, akce a protokoly. Vymezí prvních pět plně kvalifikovaných názvů domén (FQDN) a IP adres přidružených k těmto hrozbám a ukazuje detekci analýzy hrozeb v průběhu času. Podrobné protokoly z Threat Intelligence služby Azure Firewall jsou navíc poskytnuté pro komplexní analýzu. Na kartě Analýza hrozeb najdete různé widgety, které můžete použít:

  • Počet akcí analýzy hrozeb: Počítá akce zjištěné analýzou hrozeb pomocí zpravodajských dat.
  • Počet protokolů Intel pro hrozby: Počítá protokoly identifikované funkcí Analýza hrozeb.
  • Prvních 5 plně kvalifikovaných názvů domén: Zobrazuje pět nejčastějších plně kvalifikovaných názvů domén (FQDN).
  • Počet prvních 5 IP adres: Zobrazuje pět nejčastějších IP adres.
  • Azure Firewall Threat Intel v průběhu času: Zobrazuje detekce služby Azure Firewall Threat Intelligence.
  • Azure Firewall Threat Intel: Poskytuje protokoly z analýzy hrozeb služby Azure Firewall.

Snímek obrazovky znázorňující kartu analýza hrozeb

Vyšetřování

Část šetření umožňuje zkoumání a řešení potíží s dalšími podrobnostmi, jako je název virtuálního počítače a název síťového rozhraní související se zahájením nebo ukončením provozu. Také vytváří korelace mezi zdrojovými IP adresami, plně kvalifikovanými názvy domén (FQDN), ke kterým se pokoušejí získat přístup, a také zobrazením zeměpisného umístění vašeho provozu. Widgety dostupné na kartě Šetření:

  • Provoz podle počtu FQDN: Počítá provoz podle plně kvalifikovaných názvů domén (FQDN).
  • Počet zdrojových IP adres: Počítá výskyty zdrojových IP adres.
  • Vyhledávání prostředků zdrojové IP adresy: Vyhledá prostředky přidružené ke zdrojovým IP adresám.
  • Protokoly vyhledávání plně kvalifikovaného názvu domény: Poskytuje protokoly z vyhledávání plně kvalifikovaného názvu domény.
  • Azure Firewall Premium s geografickým umístěním – IDPS: Zobrazuje systém detekce a prevence neoprávněných vniknutí služby Azure Firewall – (IDPS) – detekce, kategorizované podle zeměpisného umístění.

Snímek obrazovky znázorňující kartu šetření

Další kroky

  • Last updated on