Sledování změn sady pravidel služby Azure Firewall

V tomto článku se dozvíte, jak monitorovat a sledovat změny skupin kolekcí pravidel služby Azure Firewall pomocí Azure Resource Graphu. Sledování změn pomáhá udržovat dodržování předpisů zabezpečení, auditovat úpravy konfigurace a řešit problémy tím, že poskytuje podrobnou historii úprav sady pravidel.

Azure Resource Graph poskytuje data analýzy změn, která vám pomůžou sledovat, kdy byly zjištěny změny ve skupinách kolekcí pravidel služby Azure Firewall. Můžete zobrazit podrobnosti o změnách vlastností a dotazovat se na změny ve velkém měřítku napříč předplatným, skupinou pro správu nebo tenantem.

Sledování změn pro skupiny kolekcí pravidel služby Azure Firewall umožňuje:

• Monitorování změn konfigurace: Sledování všech úprav pravidel a zásad brány firewall
• Udržovat dodržování předpisů: Generování tras auditu pro požadavky na zabezpečení a dodržování předpisů
• Řešení potíží: Zjištění, kdy došlo ke změnám, které můžou mít vliv na připojení
• Analýza trendů: Pochopení vzorů v úpravách pravidel v průběhu času

Požadavky

Než budete moct sledovat změny sady pravidel, ověřte, že splňujete následující požadavky:

• Máte bránu Azure Firewall s nakonfigurovanými skupinami kolekcí pravidel.
• Máte příslušná oprávnění pro přístup ke službě Azure Resource Graph
• Vaše služba Azure Firewall používá zásady služby Azure Firewall (ne klasická pravidla).

Přístup k Azure Resource Graph Exploreru

Pokud chcete spouštět dotazy sledování změn, musíte získat přístup k Průzkumníku Azure Resource Graphu:

1. Přihlaste se k portálu Azure Portal.
2. Vyhledejte a vyberte Resource Graph Explorer
3. V okně dotazu můžete spustit dotazy sledování změn popsané v následujících částech.

Základní dotaz sledování změn

Pomocí tohoto dotazu získáte komplexní přehled o všech změnách ve skupinách kolekcí pravidel služby Azure Firewall:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| extend parsedProperties = parse_json(properties)
| extend TargetResource = tostring(parsedProperties.targetResourceId),
         Timestamp = todatetime(parsedProperties.changeAttributes.timestamp),
         Changes = todynamic(parsedProperties.changes),
         ChangeType = tostring(parsedProperties.changeType),
         PreviousSnapshotId = tostring(parsedProperties.changeAttributes.previousResourceSnapshotId),
         NewSnapshotId = tostring(parsedProperties.changeAttributes.newResourceSnapshotId),
         CorrelationId = tostring(parsedProperties.changeAttributes.correlationId),
         ChangesCount = toint(parsedProperties.changeAttributes.changesCount),
         TenantId = tostring(tenantId),
         Location = tostring(location),
         SubscriptionId = tostring(subscriptionId),
         ResourceGroup = tostring(resourceGroup),
         FirewallPolicyName = extract('/firewallPolicies/([^/]+)/', 1, tostring(id))
| mv-expand ChangeKey = bag_keys(Changes)
| extend ChangeDetails = todynamic(Changes[tostring(ChangeKey)])
| extend RuleCollectionName = extract('properties\\.ruleCollections\\["([^"]+)"\\]', 1, tostring(ChangeKey))
| where isnotempty(RuleCollectionName)
| summarize Changes = make_list(pack("ChangeKey", ChangeKey, "PreviousValue", tostring(ChangeDetails.previousValue), "NewValue", tostring(ChangeDetails.newValue)))
    by Timestamp = format_datetime(Timestamp, 'yyyy-MM-dd HH:mm:ss'),
       TenantId,
       SubscriptionId,
       ResourceGroup,
       Location,
       TargetResource,
       FirewallPolicyName,
       RuleCollectionName,
       ChangeType,
       PreviousSnapshotId,
       NewSnapshotId,
       CorrelationId,
       ChangesCount
| project Timestamp,
          TenantId,
          SubscriptionId,
          ResourceGroup,
          Location,
          TargetResource,
          FirewallPolicyName,
          RuleCollectionName,
          ChangeType,
          PreviousSnapshotId,
          NewSnapshotId,
          CorrelationId,
          ChangesCount,
          Changes
| order by Timestamp desc

Vysvětlení výsledků dotazu

Dotaz sledování změn vrátí následující informace pro každou zjištěnou změnu:

Obor	Description
Časová značka	Kdy došlo ke změně
SubscriptionId	Předplatné Azure obsahující bránu firewall
ResourceGroup	Skupina prostředků obsahující politiku brány firewall
FirewallPolicyName	Název ovlivněných zásad brány firewall
RuleCollectionName	Název ovlivněné kolekce pravidel
Typ změny	Typ změny (vytvoření, aktualizace, odstranění)
PočetZměn	Počet změněných vlastností
Změny	Podrobný seznam toho, co se změnilo, včetně předchozích a nových hodnot
ID korelace	Jedinečné identifikátory, které propojují související změny

Filtrování změn podle časového období

Pokud se chcete zaměřit na nedávné změny, můžete do dotazu přidat časový filtr:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where todatetime(properties.changeAttributes.timestamp) >= ago(7d)  // Last 7 days
// ... rest of query

Filtrování podle konkrétních zásad brány firewall

Pro sledování změn v konkrétní politice brány firewall:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where id contains "/firewallPolicies/your-policy-name"
// ... rest of query

Nastavení automatizovaného monitorování

Pro průběžné monitorování zvažte nastavení:

• Naplánované dotazy: Použití Azure Logic Apps nebo Azure Automation ke spouštění dotazů podle plánu
• Upozornění: Vytváření upozornění služby Azure Monitor na základě vzorů změn
• Sestavy: Export výsledků do nástrojů úložiště nebo vizualizací pro vytváření sestav

Osvědčené postupy

Při implementaci sledování změn sady pravidel:

• Pravidelné monitorování: Nastavení pravidelného spouštění dotazů pro rychlé zachycení změn
• Zásady uchovávání informací: Plánování dlouhodobého ukládání dat změn pro zajištění dodržování předpisů
• Řízení přístupu: Omezení přístupu k datům sledování změn na základě požadavků na zabezpečení
• Integrace: Zvažte integraci se stávajícími nástroji SIEM nebo monitorovacími nástroji.

Řešení problémů

Pokud ve výsledcích nevidíte očekávané změny:

• Ověřte, že používáte službu Azure Firewall Policy (ne klasická pravidla).
• Zkontrolujte, jestli časové období v dotazu pokrývá, kdy došlo ke změnám.
• Ujistěte se, že máte potřebná oprávnění pro přístup ke službě Azure Resource Graph.
• Ověřte správnost názvů prostředků ve vašich filtrech.

Související obsah

• Monitorování Azure Firewallu
• Sešity služby Azure Firewall
• Referenční informace k datům monitorování služby Azure Firewall
• Přehled služby Azure Resource Graph