Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Filtrování založené na informacích o hrozbách můžete pro bránu firewall povolit tak, aby upozorňovala a blokovala provoz ze/z a do známých škodlivých IP adres, plně kvalifikovaných názvů domén a adres URL. IP adresy, domény a adresy URL pocházejí z informačního kanálu Microsoft Threat Intelligence, který zahrnuje více zdrojů, včetně týmu Microsoft Cyber Security.
Pokud je povolené filtrování na základě analýzy hrozeb, Azure Firewall před použitím pravidel překladu adres (NAT), sítě nebo aplikace vyhodnocuje provoz proti pravidlům analýzy hrozeb.
Správci můžou nakonfigurovat bránu firewall tak, aby fungovala v režimu jen pro výstrahy nebo v režimu upozornění a zamítnutí, když se aktivuje pravidlo analýzy hrozeb. Ve výchozím nastavení funguje brána firewall v režimu jen pro výstrahy. Tento režim je možné zakázat nebo změnit tak, aby upozorňoval a odepíral.
Seznamy povolených můžou být definované tak, aby vyloučily konkrétní plně kvalifikované názvy domén, IP adresy, rozsahy nebo podsítě z filtrování analýzy hrozeb.
V případě dávkových operací můžou správci nahrát soubor CSV obsahující IP adresy, rozsahy a podsítě a naplnit seznam povolených.
Logs
Následující výňatek protokolu ukazuje aktivované pravidlo:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Aby bylo možné ověřit funkčnost odchozích upozornění, existuje testovací plně kvalifikovaný název domény, který aktivuje výstrahu. Použijte
testmaliciousdomain.eastus.cloudapp.azure.compro vaše odchozí testy. Usetestmaliciousdomain.eastus.cloudapp.azure.comfor your outbound tests.Pokud se chcete připravit na testy a zajistit, že se nezobrazí chyba překladu DNS, nakonfigurujte následující položky:
- Do souboru hostitelů na testovacím počítači přidejte fiktivní záznam. Například na počítači se systémem Windows můžete do
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comsouboru přidatC:\Windows\System32\drivers\etc\hosts. - Ujistěte se, že testovaný požadavek HTTP/S je povolený pomocí pravidla aplikace, nikoli síťového pravidla.
- Do souboru hostitelů na testovacím počítači přidejte fiktivní záznam. Například na počítači se systémem Windows můžete do
Upozornění se zobrazí dokonce i tehdy, když brána firewall povoluje pouze určené zdroje v pravidle DNAT a jiný provoz je odepřen. Azure Firewall neupozorňuje na všechny známé skenery portů, ale pouze na skenery, které se také podílejí na škodlivých aktivitách. Azure Firewall doesn't alert on all known port scanners; only on scanners that also engage in malicious activity.