Použití sešitů služby Azure Firewall

  • Článek

Sešit služby Azure Firewall poskytuje flexibilní plátno pro analýzu dat služby Azure Firewall. Můžete ho použít k vytváření bohatých vizuálních sestav na webu Azure Portal. Můžete využít několik bran firewall nasazených v Azure a kombinovat je do sjednocených interaktivních prostředí.

Můžete získat přehled o událostech služby Azure Firewall, seznámit se s pravidly vaší aplikace a sítě a zobrazit statistiky aktivit brány firewall napříč adresami URL, porty a adresami. Sešit služby Azure Firewall umožňuje filtrovat brány firewall a skupiny prostředků a dynamicky filtrovat podle kategorie a snadno číst datové sady při zkoumání problému v protokolech.

Požadavky

Než začnete, povolte protokoly strukturované brány firewall Azure prostřednictvím webu Azure Portal.

Důležité

Všechny následující části jsou platné jenom pro strukturované protokoly brány firewall.

Pokud chcete použít starší protokoly, můžete protokolování diagnostiky povolit pomocí webu Azure Portal. Pak přejděte na GitHub Workbook pro Azure Firewall a postupujte podle pokynů na stránce.

Projděte si také protokoly a metriky služby Azure Firewall a přehled diagnostických protokolů a metrik dostupných pro Azure Firewall.

Začínáme

Jakmile nastavíte strukturované protokoly brány firewall, budete moct používat vložené sešity služby Azure Firewall pomocí následujících kroků:

  1. Na portálu přejděte k prostředku služby Azure Firewall.

  2. V části Monitorování vyberte Sešity.

  3. V galerii můžete vytvořit nové sešity nebo použít existující sešit služby Azure Firewall, jak je znázorněno tady:

    Screenshot showing the firewall workbook gallery.

  4. Vyberte pracovní prostor služby Log Analytics a jeden nebo více názvů brány firewall, které chcete v tomto sešitu použít, jak je znázorněno tady:

    Screenshot showing structured logs.

Oddíly sešitu

Sešit služby Azure Firewall má sedm karet, z nichž každý řeší různé aspekty služby. Jednotlivé karty jsou popsané v následujících částech.

Přehled

Na kartě Přehled jsou znázorněny grafy a statistiky související se všemi typy událostí brány firewall agregovaných z různých kategorií protokolování. Patří sem pravidla sítě, pravidla aplikací, DNS, detekce vniknutí a systém prevence (IDPS), analýza hrozeb a další. Mezi dostupné widgety na kartě Přehled patří:

  • Události podle času: Zobrazuje frekvenci událostí v průběhu času.
  • Události podle brány firewall v průběhu času: Zobrazuje distribuci událostí mezi branami firewall v průběhu času.
  • Události podle kategorie: Kategorizuje a počítá události.
  • Kategorie událostí podle času: Zobrazuje kategorie událostí v průběhu času.
  • Průměrná propustnost provozu brány firewall: Zobrazuje průměrná data procházející bránou firewall.
  • Využití portů SNAT: Zobrazuje využití portů SNAT.
  • Počet přístupů k pravidlům sítě (SUMA):: Spočítá triggery pravidel sítě.
  • Počet přístupů k pravidlům aplikace (SUM): Počítá triggery pravidel aplikace.

Azure Firewall Workbook overview

Pravidla aplikace

Na kartě Pravidla aplikace se zobrazují statistiky souvisejících událostí vrstvy 7, které korelují s konkrétními pravidly aplikace v zásadách služby Azure Firewall. Na kartě Pravidla aplikace jsou k dispozici následující widgety:

  • Použití pravidla aplikace: Zobrazuje použití pravidel aplikace.
  • Odepření přesčasu plně kvalifikovaného názvu domény: Zobrazuje odepřené plně kvalifikované názvy domén (FQDN) v průběhu času.
  • Počet odepřených plně kvalifikovaných názvů domén: Počet odepřených plně kvalifikovaných názvů domén.
  • Povolené přesčasové názvy plně kvalifikovaných názvů domén: Zobrazuje povolené plně kvalifikované názvy domén v průběhu času.
  • Povolené plně kvalifikované názvy domén podle počtu: Počet povolených plně kvalifikovaných názvů domén.
  • Povolené webové kategorie přesčas: Zobrazuje povolené webové kategorie v průběhu času.
  • Povolené webové kategorie podle počtu: Počty povolených webových kategorií
  • Odepření webových kategorií přesčas: Zobrazuje zamítnuté webové kategorie v průběhu času.
  • Zamítnuté webové kategorie podle počtu: Počet odepřených webových kategorií

Screenshot showing the application rules tab.

Pravidla sítě

Na kartě Pravidla sítě se zobrazují statistiky souvisejících událostí vrstvy 4, které korelují s konkrétními pravidly sítě v zásadách služby Azure Firewall. Na kartě Pravidla sítě jsou k dispozici následující widgety:

  • Akce pravidla: Zobrazí akce prováděné pravidly.
  • Cílové porty: Zobrazuje cílové porty v síťovém provozu.
  • Akce DNAT: Zobrazuje akce překladu adres cílové sítě (DNAT).
  • Geografická poloha: Zobrazuje zeměpisná umístění zahrnutá do síťového provozu.
  • Akce pravidla podle IP adres: Zobrazí akce pravidel zařazené do kategorií podle IP adres.
  • Cílové porty podle zdrojové IP adresy: Zobrazuje cílové porty zařazené do kategorií podle zdrojových IP adres.
  • DNAT'ed over time: Zobrazuje akce DNAT v průběhu času.
  • Geografická poloha v průběhu času: Zobrazuje geografická umístění zahrnutá v síťovém provozu v průběhu času.
  • Akce podle času: Zobrazuje síťové akce v průběhu času.
  • Všechny události IP adres s GeoLocation: Zobrazuje všechny události zahrnující IP adresy, kategorizované podle zeměpisného umístění.

Screenshot showing network rules tab.

Proxy server DNS

Tato karta je relevantní, pokud jste nastavili službu Azure Firewall tak, aby fungovala jako proxy server DNS, která slouží jako zprostředkovatel pro požadavky DNS z klientských virtuálních počítačů na server DNS. Karta Proxy DNS obsahuje různé widgety, které můžete použít:

  • Provoz proxy serveru DNS podle počtu na bránu firewall: Zobrazí počet přenosů proxy serveru DNS pro každou bránu firewall.
  • Počet proxy serverů DNS podle názvu požadavku: Počítá požadavky proxy serveru DNS podle názvu požadavku.
  • Počet požadavků proxy serveru DNS podle IP adresy klienta: Počítá požadavky proxy serveru DNS podle IP adresy klienta.
  • Požadavek proxy serveru DNS v průběhu času podle IP adresy klienta: Zobrazuje požadavky proxy serveru DNS v průběhu času zařazené do kategorií podle IP adresy klienta.
  • Informace o proxy serveru DNS: Poskytuje informace protokolu související s nastavením proxy serveru DNS.

Screenshot showing the DNS proxy tab.

Systém detekce a prevence neoprávněných vniknutí (IDPS)

Karta statistiky protokolu IDPS nabízí souhrn škodlivých událostí provozu a preventivních akcí provedených službou. Na kartě IDPS najdete různé widgety, které můžete použít:

  • Početakcích
  • Počet protokolů IDPS: Počítá protokoly zjištěné protokoly IDPS.
  • Počet IDPS SignatureID: Počítá detekce IDPS podle ID podpisu.
  • Počet zdrojových IP adres IDPS: Počítá detekce IDPS podle zdrojové IP adresy.
  • Filtrované akce IDPS podle počtu: Počítá filtrované akce IDPS.
  • Filtrované protokoly IDPS podle počtu: Počítá filtrované protokoly IDPS.
  • Filtrované ID PODPISŮ IDPS podle počtu: Počítá filtrované detekce IDPS podle ID podpisu.
  • Filtrovaný zdrojový IP kód: Zobrazí filtrované zdrojové IP adresy zjištěné podle zprostředkovatele IDENTITY.
  • Počet IDPS služby Azure Firewall v průběhu času: Zobrazuje počet IDPS služby Azure Firewall v průběhu času.
  • Protokoly IDPS služby Azure Firewall s geolokací: Poskytuje protokoly IDPS služby Azure Firewall zařazené do kategorií podle zeměpisného umístění.

Screenshot showing the IDPS tab.

Analýza hrozeb (TI)

Tato karta nabízí důkladnou perspektivu týkající se aktivit analýzy hrozeb a zvýraznění nejběžnějších hrozeb,akcích Vymezí prvních pět plně kvalifikovaných názvů domén (FQDN) a IP adres přidružených k těmto hrozbám a ukazuje detekci analýzy hrozeb v průběhu času. Podrobné protokoly z analýzy hrozeb služby Azure Firewall jsou navíc zařízené pro komplexní analýzu. Na kartě Analýza hrozeb najdete různé widgety, které můžete použít:

  • Počet akcí Intel pro hrozby: Počítá akce zjištěné funkcí Analýza hrozeb.
  • Počet protokolů Intel pro hrozby: Počítá protokoly identifikované funkcí Analýza hrozeb.
  • Prvních 5 plně kvalifikovaných názvů domén: Zobrazuje pět nejčastějších plně kvalifikovaných názvů domén (FQDN).
  • Počet prvních 5 IP adres: Zobrazuje pět nejčastějších IP adres.
  • Azure Firewall Threat Intel v průběhu času: Zobrazuje detekce analýzy hrozeb služby Azure Firewall v průběhu času.
  • Azure Firewall Threat Intel: Poskytuje protokoly z analýzy hrozeb služby Azure Firewall.

Screenshot showing the threat intelligence tab.

Vyšetřování

Část šetření umožňuje zkoumání a řešení potíží s dalšími podrobnostmi, jako je název virtuálního počítače a název síťového rozhraní související se zahájením nebo ukončením provozu. Také vytváří korelace mezi zdrojovými IP adresami, plně kvalifikovanými názvy domén (FQDN), ke kterým se pokoušejí získat přístup, a také zobrazením zeměpisného umístění vašeho provozu. Widgety dostupné na kartě Šetření:

  • Provoz plně kvalifikovaného názvu domény podle počtu: Počítá provoz podle plně kvalifikovaných názvů domén (FQDN).
  • Počet zdrojových IP adres: Počítá výskyty zdrojových IP adres.
  • Vyhledávání prostředků zdrojové IP adresy: Vyhledá prostředky přidružené ke zdrojovým IP adresě.
  • Protokoly vyhledávání plně kvalifikovaného názvu domény: Poskytuje protokoly z vyhledávání plně kvalifikovaného názvu domény.
  • Azure Firewall Premium s geografickým umístěním – IDPS: Zobrazuje systém detekce a prevence neoprávněných vniknutí služby Azure Firewall – (IDPS) – detekce, kategorizované podle zeměpisného umístění.

Screenshot showing the investigation tab.

Další kroky