Freigeben über


Threat Intelligence-gestütztes Filtern für Azure Firewall

Sie können die Filterung von Threat Intelligence-gestützten Daten für Ihre Firewall aktivieren, um vor dem Datenverkehr von/zu bekannten schädlichen IP-Adressen, FQDNs und URLs zu warnen und diesen zu unterbinden. Die IP-Adressen, Domänen und URLs stammen aus dem Microsoft Threat Intelligence-Feed, der mehrere Quellen enthält, darunter das Microsoft Cyber Security-Team. Der Intelligente Sicherheitsgraph stellt die Grundlage für die Bedrohungsanalyse von Microsoft dar und verwendet mehrere Diensten, darunter auch Microsoft Defender for Cloud.

Threat Intelligence für die Firewall

Wenn Sie das Threat Intelligence-gestützte Filtern aktiviert haben, verarbeitet die Firewall die zugehörigen Regeln vor allen anderen Regeln (NAT-Regeln, Netzwerkregeln oder Anwendungsregeln).

Beim Auslösen einer Regel können Sie wahlweise nur eine Warnung protokollieren oder den Modus „Warnen und Verweigern“ verwenden.

Für das Threat Intelligence-gestützte Filtern ist standardmäßig der Warnmodus aktiviert. Bis die Portalschnittstelle in Ihrer Region verfügbar wird, können Sie diese Funktion nicht deaktivieren oder den Modus ändern.

Sie können Positivlisten festlegen, damit Threat Intelligence keinen Datenverkehr zu den aufgeführten FQDNs, IP-Adressen, Bereichen oder Subnetzen filtert.

Für einen Batchvorgang können Sie eine CSV-Datei mit einer Liste von IP-Adressen, Bereichen und Subnetzen hochladen.

Portalschnittstelle für Threat-Intelligence-gestütztes Filtern

Protokolle

Der folgende Protokollausschnitt zeigt eine ausgelöste Regel:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testen

  • Testen bei ausgehendem Datenverkehr: Warnungen bei ausgehendem Datenverkehr sollten selten auftreten, da dies bedeutet, dass Ihre Umgebung kompromittiert ist. Um zu testen, ob Warnungen bei ausgehendem Datenverkehr funktionieren, gibt es einen Test-FQDN, der eine Warnung auslöst. Verwenden Sie testmaliciousdomain.eastus.cloudapp.azure.com für Ihre ausgehenden Tests.

    Um ihre Tests vorzubereiten und sicherzustellen, dass kein DNS-Auflösungsfehler auftritt, konfigurieren Sie die folgenden Elemente:

    • Fügen Sie der Hostdatei auf Ihrem Testcomputer einen Dummydatensatz hinzu. Auf einem Computer unter Windows könnten Sie beispielsweise 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com zur Datei C:\Windows\System32\drivers\etc\hosts hinzufügen.
    • Stellen Sie mithilfe einer Anwendungsregel und nicht einer Netzwerkregel sicher, dass die getestete HTTP/S-Anforderung zulässig ist.
  • Testen bei eingehendem Datenverkehr: Sie können davon ausgehen, das Warnungen bei eingehendem Datenverkehr angezeigt werden, wenn für die Firewall DNAT-Regeln konfiguriert sind. Warnungen werden selbst dann angezeigt, wenn die Firewall nur bestimmte Quellen in der DNAT-Regel zulässt und der sonstige Datenverkehr verweigert wird. Azure Firewall gibt keine Warnungen für alle bekannten Portscanner aus, sondern nur für Scanner, die sich gelegentlich an schädlichen Aktivitäten beteiligen.

Nächste Schritte