Uso de libros de Azure Firewall

El libro de Azure Firewall proporciona un lienzo flexible para el análisis de datos de Azure Firewall. Puede utilizarlo para crear informes visuales completos en Azure Portal. Puede acceder a varias instancias de Firewall implementadas en Azure y combinarlas en experiencias interactivas unificadas.

Puede obtener información sobre los eventos de Azure Firewall, conocer las reglas de la aplicación y de la red, y ver las estadísticas de las actividades de firewall en direcciones URL, puertos y direcciones. El libro de Azure Firewall le permite filtrar los firewalls y los grupos de recursos, así como filtrar de forma dinámica por categoría con conjuntos de datos fáciles de leer al investigar un problema en los registros.

Requisitos previos

Antes de empezar, habilite los registros de Azure Structured Firewall a través de Azure Portal.

Importante

Todas las secciones siguientes son válidas solo para los registros estructurados del firewall.

Si desea usar registros heredados, puede habilitar el registro de diagnóstico mediante Azure Portal. A continuación, vaya al libro de GitHub para Azure Firewall y siga las instrucciones de la página.

Asimismo, lea Métricas y registros de Azure Firewall para obtener una introducción a los registros y las métricas de diagnóstico disponibles para Azure Firewall.

Introducción

Una vez configurados los registros estructurados de firewall, todos están configurados para usar los libros insertados de Azure Firewall mediante los pasos siguientes:

1. En el portal, vaya al recurso de Azure Firewall.

2. En Supervisión, seleccione Libros.

3. En la Galería, puede crear nuevos libros o usar el libro de Azure Firewall existente, como se muestra aquí:

   

4. Seleccione el área de trabajo de Log Analytics y uno o varios nombres de firewall que quiera usar en este libro, como se muestra aquí:

   

Secciones del libro

El libro de Azure Firewall tiene siete pestañas, cada una de las cuales aborda distintos aspectos del servicio. En las secciones siguientes se describe cada pestaña.

Información general

En la pestaña de información general se muestran gráficos y estadísticas relacionados con todos los tipos de eventos de firewall agregados a partir de varias categorías de registro. Esto incluye reglas de red, reglas de aplicación, DNS, sistema de detección y prevención de intrusiones (IDPS), inteligencia sobre amenazas, etc. Los widgets disponibles en la pestaña Información general incluyen:

• Eventos, por tiempo: muestra la frecuencia de eventos a lo largo del tiempo.
• Eventos, por firewall a lo largo del tiempo: muestra la distribución de eventos entre firewalls a lo largo del tiempo.
• Eventos, por categoría: clasifica y cuenta eventos.
• Categorías de eventos, por tiempo: muestra las categorías de eventos a lo largo del tiempo.
• Rendimiento medio del tráfico de firewall: muestra el promedio de datos que pasan por el firewall.
• Uso de puertos SNAT: muestra el uso de puertos SNAT.
• Recuento de llamadas de regla de red (SUM): cuenta los desencadenadores de reglas de red.
• Recuento de aciertos de regla de aplicación (SUM): cuenta los desencadenadores de reglas de aplicación.

Reglas de aplicación

En la pestaña Reglas de aplicación se muestran las estadísticas de eventos relacionados con la capa 7 correlacionadas con las reglas de aplicación específicas de la directiva de Azure Firewall. Los widgets siguientes están disponibles en la pestaña Reglas de aplicación:

• Uso de reglas de aplicación: muestra el uso de reglas de aplicación.
• FQDN denegado horas extra: muestra nombres de dominio completos (FQDN) denegados a lo largo del tiempo.
• FQDN denegado por recuento: recuentos denegados de FQDN.
• Tiempo extra permitido del FQDN: muestra los FQDN permitidos a lo largo del tiempo.
• FQDN permitido por recuento: recuentos permitidos de FQDN.
• Categorías web permitidas horas extra: muestra las categorías web permitidas a lo largo del tiempo.
• Categorías web permitidas por recuento: recuento de categorías web permitidas.
• Categorías web denegadas horas extra: muestra las categorías web denegadas a lo largo del tiempo.
• Categorías web denegadas por recuento: recuento de categorías web denegadas.

Reglas de red

En la pestaña Reglas de red se muestran las estadísticas de eventos relacionados de nivel 4 correlacionadas con las reglas de red específicas en la directiva de Azure Firewall. Los widgets siguientes están disponibles en la pestaña Reglas de red:

• Acciones de regla: muestra las acciones realizadas por reglas.
• Puertos de destino: muestra los puertos de destino en el tráfico de red.
• Acciones DNAT: muestra acciones de traducción de direcciones de red de destino (DNAT).
• GeoLocation: muestra las ubicaciones geográficas implicadas en el tráfico de red.
• Acciones de regla, por direcciones IP: muestra acciones de regla clasificadas por direcciones IP.
• Puertos de destino, por IP de origen: muestra los puertos de destino clasificados por direcciones IP de origen.
• DNAT'ed con el tiempo: muestra acciones DNAT con el tiempo.
• GeoLocation a lo largo del tiempo: muestra las ubicaciones geográficas implicadas en el tráfico de red a lo largo del tiempo.
• Acciones, por tiempo: muestra las acciones de red a lo largo del tiempo.
• Todos los eventos de direcciones IP con GeoLocation: muestra todos los eventos que implican direcciones IP, clasificados por ubicación geográfica.

Proxy DNS

Esta pestaña es relevante si ha configurado Azure Firewall para que funcione como un proxy DNS, que actúa como intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS. La pestaña Proxy DNS incluye varios widgets que puede usar:

• Tráfico de proxy DNS por recuento por firewall: muestra el recuento de tráfico de proxy DNS para cada firewall.
• Recuento de proxy DNS por nombre de solicitud: cuenta las solicitudes de proxy DNS por nombre de solicitud.
• Recuento de solicitudes de proxy DNS por IP de cliente: cuenta las solicitudes de proxy DNS por dirección IP del cliente.
• Solicitud de proxy DNS a lo largo del tiempo por IP del cliente: muestra las solicitudes de proxy DNS a lo largo del tiempo, clasificadas por IP de cliente.
• Información del proxy DNS: proporciona información de registro relacionada con la configuración del proxy DNS.

Sistema de detección y prevención de intrusiones (IDPS)

La pestaña Estadísticas de registro de IDPS ofrece un resumen de los eventos de tráfico malintencionados y las acciones preventivas realizadas por el servicio. En la pestaña IDPS, encontrará varios widgets que puede usar:

• Recuento de acciones de IDPS: cuenta las acciones de IDPS.
• Recuento de protocolos IDPS: cuenta los protocolos detectados por IDPS.
• Recuento de IDPS SignatureID: cuenta las detecciones de IDPS por identificador de firma.
• Recuento de IDPS SourceIP: cuenta las detecciones de IDPS por dirección IP de origen.
• Acciones de IDPS filtradas por recuento: recuentos filtrados de acciones IDPS.
• Protocolos IDPS filtrados por recuento: recuentos filtrados de protocolos IDPS.
• IdP filtradoS por recuento: cuenta las detecciones de IDPS filtradas por identificador de firma.
• SourceIP filtrado: muestra las direcciones IP de origen filtradas detectadas por IDPS.
• Recuento de IDPS de Azure Firewall a lo largo del tiempo: muestra el recuento de IDPS de Azure Firewall a lo largo del tiempo.
• Registros de IDPS de Azure Firewall con GeoLocation: proporciona registros IDPS de Azure Firewall, clasificados por ubicación geográfica.

Inteligencia sobre amenazas (TI)

Esta pestaña ofrece una perspectiva exhaustiva de las actividades de inteligencia sobre amenazas, que destacan las amenazas, las acciones y los protocolos más frecuentes. Delimita los cinco nombres de dominio completos (FQDN) principales y las direcciones IP asociadas a estas amenazas, lo que muestra las detecciones de inteligencia sobre amenazas a lo largo del tiempo. Además, los registros detallados de la inteligencia sobre amenazas de Azure Firewall se proporcionan para un análisis completo. En la pestaña Inteligencia sobre amenazas, encontrará varios widgets que puede usar:

• Recuento de acciones de Intel de amenazas: cuenta las acciones detectadas por la inteligencia sobre amenazas.
• Recuento de protocolos intel de amenazas: cuenta los protocolos identificados por la inteligencia sobre amenazas.
• Recuento de FQDN principales 5: muestra los cinco nombres de dominio completos (FQDN) más frecuentes.
• Número de DIRECCIONES IP principales: muestra las cinco direcciones IP más frecuentes.
• Azure Firewall Threat Intel a lo largo del tiempo: muestra las detecciones de inteligencia sobre amenazas de Azure Firewall a lo largo del tiempo.
• Azure Firewall Threat Intel: proporciona registros de la inteligencia sobre amenazas de Azure Firewall.

Investigaciones

La sección de investigación permite la exploración y la solución de problemas, ofreciendo detalles adicionales, como el nombre de la máquina virtual y el nombre de la interfaz de red asociados con el inicio o la terminación del tráfico. También establece correlaciones entre las direcciones IP de origen, los nombres de dominio completos (FQDN) a los que intentan acceder, así como la vista de ubicación geográfica del tráfico. Widgets disponibles en la pestaña Investigación:

• FQDN Traffic by Count: cuenta el tráfico por nombres de dominio completos (FQDN).
• Recuento de direcciones IP de origen: cuenta las apariciones de direcciones IP de origen.
• Búsqueda de recursos de dirección IP de origen: busca recursos asociados a direcciones IP de origen.
• Registros de búsqueda de FQDN: proporciona registros de búsquedas de FQDN.
• Azure Firewall Premium con ubicación geográfica: IDPS: muestra el sistema de detección y prevención de intrusiones de Azure Firewall ( IDPS): detecciones, clasificadas por ubicación geográfica.

Pasos siguientes

• Obtenga más información sobre el Diagnostico de Azure Firewall.