Suivre les modifications apportées aux ensembles de règles de pare-feu Azure

Cet article explique comment surveiller et suivre les modifications apportées aux groupes de regroupements de règles de pare-feu Azure à l’aide d’Azure Resource Graph. Le suivi des modifications vous permet de maintenir la conformité de la sécurité, d’auditer les modifications de configuration et de résoudre les problèmes en fournissant un historique détaillé des modifications du jeu de règles.

Azure Resource Graph fournit des données d’analyse des modifications qui vous aident à suivre quand des modifications ont été détectées sur des groupes de collecte de règles de pare-feu Azure. Vous pouvez afficher les détails des modifications de propriété et soumettre des requêtes concernant les changements à grande échelle dans votre abonnement, groupe d’administration ou locataire.

Le suivi des modifications pour les groupes de regroupements de règles de pare-feu Azure vous permet de :

• Surveiller les modifications de configuration : suivre toutes les modifications apportées aux règles et stratégies de pare-feu
• Maintenir la conformité : générer des pistes d’audit pour les exigences de sécurité et de conformité
• Résoudre les problèmes : identifier quand des modifications ont été apportées susceptibles d’affecter la connectivité
• Analyser les tendances : Comprendre les modèles dans les modifications de règle au fil du temps

Prerequisites

Avant de pouvoir suivre les modifications apportées au jeu de règles, vérifiez que vous répondez aux exigences suivantes :

• Vous disposez d’un Pare-feu Azure avec des groupes de regroupements de règles configurés
• Vous disposez des autorisations appropriées pour accéder à Azure Resource Graph
• Votre Pare-feu Azure utilise Azure Firewall Policy (et non des règles classiques)

Accéder à l’Explorateur Azure Resource Graph

Pour exécuter des requêtes de suivi des modifications, vous devez accéder à l’Explorateur Azure Resource Graph :

1. Connectez-vous au portail Azure
2. Rechercher et sélectionner l’Explorateur de Graphes de Ressources
3. Dans la fenêtre de requête, vous pouvez exécuter les requêtes de suivi des modifications décrites dans les sections suivantes

Requête de suivi des modifications de base

Utilisez cette requête pour obtenir une vue complète de toutes les modifications apportées aux groupes de regroupements de règles de pare-feu Azure :

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| extend parsedProperties = parse_json(properties)
| extend TargetResource = tostring(parsedProperties.targetResourceId),
         Timestamp = todatetime(parsedProperties.changeAttributes.timestamp),
         Changes = todynamic(parsedProperties.changes),
         ChangeType = tostring(parsedProperties.changeType),
         PreviousSnapshotId = tostring(parsedProperties.changeAttributes.previousResourceSnapshotId),
         NewSnapshotId = tostring(parsedProperties.changeAttributes.newResourceSnapshotId),
         CorrelationId = tostring(parsedProperties.changeAttributes.correlationId),
         ChangesCount = toint(parsedProperties.changeAttributes.changesCount),
         TenantId = tostring(tenantId),
         Location = tostring(location),
         SubscriptionId = tostring(subscriptionId),
         ResourceGroup = tostring(resourceGroup),
         FirewallPolicyName = extract('/firewallPolicies/([^/]+)/', 1, tostring(id))
| mv-expand ChangeKey = bag_keys(Changes)
| extend ChangeDetails = todynamic(Changes[tostring(ChangeKey)])
| extend RuleCollectionName = extract('properties\\.ruleCollections\\["([^"]+)"\\]', 1, tostring(ChangeKey))
| where isnotempty(RuleCollectionName)
| summarize Changes = make_list(pack("ChangeKey", ChangeKey, "PreviousValue", tostring(ChangeDetails.previousValue), "NewValue", tostring(ChangeDetails.newValue)))
    by Timestamp = format_datetime(Timestamp, 'yyyy-MM-dd HH:mm:ss'),
       TenantId,
       SubscriptionId,
       ResourceGroup,
       Location,
       TargetResource,
       FirewallPolicyName,
       RuleCollectionName,
       ChangeType,
       PreviousSnapshotId,
       NewSnapshotId,
       CorrelationId,
       ChangesCount
| project Timestamp,
          TenantId,
          SubscriptionId,
          ResourceGroup,
          Location,
          TargetResource,
          FirewallPolicyName,
          RuleCollectionName,
          ChangeType,
          PreviousSnapshotId,
          NewSnapshotId,
          CorrelationId,
          ChangesCount,
          Changes
| order by Timestamp desc

Présentation des résultats de la requête

La requête de suivi des modifications retourne les informations suivantes pour chaque modification détectée :

Champ	Descriptif
Timestamp	Lorsque la modification s’est produite
SubscriptionId	Abonnement Azure contenant le pare-feu
ResourceGroup	Groupe de ressources contenant la stratégie de pare-feu
FirewallPolicyName	Nom de la stratégie de pare-feu affectée
RuleCollectionName	Nom de la collection de règles affectée
ChangeType	Type de modification (Créer, Mettre à jour, Supprimer)
NombreDeChangements	Nombre de propriétés modifiées
Modifications	Liste détaillée de ce qui a changé, y compris les valeurs précédentes et nouvelles
CorrelationId	Identifiant unique reliant les modifications connexes

Filtrer les modifications par période

Pour vous concentrer sur les modifications récentes, vous pouvez ajouter un filtre de temps à votre requête :

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where todatetime(properties.changeAttributes.timestamp) >= ago(7d)  // Last 7 days
// ... rest of query

Filtrer par stratégie de pare-feu spécifique

Pour suivre les modifications d’une stratégie de pare-feu spécifique :

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where id contains "/firewallPolicies/your-policy-name"
// ... rest of query

Configurer la supervision automatisée

Pour la surveillance continue, envisagez de configurer :

• Requêtes planifiées : Utiliser Azure Logic Apps ou Azure Automation pour exécuter des requêtes selon une planification
• Alertes : Créer des alertes Azure Monitor en fonction des modèles de modification
• Rapports : exporter des résultats vers des outils de stockage ou de visualisation pour la création de rapports

Meilleures pratiques

Lors de l’implémentation du suivi des modifications de l’ensemble de règles :

• Surveillance régulière : configurer l’exécution régulière des requêtes pour intercepter rapidement les modifications
• Stratégies de rétention : planifier le stockage à long terme des données modifiées pour la conformité
• Contrôle d’accès : limiter l’accès aux données de suivi des modifications en fonction des exigences de sécurité
• Intégration : envisagez d’intégrer vos outils SIEM ou de supervision existants

Résolution des problèmes

Si vous ne voyez pas les modifications attendues dans vos résultats :

• Vérifiez que vous utilisez Azure Firewall Policy (et non des règles classiques)
• Vérifiez que la période dans votre requête couvre le moment où des modifications se sont produites
• Vérifiez que vous disposez des autorisations nécessaires pour accéder à Azure Resource Graph
• Vérifiez que les noms des ressources dans vos filtres sont corrects

Contenu connexe

• Surveiller le Pare-feu Azure
• Classeurs Pare-feu Azure
• Informations de référence sur la surveillance du pare-feu Azure
• Vue d’ensemble d’Azure Resource Graph