Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Vous pouvez activer le filtrage basé sur le renseignement sur les menaces dans votre pare-feu afin d’envoyer des alertes, et de refuser le trafic émis ou reçu par les adresses IP, les FQDN et les URL malveillants connus. Les adresses IP, les domaines et les URL proviennent du flux de renseignements sur les menaces Microsoft, qui comprend plusieurs sources, dont l’équipe Cybersécurité Microsoft.
Lorsque le filtrage basé sur le renseignement sur les menaces est activé, le Pare-feu Azure évalue le trafic par rapport aux règles de renseignement sur les menaces avant d’appliquer des règles NAT, réseau ou application.
Les administrateurs peuvent configurer le pare-feu pour qu’il fonctionne en mode alerte seule ou en mode alerte et refus lorsqu’une règle de renseignement sur les menaces est déclenchée. Par défaut, le pare-feu fonctionne en mode alerte uniquement. Ce mode peut être désactivé ou changé pour l’alerte et le refus.
Les listes d’autorisation peuvent être définies pour exempter des noms de domaine complets, des adresses IP, des plages ou des sous-réseaux spécifiques du filtrage des renseignements sur les menaces.
Pour les opérations par lots, les administrateurs peuvent charger un fichier CSV contenant des adresses IP, des plages et des sous-réseaux pour remplir la liste d'autorisation.
Logs
L'extrait de journal suivant montre une règle déclenchée :
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. Pour tester le fonctionnement des alertes de trafic sortant, il existe un FQDN de test qui permet de déclencher une alerte. Utilisez
testmaliciousdomain.eastus.cloudapp.azure.compour vos tests sortants.Pour préparer vos tests et éviter les échecs de résolution DNS, configurez les éléments suivants :
- Ajoutez un enregistrement factice au fichier hosts sur votre ordinateur de test. Par exemple, sur un ordinateur exécutant Windows, vous pouvez ajouter
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comau fichierC:\Windows\System32\drivers\etc\hosts. - Vérifiez que la requête HTTP/S testée est autorisée avec une règle d’application et non une règle de réseau.
- Ajoutez un enregistrement factice au fichier hosts sur votre ordinateur de test. Par exemple, sur un ordinateur exécutant Windows, vous pouvez ajouter
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Vous voyez des alertes même si certaines sources seulement sont autorisées sur la règle DNAT et que le reste du trafic est refusé. Le Pare-feu Azure n’alerte pas sur tous les scanneurs de ports connus, mais uniquement sur les scanneurs connus pour leurs activités malveillantes.