Compartir por

Utilice los cuadernos de Azure Firewall

El Libro de Azure Firewall proporciona un lienzo flexible para el análisis de datos de Azure Firewall. Úselo para crear informes visuales enriquecidos en Azure Portal. Puede acceder a varias instancias de Firewall implementadas en Azure y combinarlas en experiencias interactivas unificadas.

Puede obtener información sobre los eventos de Azure Firewall, conocer las reglas de la aplicación y de la red, y ver las estadísticas de las actividades de firewall en direcciones URL, puertos y direcciones. El Cuaderno de trabajo de Azure Firewall te permite filtrar tus firewalls y grupos de recursos, y filtrar dinámicamente por categoría con conjuntos de datos fáciles de leer al investigar un problema en tus registros.

Prerrequisitos

Antes de empezar, habilite Registros de firewall estructurados de Azure a través de Azure Portal.

Importante

Todas las secciones siguientes son válidas solo para los registros estructurados del firewall.

Si quiere usar registros heredados, puede habilitar el registro de diagnóstico mediante Azure Portal. A continuación, vaya a Libro de GitHub para Azure Firewall y siga las instrucciones de la página.

Asimismo, lea Métricas y registros de Azure Firewall para obtener una introducción a los registros y las métricas de diagnóstico disponibles para Azure Firewall.

Comienza

Después de configurar los registros estructurados del Firewall, siga estos pasos para usar los cuadernos integrados de Azure Firewall:

  1. En el portal, vaya al recurso de Azure Firewall.

  2. En Supervisión, seleccione Libros.

  3. En la galería, puede crear nuevos libros de trabajo o usar el libro de trabajo de Azure Firewall existente, como se muestra en la siguiente imagen.

    Recorte de pantalla que muestra la galería del libro de firewall.

  4. Seleccione el área de trabajo de Log Analytics y uno o varios nombres de firewall que quiera usar en este libro, como se muestra en la imagen siguiente:

    Captura de pantalla que muestra las selecciones de área de trabajo y Azure Firewall en el libro.

Secciones del libro

El libro de Azure Firewall tiene siete pestañas, cada una de las cuales aborda distintos aspectos del servicio. En las secciones siguientes se describe cada pestaña.

Información general

En la pestaña de información general se muestran gráficos y estadísticas relacionados con todos los tipos de eventos de firewall agregados a partir de varias categorías de registro. Esta agregación incluye reglas de red, reglas de aplicación, DNS, sistema de detección y prevención de intrusiones (IDPS), inteligencia sobre amenazas, etc. Los widgets disponibles en la pestaña Información general incluyen:

  • Eventos, por tiempo: muestra la frecuencia de eventos a lo largo del tiempo.
  • Eventos, por firewall a lo largo del tiempo: muestra la distribución de eventos por firewalls a lo largo del tiempo.
  • Eventos, por categoría: clasifica y cuenta los eventos.
  • Categorías de eventos, por tiempo: muestra las categorías de eventos por tiempo.
  • Rendimiento promedio del tráfico de firewall: muestra el promedio de datos que pasan por el firewall.
  • Utilización de puertos SNAT: muestra la utilización de los puertos SNAT.
  • Recuento de aciertos de reglas de red (SUMA): cuenta los desencadenadores de reglas de red.
  • Recuento de aciertos de reglas de aplicación (SUMA): cuenta los desencadenadores de reglas de aplicación.

Captura de pantalla que muestra la pestaña Información general del libro de trabajo de Azure Firewall.

Reglas de aplicación

En la pestaña Reglas de aplicación se muestran las estadísticas de eventos relacionados con la capa 7 correlacionadas con las reglas de aplicación específicas de la directiva de Azure Firewall. Los widgets siguientes están disponibles en la pestaña Reglas de aplicación:

  • Utilización de las reglas de aplicación: muestra la utilización de las reglas de aplicación.
  • FQDN denegados a lo largo del tiempo: muestra nombres de dominio completamente calificados (FQDN) denegados a lo largo del tiempo.
  • FQDN denegados por recuento: recuenta los FQDN denegados.
  • FQDN permitidos a lo largo del tiempo: muestra los FQDN permitidos a lo largo del tiempo.
  • FQDN permitidos por recuento: recuenta los FQDN permitidos..
  • Categorías web permitidas a lo largo del tiempo: muestra las categorías web permitidas a lo largo del tiempo.
  • Categorías web permitidas por recuento: cuenta las categorías web permitidas.
  • Categorías web denegadas a lo largo del tiempo: muestra las categorías web denegadas a lo largo del tiempo.
  • Categorías web denegadas por recuento: cuenta las categorías web denegadas.

Recorte de pantalla que muestra la pestaña de reglas de aplicación.

Reglas de red

En la pestaña Reglas de red se muestran las estadísticas de eventos relacionados de nivel 4 correlacionadas con las reglas de red específicas en la directiva de Azure Firewall. Los widgets siguientes están disponibles en la pestaña Reglas de red :

  • Acciones de regla: muestra las acciones realizadas por reglas.
  • Puertos de destino: muestra los puertos de destino en el tráfico de red.
  • Acciones DNAT: muestra las acciones de la traducción de direcciones de red de destino (DNAT).
  • Geolocalización: muestra las ubicaciones geográficas implicadas en el tráfico de la red.
  • Acciones de regla, por direcciones IP: muestra las acciones de reglas clasificadas por direcciones IP.
  • Puertos de destino, por IP de origen: muestra los puertos de destino clasificados por direcciones IP de origen.
  • DNATed a lo largo del tiempo: muestra acciones DNAT a lo largo del tiempo.
  • Geolocalización a lo largo del tiempo: muestra las ubicaciones geográficas implicadas en el tráfico de red a lo largo del tiempo.
  • Acciones, por tiempo: muestra las acciones de red a lo largo del tiempo.
  • Todos los eventos de direcciones IP con geolocalización: muestra todos los eventos que implican direcciones IP, clasificados por ubicación geográfica.

Recorte de pantalla que muestra la pestaña de reglas de red.

Proxy DNS

Esta pestaña es relevante si configura Azure Firewall para que funcione como un proxy DNS, que actúa como intermediario para las solicitudes DNS de las máquinas virtuales cliente a un servidor DNS. La pestaña Proxy DNS incluye varios widgets que puede usar:

  • Tráfico de proxy DNS por recuento por firewall: muestra el recuento de tráfico de proxy DNS por cada firewall.
  • Recuento de proxy DNS por nombre de solicitud: cuenta las solicitudes de proxy DNS por nombre de solicitud.
  • Recuento de solicitudes de proxy DNS por IP de cliente: cuenta las solicitudes de proxy DNS por dirección IP del cliente.
  • Solicitud de proxy DNS a lo largo del tiempo por IP de cliente: muestra las solicitudes de proxy DNS a lo largo del tiempo, clasificadas por IP de cliente.
  • Información de proxy DNS: proporciona información de registro relacionada con la configuración del proxy DNS.

Recorte de pantalla que muestra la pestaña de Proxy DNS.

Sistema de detección y prevención de intrusiones (IDPS)

La pestaña Estadísticas de registro de IDPS proporciona un resumen de los eventos de tráfico malintencionados y las acciones preventivas que realiza el servicio. La pestaña IDPS incluye los siguientes widgets:

  • Recuento de acciones de IDPS: cuenta las acciones de IDPS.
  • Recuento de protocolos de IDPS: cuenta los protocolos detectados por IDPS.
  • Recuento de IDPS por id. de firma: cuenta las detecciones de IDPS por id. de firma.
  • Recuento de IDPS por IP de origen: Cuenta las detecciones de IDPS por dirección IP de origen.
  • Acciones de IDPS filtradas por recuento: acciones de IDPS filtradas por recuento.
  • Protocolos de IDPS filtrados por recuento: cuenta los protocolos de IDPS filtrados.
  • Identificadores de firma de IDPS filtrados por recuento: cuenta las detecciones de IDPS filtradas por id. de firma.
  • IP de origen filtrada: muestra las IP de origen filtradas detectadas por IDPS.
  • Recuento de IDPS de Azure Firewall a lo largo del tiempo: muestra el recuento de IDPS de Azure Firewall a lo largo del tiempo.
  • Registros de IDPS de Azure Firewall con geolocalización: proporciona registros de IDPS de Azure Firewall, clasificados por ubicación geográfica.

Recorte de pantalla que muestra la pestaña IDPS.

Inteligencia sobre amenazas (TI)

Esta pestaña proporciona una vista completa de las actividades de inteligencia sobre amenazas, resaltando las amenazas, acciones y protocolos más frecuentes. Enumera los cinco nombres de dominio completos (FQDN) principales y las direcciones IP asociadas a estas amenazas y muestra las detecciones de inteligencia sobre amenazas a lo largo del tiempo. También puede analizar registros detallados de la inteligencia sobre amenazas de Azure Firewall. La pestaña Inteligencia sobre amenazas incluye los siguientes widgets:

  • Recuento de acciones de Inteligencia sobre amenazas: cuenta las acciones detectadas por la Inteligencia sobre amenazas.
  • Recuento de protocolos de Inteligencia sobre amenazas: cuenta los protocolos identificados por la Inteligencia sobre amenazas.
  • Número de FQDN principales: muestra los cinco nombres de dominio completos (FQDN) más frecuentes.
  • Recuento de las 5 IP principales: muestra las cinco direcciones IP más frecuentes.
  • Inteligencia sobre amenazas de Azure Firewall a lo largo del tiempo: muestra las detecciones de Inteligencia sobre amenazas de Azure Firewall a lo largo del tiempo.
  • Inteligencia sobre amenazas de Azure Firewall: proporciona registros de la Inteligencia sobre amenazas de Azure Firewall.

Recorte de pantalla que muestra la pestaña de Inteligencia sobre amenazas.

Investigaciones

La sección de investigación permite la exploración y la solución de problemas. Proporciona detalles adicionales, como el nombre de la máquina virtual y el nombre de la interfaz de red asociados con el inicio o la terminación del tráfico. También establece correlaciones entre las direcciones IP de origen y los nombres de dominio completos (FQDN) a los que intentan acceder, junto con una vista de ubicación geográfica del tráfico. La pestaña Investigación incluye los widgets siguientes:

  • Tráfico FQDN por recuento,: contabiliza el tráfico por nombres de dominio completos (FQDN).
  • Recuento de direcciones IP de origen: cuenta las apariciones de direcciones IP de origen.
  • Búsqueda de recursos de direcciones IP de origen: busca los recursos asociados a las direcciones IP de origen.
  • Registros de búsqueda de FQDN: proporciona registros de las búsquedas de FQDN.
  • Azure Firewall Premium con ubicación geográfica: IDPS: muestra las detecciones del sistema de detección y prevención de intrusiones (IDPS) de Azure Firewall, clasificadas por ubicación geográfica.

Recorte de pantalla que muestra la pestaña de investigación.

Pasos siguientes

  • Last updated on