fenyegetésintelligencia-alapú szűrés Azure Firewall

A fenyegetésfelderítésen alapuló szűrés engedélyezhető a tűzfal számára az ismert rosszindulatú IP-címekről, teljes tartománynevekből és URL-címekről érkező vagy azokra irányuló forgalom riasztásához és letiltásához. Az IP-címek, tartományok és URL-címek a Microsoft Threat Intelligence-hírcsatornából származnak, amely több forrást is tartalmaz, köztük a Microsoft Cyber Security csapatát is. Az Intelligent Security Graph működteti a Microsoft fenyegetésfelderítési funkcióit, és több szolgáltatás, köztük a Microsoft Defender for Cloud is használja.

Tűzfal fenyegetésfelderítése

Ha engedélyezte a fenyegetésfelderítés-alapú szűrést, a rendszer a kapcsolódó szabályokat a NAT-szabályok, hálózati szabályok vagy alkalmazásszabályok előtt dolgozza fel.

Dönthet úgy, hogy csak egy szabály aktiválásakor naplóz egy riasztást, vagy választhat riasztási és megtagadási módot.

Alapértelmezés szerint a fenyegetésintelligencia-alapú szűrés riasztási módban van engedélyezve. Nem kapcsolhatja ki ezt a funkciót, és nem módosíthatja a módot, amíg a portál felülete elérhetővé nem válik az Ön régiójában.

Fenyegetésfelderítés-alapú szűrési portál felülete

Naplók

Az alábbi naplórészlet egy aktivált szabályt mutat be:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Tesztelés

  • Kimenő tesztelés – A kimenő forgalmi riasztások ritkán fordulnak elő, mivel ez azt jelenti, hogy a környezet biztonsága sérült. A kimenő riasztások tesztelésének elősegítése érdekében létre lett hozva egy teszt teljes tartománynév, amely riasztást aktivál. A kimenő tesztekhez használható testmaliciousdomain.eastus.cloudapp.azure.com .

  • Bejövő tesztelés – Riasztások várhatók a bejövő forgalomról, ha a DNAT-szabályok konfigurálva vannak a tűzfalon. Ez akkor is igaz, ha csak bizonyos források engedélyezettek a DNAT-szabályban, és a forgalom egyébként le van tiltva. Azure Firewall nem riasztást küld az összes ismert portszkennerről, csak azokról a képolvasókról, amelyekről ismert, hogy rosszindulatú tevékenységet is folytatnak.

Következő lépések