Azure Firewall-munkafüzetek használata

Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív felületekké.

Betekintést nyerhet az Azure Firewall eseményeibe, megismerheti az alkalmazás- és hálózati szabályokat, és megtekintheti a tűzfaltevékenységek statisztikáit URL-címeken, portokon és címeken. Az Azure Firewall-munkafüzettel szűrheti a tűzfalakat és az erőforráscsoportokat, és kategóriánként dinamikusan szűrhet könnyen olvasható adatkészletekkel a naplókban található problémák kivizsgálásakor.

Előfeltételek

Mielőtt hozzákezd, engedélyezze az Azure Strukturált tűzfalnaplókat az Azure Portalon keresztül.

Fontos

Az alábbi szakaszok csak tűzfallal strukturált naplókra érvényesek.

Ha régi naplókat szeretne használni, az Azure Portalon engedélyezheti a diagnosztikai naplózást . Ezután nyissa meg az Azure Firewallhoz készült GitHub-munkafüzetet , és kövesse az oldalon található utasításokat.

Emellett olvassa el az Azure Firewall naplóit és metrikáit az Azure Firewallhoz elérhető diagnosztikai naplók és metrikák áttekintéséhez.

Első lépések

A tűzfal strukturált naplóinak beállítása után használja a beágyazott Azure Firewall-munkafüzeteket az alábbi lépések végrehajtásával:

  1. A portálon nyissa meg az Azure Firewall-erőforrást.

  2. A Figyelés csoportban válassza a Munkafüzetek lehetőséget.

  3. A katalógusban létrehozhat új munkafüzeteket, vagy használhatja a meglévő Azure Firewall-munkafüzetet az alábbi képen látható módon:

    Képernyőkép a tűzfal-munkafüzet gyűjteményről.

  4. Válassza ki a Log Analytics-munkaterületet és a munkafüzetben használni kívánt egy vagy több tűzfalnevet az alábbi képen látható módon:

    Képernyőkép a munkaterületről és az Azure Firewall kijelöléséről a munkafüzetben.

Munkafüzetszakaszok

Az Azure Firewall-munkafüzet hét lapból áll, amelyek mindegyike a szolgáltatás különböző aspektusait kezeli. A következő szakaszok ismertetik az egyes lapokat.

Áttekintés

Az Áttekintés lapon a különböző naplózási kategóriákból összesített összes tűzfalesemények összesítésével kapcsolatos grafikonok és statisztikák láthatók. Ez az összesítés tartalmazza a hálózati szabályokat, az alkalmazásszabályokat, a DNS-t, a behatolásészlelési és -megelőzési rendszert (IDPS), a fenyegetésfelderítést és egyebeket. Az Áttekintés lapon elérhető widgetek a következők:

  • Események idő szerint: Az esemény gyakoriságát jeleníti meg az idő függvényében.
  • Események, tűzfal szerint az idő függvényében: Az események időbeli eloszlását jeleníti meg a tűzfalak között.
  • Események kategória szerint: Kategorizálja és megszámolja az eseményeket.
  • Eseménykategóriák, idő szerint: Eseménykategóriák megjelenítése az idő függvényében.
  • A tűzfalforgalom átlagos átviteli sebessége: A tűzfalon áthaladó átlagos adatok megjelenítése.
  • SNAT-port kihasználtsága: Megjeleníti az SNAT-portok használatát.
  • Hálózati szabály találatainak száma (SZUM): A hálózati szabály eseményindítóinak száma.
  • Alkalmazásszabály-találatok száma (SZUM): Az alkalmazásszabály-eseményindítók megszámlálása.

Képernyőkép az Azure Firewall-munkafüzet áttekintési lapról.

Alkalmazásszabályok

Az Alkalmazásszabályok lapon a 7. réteghez kapcsolódó eseménystatisztikák láthatók, amelyek az Azure Firewall-szabályzat adott alkalmazásszabályaival korrelálnak. A következő widgetek érhetők el az Alkalmazásszabályok lapon:

  • Alkalmazásszabály-használat: Az alkalmazásszabályok használatát jeleníti meg.
  • Megtagadott teljes tartománynevek időbeli változása: Megjeleníti a megtagadott teljes tartománynevek (FQDN-ek) időbeli változását.
  • Megtagadott FQDN-ek száma: Megtagadott FQDN-ek számolása.
  • Engedélyezett teljes tartománynevek az idő függvényében: Megjeleníti az engedélyezett teljes tartományneveket az idő függvényében.
  • Engedélyezett teljes tartománynevek száma: Felsorolja az engedélyezett teljes tartományneveket.
  • Engedélyezett webkategóriák idővel: Megmutatja az engedélyezett webkategóriák időbeli alakulását.
  • Engedélyezett webkategóriák száma szerint: Az engedélyezett webkategóriák száma.
  • Megtagadott webkategóriák idő függvényében: A megtagadott webkategóriák megjelenítése az idő függvényében.
  • Megtagadott webkategóriák száma szerint: A letiltott webkategóriák száma.

Képernyőkép az alkalmazásszabályok lapról.

Hálózati szabályok

A Hálózati szabályok lapon a 4. réteghez kapcsolódó eseménystatisztikák láthatók, amelyek az Azure Firewall-szabályzatban megadott hálózati szabályokkal korrelálnak. A Hálózati szabályok lapon a következő widgetek érhetők el:

  • Szabályműveletek: A szabályok által végrehajtott műveleteket jeleníti meg.
  • Célportok: A hálózati forgalomban lévő célzott portokat jeleníti meg.
  • DNAT-műveletek: Megjeleníti a célhálózati címfordítás (DNAT) műveleteit.
  • Földrajzi hely: A hálózati forgalomban érintett földrajzi helyeket jeleníti meg.
  • Szabályműveletek IP-címek szerint: Ip-címek szerint kategorizált szabályműveleteket jelenít meg.
  • Célportok forrás IP-cím szerint: A célportok a forrás IP-címek szerint kategorizálva jelennek meg.
  • DNATed idővel: Megjeleníti a DNAT-műveleteket az idő függvényében.
  • Földrajzi helymeghatározás idővel: A hálózati forgalomban érintett földrajzi helyeket jeleníti meg az idő függvényében.
  • Műveletek idő szerint: A hálózati műveletek időbeli megjelenítése.
  • Minden IP-cím a GeoLocation szolgáltatással rendelkező eseményeket jeleníti meg: Megjeleníti az IP-címeket tartalmazó összes eseményt, földrajzi hely szerint kategorizálva.

Képernyőkép a hálózati szabályok lapról.

DNS-proxy

Ez a lap akkor releváns, ha beállítja az Azure Firewallt DNS-proxyként való működésre, amely közvetítőként szolgál az ügyfél virtuális gépekről egy DNS-kiszolgálóra irányuló DNS-kérelmekhez. A DNS-proxy lapon különböző vezérlők használhatók:

  • DNS-proxyforgalom tűzfalonkénti szám szerint: Megjeleníti az egyes tűzfalak DNS-proxy forgalmának számát.
  • DNS-proxyk száma kérelemnév szerint: A DNS-proxykérések száma kérelemnév alapján.
  • DNS-proxykérések száma az ügyfél IP-címe szerint: Megszámlálja a DNS-proxykéréseket az ügyfél IP-címe alapján.
  • DNS-proxykérés az ügyfél IP-címe alapján: Megjeleníti a DNS-proxykéréseket az idő függvényében, az ügyfél IP-címe szerint kategorizálva.
  • DNS-proxyadatok: A DNS-proxy beállításával kapcsolatos naplóinformációkat nyújt.

Képernyőkép a DNS-proxy lapról.

Behatolásészlelési és -megelőzési rendszer (IDPS)

Az IDPS naplóstatisztikák lapja összefoglalja a kártékony forgalmi eseményeket és a szolgáltatás által végrehajtott megelőző műveleteket. Az IDPS lap a következő widgeteket tartalmazza:

  • IDPS-műveletek száma: Az IDPS-műveletek száma.
  • IDPS-protokollok száma: Az IDPS által észlelt protokollok száma.
  • IDPS SignatureID-szám: Megszámolja az IDPS-észleléseket aláírás-azonosító alapján.
  • IDPS SourceIP-szám: Az IDPS-észlelések száma forrás IP-cím alapján.
  • Szűrt IDPS-műveletek száma szerint: A szűrt IDPS-műveletek száma.
  • Szűrt IDPS-protokollok száma: A szűrt IDPS-protokollok száma.
  • Szűrt IDPS SignatureID-k darabszám szerint: A szűrt IDPS-észlelések száma aláírás-azonosító alapján.
  • Szűrt SourceIP: Megjeleníti az IDPS által észlelt szűrt forrás IP-címeket.
  • Az Azure Firewall IDPS-száma az idő függvényében: Az Azure Firewall IDPS-számának megjelenítése az idő függvényében.
  • Az Azure Firewall IDPS-naplói a GeoLocation használatával: Földrajzi hely szerint kategorizált Azure Firewall IDPS-naplókat biztosít.

Képernyőkép az IDPS lapról.

Fenyegetésfelderítés (TI)

Ez a lap átfogó áttekintést nyújt a fenyegetésfelderítési tevékenységekről, kiemelve a leggyakoribb fenyegetéseket, műveleteket és protokollokat. Felsorolja az öt teljes tartománynevet (FQDN-t) és a fenyegetésekhez társított IP-címeket, és megjeleníti a fenyegetésfelderítés észlelését az idő függvényében. Az Azure Firewall fenyegetésfelderítési szolgáltatásából származó részletes naplókat is elemezheti. A Fenyegetésfelderítés lap a következő widgeteket tartalmazza:

  • Fenyegetésintelligencia-műveletek száma: A fenyegetésfelderítés által észlelt műveletek száma.
  • Threat Intel Protocol Count: A fenyegetésfelderítés által azonosított protokollok száma.
  • Az 5 leggyakoribb teljes tartománynév száma: Az öt leggyakoribb teljes tartománynév (FQDN) megjelenítése.
  • Az 5 leggyakoribb IP-cím: Az öt leggyakoribb IP-cím megjelenítése.
  • Azure Firewall fenyegetésintelligencia időben: Megjeleníti az Azure Firewall fenyegetésintelligencia-észleléseit az idő múlásával.
  • Azure Firewall Threat Intel: Naplókat biztosít az Azure Firewall fenyegetésfelderítéséből.

Képernyőkép a fenyegetésintelligencia lapról.

Vizsgálatok

A vizsgálati szakasz lehetővé teszi a feltárást és a hibaelhárítást. További részleteket tartalmaz, például a virtuális gép nevét és a forgalom elindításához vagy leállításához társított hálózati adapternevet. Emellett korrelációkat hoz létre a forrás IP-címek és az általuk elérni kívánt teljes tartománynevek (FQDN-ek) között, valamint a forgalom földrajzi helynézetét. A Vizsgálat lap a következő widgeteket tartalmazza:

  • Teljes tartománynév-forgalom darabszám szerint: A teljes tartománynevek (FQDN-k) szerinti forgalom megszámlálása.
  • Forrás IP-címeinek száma: A forrás IP-címek előfordulásainak száma.
  • Forrás IP-cím erőforráskeresése: Megkeresi a forrás IP-címekkel társított erőforrásokat.
  • Teljes tartománynév keresési naplói: A teljes tartománynév-keresésekből származó naplókat tartalmazza.
  • Azure Firewall Premium geohellyel – IDPS: Megjeleníti az Azure Firewall behatolásészlelési és -megelőzési rendszerének (IDPS) észlelését földrajzi hely szerint kategorizálva.

Képernyőkép a vizsgálati fülről.

Következő lépések

  • Last updated on