Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Engedélyezheti a fenyegetésintelligencia-alapú szűrést a tűzfal számára az ismert rosszindulatú IP-címek, teljes tartománynevek és URL-címek felé irányuló forgalom riasztásához és letiltásához. Az IP-címek, tartományok és URL-címek a Microsoft Threat Intelligence hírcsatornából származnak, amely több forrást is tartalmaz, köztük a Microsoft Cyber Security csapatát is.
Ha engedélyezve van a fenyegetésintelligencia-alapú szűrés, az Azure Firewall kiértékeli a fenyegetésintelligencia-szabályok közötti forgalmat, mielőtt NAT-, hálózati vagy alkalmazásszabályokat alkalmaz.
A rendszergazdák konfigurálhatják a tűzfalat úgy, hogy csak riasztási módban, illetve riasztási és megtagadási módban működjenek a fenyegetésintelligencia-szabály aktiválásakor. Alapértelmezés szerint a tűzfal csak riasztási módban működik. Ez a mód le van tiltva, vagy módosítható riasztásra és elutasításra.
Az engedélyezési listák definiálhatók úgy, hogy bizonyos teljes tartománynevek, IP-címek, tartományok vagy alhálózatok mentesüljenek a fenyegetésintelligencia-szűrés alól.
Kötegelt műveletek esetén a rendszergazdák feltölthetnek egy IP-címeket, tartományokat és alhálózatokat tartalmazó CSV-fájlt az engedélyezési lista feltöltéséhez.
Logs
Az alábbi naplórészlet egy aktivált szabályt mutat be:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. A kimenő riasztások teszteléséhez létezik egy olyan teljes tartománynév, amely riasztást aktivál. Használja
testmaliciousdomain.eastus.cloudapp.azure.coma kimenő tesztekhez.A tesztek előkészítéséhez és annak biztosításához, hogy ne kapjon DNS-feloldási hibát, konfigurálja a következő elemeket:
- Adjon hozzá egy ideiglenes rekordot a tesztszámítógép hosts fájljához. Windows rendszerű számítógépen például hozzáadhatja
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comaC:\Windows\System32\drivers\etc\hostsfájlt. - Győződjön meg arról, hogy a tesztelt HTTP/S-kérés alkalmazásszabályt használ, nem hálózati szabályt.
- Adjon hozzá egy ideiglenes rekordot a tesztszámítógép hosts fájljához. Windows rendszerű számítógépen például hozzáadhatja
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Riasztások akkor is megjelennek, ha a tűzfal csak bizonyos forrásokat engedélyez a DNAT-szabályban, és a forgalom egyébként el van utasítva. Az Azure Firewall nem riasztást küld az összes ismert portolvasóról; csak olyan szkennereken, amelyek rosszindulatú tevékenységet is folytatnak.
Next steps
- Az Azure Firewall veszélyforrások elleni védelmének felfedezése
- Tekintse meg az Azure Firewall Log Analytics-mintáit
- Megtudhatja, hogyan helyezhet üzembe és konfigurálhat Azure Firewallt
- A Microsoft biztonságiintelligencia-jelentésének áttekintése