Menggunakan buku kerja Azure Firewall

Buku kerja Azure Firewall menyediakan kanvas fleksibel untuk analisis data Azure Firewall. Gunakan untuk membuat laporan visual yang kaya dalam portal Microsoft Azure. Anda dapat memanfaatkan beberapa Firewall yang diterapkan di Azure, dan menggabungkannya menjadi pengalaman interaktif terpadu.

Anda dapat memperoleh wawasan tentang peristiwa Azure Firewall, mempelajari tentang aturan aplikasi dan jaringan Anda, dan melihat statistik untuk aktivitas firewall di seluruh URL, port, dan alamat. Buku Kerja Azure Firewall memungkinkan Anda memfilter firewall dan grup sumber daya Anda, dan secara dinamis memfilter per kategori dengan himpunan data yang mudah dibaca saat menyelidiki masalah di log Anda.

Prasyarat

Sebelum memulai, aktifkan Log Azure Structured Firewall melalui portal Microsoft Azure.

Penting

Semua bagian berikut ini hanya valid untuk log terstruktur Firewall.

Jika Anda ingin menggunakan log warisan, Anda dapat mengaktifkan pembuatan log diagnostik dengan menggunakan portal Microsoft Azure. Kemudian buka Buku Kerja GitHub untuk Azure Firewall dan ikuti instruksi di halaman.

Selain itu, baca log dan metrik Azure Firewall untuk gambaran umum log dan metrik diagnostik yang tersedia untuk Azure Firewall.

Mulai Sekarang

Setelah Anda menyiapkan log terstruktur Firewall, gunakan buku kerja tersemat Azure Firewall dengan mengikuti langkah-langkah berikut:

  1. Di portal, buka sumber daya Azure Firewall Anda.

  2. Di bawah Pemantauan, pilih Buku Kerja.

  3. Di galeri, Anda bisa membuat buku kerja baru atau menggunakan buku kerja Azure Firewall yang sudah ada seperti yang diperlihatkan dalam gambar berikut:

    Cuplikan layar memperlihatkan galeri buku kerja firewall.

  4. Pilih ruang kerja Analitik Log dan satu atau beberapa nama firewall yang ingin Anda gunakan dalam buku kerja ini seperti yang diperlihatkan dalam gambar berikut:

    Cuplikan layar memperlihatkan ruang kerja dan pilihan Azure Firewall dalam buku kerja.

Bagian Buku Kerja

Buku kerja Azure Firewall memiliki tujuh tab, masing-masing membahas aspek layanan yang berbeda. Bagian berikut ini menjelaskan setiap tab.

Gambaran Umum

Tab gambaran umum memperlihatkan grafik dan statistik yang terkait dengan semua jenis peristiwa firewall yang dikumpulkan dari berbagai kategori pengelogan. Agregasi ini mencakup aturan jaringan, aturan aplikasi, DNS, Sistem Deteksi dan Pencegahan Intrusi (IDPS), Inteligensi Ancaman, dan banyak lagi. Widget yang tersedia di tab Gambaran Umum meliputi:

  • Peristiwa, menurut waktu: Menampilkan frekuensi peristiwa dari waktu ke waktu.
  • Peristiwa, menurut firewall dari waktu ke waktu: Menampilkan distribusi peristiwa di seluruh firewall dari waktu ke waktu.
  • Peristiwa, menurut kategori: Mengategorikan dan menghitung peristiwa.
  • Kategori peristiwa, menurut waktu: Menampilkan kategori peristiwa dari waktu ke waktu.
  • Rata-rata throughput lalu lintas firewall: Menampilkan rata-rata data yang melewati firewall.
  • Pemanfaatan Port SNAT: Menampilkan penggunaan port SNAT.
  • Jumlah Hit Aturan Jaringan (SUM): Menghitung pemicu aturan jaringan.
  • Jumlah Hit Aturan Aplikasi (SUM): Menghitung jumlah pemicu aturan aplikasi.

Cuplikan layar memperlihatkan tab gambaran umum Buku Kerja Azure Firewall.

Aturan aplikasi

Tab Aturan aplikasi menunjukkan statistik peristiwa terkait Lapisan 7 yang berkorelasi dengan aturan aplikasi spesifik Anda dalam kebijakan Azure Firewall. Widget berikut tersedia di tab Aturan aplikasi :

  • Penggunaan Aturan Aplikasi: Menunjukkan penggunaan aturan aplikasi.
  • FQDN yang Ditolak dari waktu ke waktu: Menampilkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) yang ditolak dari waktu ke waktu.
  • FQDN yang ditolak menurut hitungan: Jumlah FQDN yang ditolak.
  • FQDN yang diizinkan dari waktu ke waktu: Menampilkan FQDN yang diizinkan dari waktu ke waktu.
  • FQDN yang diizinkan berdasarkan jumlah: Jumlah FQDN yang diizinkan.
  • Kategori Web yang Diizinkan dari Waktu ke Waktu: Menampilkan kategori web yang diizinkan seiring waktu.
  • Kategori Web yang Diizinkan menurut hitungan: Menghitung kategori web yang diizinkan.
  • Kategori Situs Web yang Ditolak Seiring Waktu: Menampilkan kategori situs web yang ditolak seiring waktu.
  • Kategori Web yang Ditolak menurut hitungan: Jumlah kategori web yang ditolak.

Cuplikan layar memperlihatkan tab aturan aplikasi.

Aturan jaringan

Tab Aturan jaringan memperlihatkan statistik peristiwa terkait Lapisan 4 yang berkorelasi dengan aturan jaringan spesifik Anda dalam kebijakan Azure Firewall. Widget berikut ini tersedia di tab Aturan jaringan :

  • Tindakan aturan: Menampilkan tindakan yang diambil oleh aturan.
  • Port target: Menampilkan port yang ditargetkan dalam lalu lintas jaringan.
  • Tindakan DNAT: Menampilkan tindakan Destination Network Address Translation (DNAT).
  • GeoLokasi: Menunjukkan lokasi geografis yang terlibat dalam lalu lintas jaringan.
  • Tindakan aturan, menurut alamat IP: Menampilkan tindakan aturan yang dikategorikan oleh alamat IP.
  • Port target, menurut IP Sumber: Menampilkan port yang ditargetkan yang dikategorikan oleh alamat IP sumber.
  • DNATed dari waktu ke waktu: Menampilkan tindakan DNAT dari waktu ke waktu.
  • GeoLokasi dari waktu ke waktu: Menunjukkan lokasi geografis yang terlibat dalam lalu lintas jaringan dari waktu ke waktu.
  • Tindakan, menurut waktu: Menampilkan tindakan jaringan dari waktu ke waktu.
  • Semua peristiwa alamat IP dengan GeoLocation: Menampilkan semua peristiwa yang melibatkan alamat IP, dikategorikan berdasarkan lokasi geografis.

Cuplikan layar memperlihatkan tab aturan jaringan.

Perantara DNS

Tab ini relevan jika Anda menyiapkan Azure Firewall untuk berfungsi sebagai proksi DNS, berfungsi sebagai perantara untuk permintaan DNS dari komputer virtual klien ke server DNS. Tab Proksi DNS menyertakan berbagai widget yang dapat Anda gunakan:

  • Lalu Lintas Proksi DNS berdasarkan jumlah per Firewall: Menampilkan jumlah lalu lintas proksi DNS untuk setiap firewall.
  • Jumlah Proksi DNS menurut Nama Permintaan: Menghitung permintaan proksi DNS menurut nama permintaan.
  • Jumlah Permintaan Proksi DNS menurut IP Klien: Menghitung permintaan proksi DNS berdasarkan alamat IP klien.
  • Permintaan Proksi DNS dari waktu ke waktu oleh IP Klien: Menampilkan permintaan proksi DNS dari waktu ke waktu, dikategorikan oleh IP klien.
  • Informasi Proksi DNS: Menyediakan informasi log yang terkait dengan penyiapan proksi DNS Anda.

Cuplikan layar memperlihatkan tab proksi DNS.

Sistem Deteksi dan Pencegahan Intrusi (IDPS)

Tab statistik log IDPS menyediakan ringkasan peristiwa lalu lintas berbahaya dan tindakan pencegahan yang dilakukan layanan. Tab IDPS menyertakan widget berikut:

  • Jumlah Tindakan IDPS: Menghitung tindakan IDPS.
  • Jumlah Protokol IDPS: Menghitung protokol yang terdeteksi oleh IDPS.
  • Jumlah IDPS SignatureID: Menghitung deteksi IDPS berdasarkan ID signature.
  • Jumlah Alamat IP Sumber IDPS: Menghitung deteksi IDPS berdasarkan alamat IP sumber.
  • Tindakan IDPS yang difilter menurut Hitungan: Menghitung tindakan IDPS yang difilter.
  • Protokol IDPS yang difilter menurut Hitungan: Menghitung protokol IDPS yang difilter.
  • SignatureID IDPS yang Difilter Berdasarkan Jumlah: Menghitung deteksi IDPS yang terfilter berdasarkan SignatureID.
  • SourceIP yang difilter: Menampilkan IP sumber yang difilter yang terdeteksi oleh IDPS.
  • Jumlah IDPS Azure Firewall dari waktu ke waktu: Menunjukkan jumlah IDPS Azure Firewall dari waktu ke waktu.
  • Log IDPS Azure Firewall dengan GeoLocation: Menyediakan log IDPS Azure Firewall, yang dikategorikan berdasarkan lokasi geografis.

Cuplikan layar memperlihatkan tab IDPS.

Inteligensi Ancaman (TI)

Tab ini memberikan pandangan komprehensif tentang aktivitas inteligensi ancaman, menyoroti ancaman, tindakan, dan protokol yang paling umum. Ini mencantumkan lima nama domain yang sepenuhnya memenuhi syarat (FQDN) dan alamat IP yang terkait dengan ancaman ini, dan menunjukkan deteksi inteligensi ancaman dari waktu ke waktu. Anda juga dapat menganalisis log terperinci dari Inteligensi Ancaman Azure Firewall. Tab Inteligensi Ancaman mencakup widget berikut:

  • Jumlah Tindakan Intel Ancaman: Menghitung tindakan yang terdeteksi oleh Inteligensi Ancaman.
  • Jumlah Protokol Intel Ancaman: Menghitung protokol yang diidentifikasi oleh Inteligensi Ancaman.
  • 5 Jumlah FQDN Teratas: Menampilkan lima nama domain paling sering memenuhi syarat (FQDN).
  • Jumlah IP 5 Teratas: Menampilkan lima alamat IP teratas yang paling sering.
  • Ancaman Intelijen Azure Firewall Seiring Waktu: Menampilkan deteksi Intelijen Ancaman Azure Firewall seiring waktu.
  • Intelijen Ancaman Azure Firewall: Menyediakan log dari Intelijen Ancaman Azure Firewall.

Cuplikan layar memperlihatkan tab inteligensi ancaman.

Penyelidikan

Bagian investigasi memungkinkan eksplorasi dan pemecahan masalah. Ini memberikan detail tambahan seperti nama komputer virtual dan nama antarmuka jaringan yang terkait dengan inisiasi atau penghentian lalu lintas. Ini juga menetapkan korelasi antara alamat IP sumber dan nama domain yang sepenuhnya memenuhi syarat (FQDN) yang mereka coba akses, bersama dengan tampilan lokasi geografis lalu lintas Anda. Tab Investigasi mencakup widget berikut:

  • Traffic FQDN Menurut Hitungan: Menghitung traffic berdasarkan nama domain lengkap (FQDN).
  • Jumlah Alamat IP Sumber: Menghitung kemunculan alamat IP sumber.
  • Pencarian Sumber Daya Alamat IP Sumber: Mencari sumber daya yang terkait dengan alamat IP sumber.
  • Log Pencarian FQDN: Menyediakan log dari pencarian FQDN.
  • Azure Firewall Premium dengan Lokasi Geografis – Deteksi dan Pencegahan Intrusi (IDPS): Menampilkan deteksi Sistem Deteksi dan Pencegahan Intrusi (IDPS) Azure Firewall, yang dikategorikan berdasarkan lokasi geografis.

Cuplikan layar memperlihatkan tab investigasi.

Langkah berikutnya

  • Last updated on