Menggunakan Buku Kerja Azure Firewall

  • Artikel

Buku kerja Azure Firewall menyediakan kanvas fleksibel untuk analisis data Azure Firewall. Anda dapat menggunakannya untuk membuat laporan visual yang kaya di dalam portal Microsoft Azure. Anda dapat memanfaatkan beberapa Firewall yang diterapkan di Azure, dan menggabungkannya menjadi pengalaman interaktif terpadu.

Anda dapat memperoleh wawasan tentang kejadian Azure Firewall, mempelajari tentang aplikasi dan aturan jaringan, serta melihat statistik untuk aktivitas firewall di seluruh URL, port, dan alamat. Azure Firewall Workbook memungkinkan Anda untuk memfilter firewall dan grup sumber daya Anda, serta secara dinamis memfilter per kategori dengan kumpulan data yang mudah dibaca saat menyelidiki masalah di log Anda.

Prasyarat

Sebelum memulai, aktifkan Log Firewall Terstruktur Azure melalui portal Azure.

Penting

Semua bagian berikut ini hanya valid untuk log terstruktur Firewall.

Jika Anda ingin menggunakan log warisan, Anda dapat mengaktifkan pembuatan log diagnostik menggunakan portal Azure. Kemudian buka Buku Kerja GitHub untuk Azure Firewall dan ikuti instruksi di halaman.

Baca juga log dan metrik Azure Firewall untuk mendapatkan gambaran umum tentang log diagnostik dan metrik yang tersedia untuk Azure Firewall.

Mulai

Setelah Menyiapkan log terstruktur Firewall, Anda sudah siap untuk menggunakan buku kerja tersemat Azure Firewall menggunakan langkah-langkah berikut:

  1. Di portal, navigasikan ke sumber daya Azure Firewall Anda.

  2. Di bawah Pemantauan, pilih Buku Kerja.

  3. Di Galeri, Anda bisa membuat buku kerja baru atau menggunakan buku kerja Azure Firewall yang sudah ada seperti yang diperlihatkan di sini:

    Screenshot showing the firewall workbook gallery.

  4. Pilih ruang kerja analitik log dan satu atau beberapa nama firewall yang ingin Anda gunakan dalam buku kerja ini seperti yang diperlihatkan di sini:

    Screenshot showing structured logs.

Bagian buku kerja

Buku kerja Azure Firewall memiliki tujuh tab, masing-masing membahas aspek layanan yang berbeda. Bagian berikut ini menjelaskan setiap tab.

Gambaran Umum

Tab gambaran umum menampilkan grafik dan statistik yang terkait dengan semua jenis peristiwa firewall yang dikumpulkan dari berbagai kategori pengelogan. Ini termasuk aturan jaringan, aturan aplikasi, DNS, Sistem Deteksi dan Pencegahan Intrusi (IDPS), Inteligensi Ancaman, dan banyak lagi. Widget yang tersedia di tab Gambaran Umum meliputi:

  • Peristiwa, menurut waktu: Menampilkan frekuensi peristiwa dari waktu ke waktu.
  • Peristiwa, menurut firewall dari waktu ke waktu: Menampilkan distribusi peristiwa di seluruh firewall dari waktu ke waktu.
  • Peristiwa, menurut kategori: Mengategorikan dan menghitung peristiwa.
  • Kategori peristiwa, menurut waktu: Menampilkan kategori peristiwa dari waktu ke waktu.
  • Throughput rata-rata lalu lintas firewall: Menampilkan data rata-rata yang melewati firewall.
  • Pemanfaatan Port SNAT: Menampilkan penggunaan port SNAT.
  • Jumlah Hit Aturan Jaringan (SUM): Menghitung pemicu aturan jaringan.
  • Jumlah Hit Aturan Aplikasi (SUM): Menghitung pemicu aturan aplikasi.

Azure Firewall Workbook overview

Aturan aplikasi

Tab Aturan aplikasi menunjukkan statistik peristiwa terkait Lapisan 7 yang berkorelasi dengan aturan aplikasi spesifik Anda dalam kebijakan Azure Firewall. Widget berikut tersedia di tab Aturan aplikasi:

  • Penggunaan Aturan Aplikasi: Menunjukkan penggunaan aturan aplikasi.
  • Overtime FQDN yang ditolak: Menampilkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) yang ditolak dari waktu ke waktu.
  • Menolak FQDN berdasarkan hitungan: Jumlah FQDN yang ditolak.
  • FQDN yang diizinkan lembur: Menampilkan FQDN yang diizinkan dari waktu ke waktu.
  • FQDN yang diizinkan berdasarkan hitungan: Jumlah FQDN yang diizinkan.
  • Kategori Web yang Diizinkan lembur: Menampilkan kategori web yang diizinkan dari waktu ke waktu.
  • Kategori Web yang Diizinkan menurut hitungan: Menghitung kategori web yang diizinkan.
  • Kategori Web yang Ditolak lembur: Menampilkan kategori web yang ditolak dari waktu ke waktu.
  • Kategori Web yang Ditolak menurut hitungan: Jumlah kategori web yang ditolak.

Screenshot showing the application rules tab.

Aturan jaringan

Tab Aturan jaringan memperlihatkan statistik peristiwa terkait Lapisan 4 yang berkorelasi dengan aturan jaringan spesifik Anda dalam kebijakan Azure Firewall. Widget berikut ini tersedia di tab Aturan jaringan:

  • Tindakan aturan: Menampilkan tindakan yang diambil oleh aturan.
  • Port target: Menampilkan port yang ditargetkan dalam lalu lintas jaringan.
  • Tindakan DNAT: Menampilkan tindakan Destination Network Address Translation (DNAT).
  • GeoLokasi: Menunjukkan lokasi geografis yang terlibat dalam lalu lintas jaringan.
  • Tindakan aturan, menurut alamat IP: Menampilkan tindakan aturan yang dikategorikan oleh alamat IP.
  • Port target, menurut IP Sumber: Menampilkan port yang ditargetkan yang dikategorikan oleh alamat IP sumber.
  • DNAT'ed dari waktu ke waktu: Menampilkan tindakan DNAT dari waktu ke waktu.
  • GeoLokasi dari waktu ke waktu: Menunjukkan lokasi geografis yang terlibat dalam lalu lintas jaringan dari waktu ke waktu.
  • Tindakan, menurut waktu: Menampilkan tindakan jaringan dari waktu ke waktu.
  • Semua alamat IP membahas peristiwa dengan GeoLocation: Menampilkan semua peristiwa yang melibatkan alamat IP, dikategorikan berdasarkan lokasi geografis.

Screenshot showing network rules tab.

Proksi DNS

Tab ini relevan jika Anda telah menyiapkan Azure Firewall untuk berfungsi sebagai proksi DNS, berfungsi sebagai perantara untuk permintaan DNS dari komputer virtual klien ke server DNS. Tab Proksi DNS menyertakan berbagai widget yang dapat Anda gunakan:

  • Lalu Lintas Proksi DNS berdasarkan jumlah per Firewall: Menampilkan jumlah lalu lintas proksi DNS untuk setiap firewall.
  • Jumlah Proksi DNS menurut Nama Permintaan: Menghitung permintaan proksi DNS menurut nama permintaan.
  • Jumlah Permintaan Proksi DNS menurut IP Klien: Menghitung permintaan proksi DNS berdasarkan alamat IP klien.
  • Permintaan Proksi DNS dari waktu ke waktu oleh IP Klien: Menampilkan permintaan proksi DNS dari waktu ke waktu, dikategorikan oleh IP klien.
  • Informasi Proksi DNS: Menyediakan informasi log yang terkait dengan penyiapan proksi DNS Anda.

Screenshot showing the DNS proxy tab.

Sistem Deteksi dan Pencegahan Intrusi (IDPS)

Tab statistik log IDPS menawarkan ringkasan peristiwa lalu lintas berbahaya dan tindakan pencegahan yang dilakukan oleh layanan. Di tab IDPS, Anda akan menemukan berbagai widget yang dapat Anda gunakan:

  • Jumlah Tindakan IDPS: Menghitung tindakan IDPS.
  • Jumlah Protokol IDPS: Menghitung protokol yang terdeteksi oleh IDPS.
  • Jumlah IDPS SignatureID: Menghitung deteksi IDPS menurut ID tanda tangan.
  • Jumlah SourceIP IDPS: Menghitung deteksi IDPS berdasarkan alamat IP sumber.
  • Tindakan IDPS yang difilter menurut Hitungan: Menghitung tindakan IDPS yang difilter.
  • Protokol IDPS yang difilter menurut Hitungan: Menghitung protokol IDPS yang difilter.
  • Tanda Tangan IDPS yang difilter menurut Hitungan: Menghitung deteksi IDPS yang difilter menurut ID tanda tangan.
  • SourceIP yang difilter: Menampilkan IP sumber yang difilter yang terdeteksi oleh IDPS.
  • Jumlah IDPS Azure Firewall dari waktu ke waktu: Menunjukkan jumlah IDPS Azure Firewall dari waktu ke waktu.
  • Log IDPS Azure Firewall dengan GeoLocation: Menyediakan log IDPS Azure Firewall, yang dikategorikan berdasarkan lokasi geografis.

Screenshot showing the IDPS tab.

Inteligensi Ancaman (TI)

Tab ini menawarkan perspektif menyeluruh tentang aktivitas inteligensi ancaman, menyoroti ancaman, tindakan, dan protokol yang paling umum. Ini menggambarkan lima Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) dan alamat IP teratas yang terkait dengan ancaman ini, menampilkan deteksi inteligensi ancaman dari waktu ke waktu. Selain itu, log terperinci dari Inteligensi Ancaman Azure Firewall dilengkapi untuk analisis komprehensif. Dalam tab Inteligensi Ancaman, Anda akan menemukan berbagai widget yang dapat Anda gunakan:

  • Jumlah Tindakan Intel Ancaman: Menghitung tindakan yang terdeteksi oleh Inteligensi Ancaman.
  • Jumlah Protokol Intel Ancaman: Menghitung protokol yang diidentifikasi oleh Inteligensi Ancaman.
  • 5 Jumlah FQDN Teratas: Menampilkan lima Nama Domain Yang Sepenuhnya Memenuhi Syarat (FQDN) teratas.
  • Jumlah IP 5 Teratas: Menampilkan lima alamat IP teratas yang paling sering.
  • Intel Ancaman Azure Firewall Dari Waktu ke Waktu: Menampilkan deteksi Inteligensi Ancaman Azure Firewall dari waktu ke waktu.
  • Intel Ancaman Azure Firewall: Menyediakan log dari Intel Ancaman Azure Firewall.

Screenshot showing the threat intelligence tab.

Penyelidikan

Bagian investigasi memungkinkan eksplorasi dan pemecahan masalah, menawarkan detail tambahan seperti nama komputer virtual dan nama antarmuka jaringan yang terkait dengan inisiasi atau penghentian lalu lintas. Ini juga menetapkan korelasi antara alamat IP sumber, Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) yang mereka coba akses serta tampilan lokasi geografis lalu lintas Anda. Widget tersedia di tab Investigasi:

  • Lalu Lintas FQDN menurut Hitungan: Menghitung lalu lintas berdasarkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN).
  • Jumlah Alamat IP Sumber: Menghitung kemunculan alamat IP sumber.
  • Pencarian Sumber Daya Alamat IP Sumber: Mencari sumber daya yang terkait dengan alamat IP sumber.
  • Log Pencarian FQDN: Menyediakan log dari pencarian FQDN.
  • Azure Firewall Premium dengan Lokasi Geografis – IDPS: Menampilkan Sistem Deteksi dan Pencegahan Intrusi Azure Firewall - (IDPS) - deteksi, dikategorikan berdasarkan lokasi geografis.

Screenshot showing the investigation tab.

Langkah berikutnya