Filtro basato sull'intelligence sulle minacce del firewall di Azure
È possibile abilitare il filtro basato sull'intelligence sulle minacce per il firewall per avvisare e negare il traffico da/verso indirizzi IP dannosi noti, FQDN e URL. Gli indirizzi IP, i domini e gli URL vengono originati dal feed microsoft Threat Intelligence, che include più origini, tra cui il team di Microsoft Cyber Security. Intelligent Security Graph supporta l'intelligence sulle minacce Microsoft e usa più servizi, tra cui Microsoft Defender for Cloud.
Se è stato abilitato il filtro basato sull'intelligence sulle minacce, il firewall elabora le regole associate prima di qualsiasi regola NAT, regole di rete o regole dell'applicazione.
Quando viene attivata una regola, è possibile scegliere di registrare un avviso oppure scegliere la modalità di avviso e negazione.
Per impostazione predefinita, il filtro basato sull'intelligence sulle minacce è in modalità di avviso. Non è possibile disattivare questa funzionalità o cambiare la modalità finché l'interfaccia del portale non diventa disponibile nella propria area.
È possibile definire elenchi di indirizzi consentiti in modo che l'intelligence per le minacce non filtri il traffico a uno qualsiasi dei nomi di dominio completi, indirizzi IP, intervalli o subnet elencati.
Per un'operazione batch, è possibile caricare un file CSV con un elenco di indirizzi IP, intervalli e subnet.
Log
L'estratto di log seguente mostra una regola attivata:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Test
Test in uscita : gli avvisi del traffico in uscita devono essere rari, perché significa che l'ambiente è compromesso. Per verificare il funzionamento degli avvisi in uscita, esiste un nome di dominio completo di test che attiva un avviso. Usare
testmaliciousdomain.eastus.cloudapp.azure.comper i test in uscita.Per preparare i test e per assicurarsi di non ottenere un errore di risoluzione DNS, configurare gli elementi seguenti:
- Aggiungere un record fittizio al file hosts nel computer di test. Ad esempio, in un computer che esegue Windows, è possibile aggiungere
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comalC:\Windows\System32\drivers\etc\hostsfile . - Assicurarsi che la richiesta HTTP/S testata sia consentita usando una regola dell'applicazione, non una regola di rete.
- Aggiungere un record fittizio al file hosts nel computer di test. Ad esempio, in un computer che esegue Windows, è possibile aggiungere
Test in ingresso : è possibile prevedere di visualizzare gli avvisi sul traffico in ingresso se il firewall ha regole DNAT configurate. Verranno visualizzati avvisi anche se il firewall consente solo origini specifiche sulla regola DNAT e il traffico viene altrimenti negato. Firewall di Azure non avvisa tutti gli scanner di porte noti, ma solo sugli scanner che interagiscono anche con attività dannose.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per