Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La cartella di lavoro di Firewall di Azure offre un'area di disegno flessibile per l'analisi dei dati di Firewall di Azure. È possibile usarlo per creare report visivi avanzati nel portale di Azure. È possibile accedere a più firewall distribuiti in Azure e combinarli in esperienze interattive unificate.
È possibile ottenere informazioni dettagliate sugli eventi di Firewall di Azure, ottenere informazioni sull'applicazione e sulle regole di rete e visualizzare le statistiche per le attività del firewall tra URL, porte e indirizzi. La cartella di lavoro di Firewall di Azure consente di filtrare i firewall e i gruppi di risorse e filtrare dinamicamente per categoria con set di dati facili da leggere durante l'analisi di un problema nei log.
Prerequisiti
Prima di iniziare, attiva i log di firewall strutturati di Azure tramite il portale di Azure.
Importante
Tutte le sezioni seguenti sono valide solo per i log strutturati del firewall.
Per usare i log legacy, è possibile abilitare la registrazione diagnostica usando il portale di Azure. Passare quindi alla cartella di lavoro di GitHub per Firewall di Azure e seguire le istruzioni nella pagina.
Leggere anche log e metriche di Firewall di Azure per una panoramica dei log di diagnostica e delle metriche disponibili per Firewall di Azure.
Get started
Dopo aver configurato i log strutturati del firewall, è possibile usare le cartelle di lavoro incorporate di Firewall di Azure seguendo questa procedura:
Nel portale passare alla risorsa firewall di Azure.
In Monitoraggio selezionare Cartelle di lavoro.
Nella Gallery, puoi creare nuovi workbooks o usare il workbook Azure Firewall esistente, come illustrato di seguito:
Selezionare l'area di lavoro Log Analytics e uno o più nomi di firewall da usare in questa cartella di lavoro, come illustrato di seguito:
Sezioni della cartella di lavoro
La cartella di lavoro di Firewall di Azure include sette schede, ognuna che punta a aspetti distinti del servizio. Le sezioni seguenti descrivono ogni scheda.
Informazioni generali
La scheda Panoramica presenta grafici e statistiche correlati a tutti i tipi di eventi del firewall aggregati da varie categorie di registrazione. Sono incluse regole di rete, regole dell'applicazione, DNS, sistema di rilevamento e prevenzione delle intrusioni (IDPS), Intelligence sulle minacce e altro ancora. I widget disponibili nella scheda Panoramica includono:
- Eventi, per ora: visualizza la frequenza degli eventi nel tempo.
- Eventi, in base al firewall nel tempo: mostra la distribuzione degli eventi tra firewall nel tempo.
- Eventi, per categoria: classifica e conta eventi.
- Categorie di eventi, in base al tempo: visualizza le categorie di eventi nel tempo.
- Velocità effettiva media del traffico del firewall: mostra i dati medi che passano attraverso il firewall.
- Utilizzo delle porte SNAT: visualizza l'utilizzo delle porte SNAT.
- Numero di riscontri delle regole di rete (SUM): conta i trigger delle regole di rete.
- Numero di riscontri delle regole applicazioni (SUM): conta i trigger delle regole delle applicazioni.
Regole di applicazione
La scheda Regole applicazione mostra le statistiche degli eventi correlati al livello 7 correlate alle regole dell'applicazione specifiche nei criteri di Firewall di Azure. I widget seguenti sono disponibili nella scheda Regole applicazione:
- Utilizzo delle regole dell'applicazione: mostra l'utilizzo delle regole dell'applicazione.
- Nomi di dominio completo negati nel tempo: visualizza i nomi di dominio completi (FQDN) che sono stati negati nel tempo.
- Numero dei nomi di dominio completi negati: conta il numero di nomi di dominio completi negati.
- Nomi di dominio completi consentiti nel tempo: visualizza i nomi di dominio completi (FQDN) consentiti nel tempo.
- Nomi di dominio completi consentiti per conteggio: conta i nomi di dominio completi consentiti.
- Categorie Web consentite nel tempo: mostra le categorie Web consentite nel tempo.
- Categorie Web consentite per conteggio: Conteggia le categorie Web consentite.
- Categorie Web negate nel tempo: visualizza le categorie Web negate nel tempo.
- Categorie Web negate per numero: conta le categorie Web negate.
Regole di rete
La scheda Regole di rete mostra le statistiche degli eventi correlati al livello 4 correlate alle regole di rete specifiche nei criteri di Firewall di Azure. I widget seguenti sono disponibili nella scheda Regole di rete:
- Azioni delle regole: visualizza le azioni eseguite dalle regole.
- Porte di destinazione: mostra le porte di destinazione nel traffico di rete.
- Azioni DNAT: visualizza le azioni di Destination Network Address Translation (DNAT).
- GeoLocalizzazione: mostra le posizioni geografiche coinvolte nel traffico di rete.
- Azioni delle regole, in base a indirizzi IP: visualizza le azioni delle regole classificate in base a indirizzi IP.
- Porte di destinazione, in base all'INDIRIZZO IP di origine: mostra le porte di destinazione classificate in base agli indirizzi IP di origine.
- DNAT nel corso del tempo: visualizza le azioni DNAT nel tempo.
- GeoLocalizzazione nel corso del tempo: mostra le posizioni geografiche coinvolte nel traffico di rete nel corso del tempo.
- Azioni, in base al tempo: visualizza le azioni di rete nel tempo.
- Tutti gli eventi di indirizzi IP con GeoLocation: mostra tutti gli eventi che coinvolgono gli indirizzi IP, classificati in base alla posizione geografica.
Proxy DNS
Questa scheda è rilevante se è stato configurato Firewall di Azure per funzionare come proxy DNS, fungendo da intermediario per le richieste DNS da macchine virtuali client a un server DNS. La scheda Proxy DNS include vari widget che è possibile usare:
- Traffico proxy DNS per numero per firewall: visualizza il numero di traffico proxy DNS per ogni firewall.
- Numero di proxy DNS in base al nome della richiesta: conta le richieste proxy DNS in base al nome della richiesta.
- Numero di richieste proxy DNS per IP client: conta le richieste proxy DNS in base all'indirizzo IP del client.
- Richiesta proxy DNS nel tempo in base all'IP client: visualizza le richieste proxy DNS nel tempo, classificate in base all'IP client.
- Informazioni proxy DNS: fornisce informazioni di log correlate alla configurazione del proxy DNS.
Sistema di rilevamento e prevenzione delle intrusioni (IDPS)
La scheda Statistiche log IDPS offre un riepilogo degli eventi di traffico dannoso e delle azioni preventive eseguite dal servizio. Nella scheda IDPS sono disponibili vari widget che è possibile usare:
- IDPS Actions Count( Conteggio azioni IDPS): conta le azioni IDPS.
- IdPS Protocol Count: conta i protocolli rilevati da IDPS.
- IDPS SignatureID Count: conta i rilevamenti IDPS in base all'ID firma.
- IdPS SourceIP Count: conta i rilevamenti IDPS per indirizzo IP di origine.
- Azioni IDPS filtrate in base al conteggio: conteggia le azioni IDPS filtrate.
- Protocolli IDPS filtrati per conteggio: Conta i protocolli IDPS filtrati.
- IDPS SignatureID filtrato in base al conteggio: conta i rilevamenti IDPS filtrati in base all'ID firma.
- SourceIP filtrato: visualizza gli INDIRIZZI IP di origine filtrati rilevati da IDPS.
- Conteggio nel tempo di IDPS di Azure Firewall: mostra il conteggio nel tempo di IDPS di Azure Firewall.
- Log IDPS di Firewall di Azure con georilevazione: fornisce i log IDPS di Firewall di Azure, classificati in base alla posizione geografica.
Intelligence sulle minacce (TI)
Questa scheda offre una prospettiva approfondita sulle attività di intelligence sulle minacce, evidenziando le minacce, le azioni e i protocolli più diffusi. Delinea i primi cinque nomi di dominio completi (FQDN) e gli indirizzi IP associati a queste minacce, mostrando i rilevamenti di intelligence sulle minacce nel tempo. Inoltre, i log dettagliati di Intelligence sulle minacce di Firewall di Azure vengono forniti per un'analisi completa. Nella scheda Intelligence per le minacce sono disponibili vari widget che è possibile usare:
- Threat Intel Actions Count: conteggia le azioni rilevate da Intelligenza sulle Minacce.
- Threat Intel Protocol Count: conta i protocolli identificati da Threat Intelligence.
- Primi 5 nomi di dominio completi: visualizza i primi cinque nomi di dominio completi (FQDN) più frequenti.
- Top 5 IP Count :mostra i primi cinque indirizzi IP più frequenti.
- Informazioni dettagliate sulle minacce di Firewall di Azure nel tempo: visualizza i rilevamenti delle informazioni dettagliate sulle minacce di Firewall di Azure nel tempo.
- Informazioni dettagliate sulle minacce di Firewall di Azure: fornisce i log delle informazioni dettagliate sulle minacce di Firewall di Azure.
Indagini
La sezione di indagine consente l'esplorazione e la risoluzione dei problemi, offrendo dettagli aggiuntivi, ad esempio il nome della macchina virtuale e il nome dell'interfaccia di rete associati all'avvio o alla terminazione del traffico. Stabilisce anche correlazioni tra gli indirizzi IP di origine, i nomi di dominio completi (FQDN) che tentano di accedere e la visualizzazione della posizione geografica del traffico. Widget disponibili nella scheda Indagine:
- Traffico dei nomi di dominio completi per conteggio: conta il traffico in base ai nomi di dominio completi (FQDN).
- Numero di indirizzi IP di origine: conta le occorrenze degli indirizzi IP di origine.
- Ricerca Risorse Indirizzo IP di Origine: cerca le risorse associate agli indirizzi IP di origine.
- Log di ricerca FQDN: fornisce i log dalle ricerche FQDN.
- Firewall di Azure Premium con posizione geografica - IDPS: visualizza il sistema di rilevamento e prevenzione delle intrusioni di Firewall di Azure - (IDPS) - rilevamenti, classificati in base alla posizione geografica.
Passaggi successivi
- Altre informazioni sulla diagnostica di Firewall di Azure
- Informazioni su come tenere traccia delle modifiche del set di regole usando Azure Resource Graph