Azure Firewall ブックには、Azure Firewall データ分析用の柔軟なキャンバスが用意されています。 これを使用して、Azure portal 内で豊富なビジュアル レポートを作成します。 Azure 全体にデプロイされた複数のファイアウォールを利用し、それらを統合された対話型エクスペリエンスに組み合わせることができます。
Azure Firewall イベントに関する分析情報を取得し、アプリケーションとネットワークルールについて学習し、URL、ポート、アドレスにまたがるファイアウォール アクティビティの統計情報を確認できます。 Azure Firewall ブックを使用すると、ファイアウォールとリソース グループをフィルター処理し、ログの問題を調査するときに、読みやすいデータ セットを使用してカテゴリごとに動的にフィルター処理できます。
[前提条件]
開始する前に、Azure portal を使用して Azure Structured Firewall ログ を有効にします。
Important
以降のすべてのセクションは、ファイアウォール構造化ログに対してのみ有効です。
レガシ ログを使用する場合は、Azure portal を使用して 診断ログ を有効にすることができます。 次に、 GitHub Workbook for Azure Firewall に移動し、ページの指示に従います。
また、 Azure Firewall で使用できる診断ログとメトリック の概要については、Azure Firewall のログとメトリックを参照してください。
概要
ファイアウォール構造化ログを設定したら、次の手順に従って Azure Firewall 埋め込みブックを使用します。
ポータルで、Azure Firewall リソースに移動します。
監視 で ワークブック を選択します。
ギャラリーでは、次の図に示すように、新しいブックを作成することも、既存の Azure Firewall ブックを使用することもできます。
次の図に示すように、このブックで使用する Log Analytics ワークスペースと 1 つ以上のファイアウォール名を選択します。
ワークブックのセクション
Azure Firewall ブックには 7 つのタブがあり、それぞれがサービスの個別の側面に対応しています。 以降のセクションでは、各タブについて説明します。
概要
[概要] タブには、さまざまなログ カテゴリから集計されたすべての種類のファイアウォール イベントに関連するグラフと統計情報が表示されます。 この集計には、ネットワーク ルール、アプリケーション ルール、DNS、侵入検出および防止システム (IDPS)、脅威インテリジェンスなどが含まれます。 [概要] タブで使用できるウィジェットは次のとおりです。
- 時間別のイベント: 時間の経過に伴うイベントの頻度を表示します。
- 時間の経過に伴うファイアウォール別のイベント: 時間の経過に伴うファイアウォール間のイベント分散を示します。
- カテゴリ別のイベント: イベントを分類してカウントします。
- 時間別のイベント カテゴリ: 時間の経過に伴うイベント カテゴリが表示されます。
- ファイアウォール トラフィックの平均スループット: ファイアウォールを通過する平均データを示します。
- SNAT ポート使用率: SNAT ポートの使用状況を表示します。
- ネットワーク ルール ヒット数 (SUM): ネットワーク ルール トリガーをカウントします。
- アプリケーション ルール ヒット数 (SUM): アプリケーション ルール トリガーをカウントします。
![Azure Firewall ブックの [概要] タブを示すスクリーンショット。](media/firewall-workbook/firewall-workbook-overview.png#lightbox)
アプリケーション ルール
[ アプリケーション ルール ] タブには、Azure Firewall ポリシーの特定のアプリケーション ルールと関連付けられたレイヤー 7 関連のイベントの統計情報が表示されます。 [ アプリケーション ルール ] タブでは、次のウィジェットを使用できます。
- アプリケーション ルールの使用状況: アプリケーション ルールの使用状況を示します。
- 一定期間内の拒否された FQDN: 一定期間内の拒否された完全修飾ドメイン名 (FQDN) 。
- 拒否された FQDN の数: 拒否された FQDN をカウントします。
- 時間の経過に伴う許可された FQDN: 時間の経過に伴う許可された FQDN を表示します。
- 許可された FQDN (カウント別): 許可されている FQDN をカウントします。
- 許可された Web カテゴリの超過時間: 許可されている Web カテゴリが時間の経過と同時に表示されます。
- 許可された Web カテゴリの数: 許可された Web カテゴリをカウントします。
- 拒否された Web カテゴリの超過時間: 拒否された Web カテゴリを時間の経過と同時に表示します。
- 拒否された Web カテゴリの数: 拒否された Web カテゴリをカウントします。
![[アプリケーション ルール] タブを示すスクリーンショット。](media/firewall-workbook/application-rules-tab.png#lightbox)
ネットワーク ルール
[ ネットワーク ルール ] タブには、Azure Firewall ポリシーの特定のネットワーク ルールと関連付けられたレイヤー 4 関連のイベントの統計情報が表示されます。 [ ネットワーク ルール ] タブでは、次のウィジェットを使用できます。
- ルール アクション: ルールによって実行されたアクションを表示します。
- ターゲット ポート: ネットワーク トラフィック内のターゲット ポートを表示します。
- DNAT アクション: 宛先ネットワーク アドレス変換 (DNAT) のアクションを表示します。
- GeoLocation: ネットワーク トラフィックに関係する地理的な場所を表示します。
- ルール アクション (IP アドレス別): IP アドレス別に分類されたルール アクションが表示されます。
- ソース IP 別のターゲット ポート: ソース IP アドレス別に分類されたターゲット ポートが表示されます。
- 時間の経過における DNAT: DNAT アクションを時間の経過と共に表示します。
- 時間の経過に伴う位置情報: ネットワーク トラフィックに関連する地理的な場所が時間の経過と同時に表示されます。
- アクション (時間別): ネットワーク アクションを時間の経過と同時に表示します。
- GeoLocation を使用するすべての IP アドレス イベント: IP アドレスに関連するすべてのイベントを地理的な場所別に分類して表示します。
![[ネットワーク ルール] タブを示すスクリーンショット。](media/firewall-workbook/network-rules-tab.png#lightbox)
DNS プロキシ
このタブは、DNS プロキシとして機能するように Azure Firewall を設定し、クライアント仮想マシンから DNS サーバーへの DNS 要求の仲介役として機能する場合に関連します。 [DNS プロキシ] タブには、使用できるさまざまなウィジェットが含まれています。
- ファイアウォールあたりの DNS プロキシ トラフィック数: 各ファイアウォールの DNS プロキシ トラフィック数を表示します。
- DNS プロキシの要求名別のカウント: 要求名で DNS プロキシ要求をカウントします。
- クライアント IP 別の DNS プロキシ要求数: クライアント IP アドレス別に DNS プロキシ要求をカウントします。
- クライアント IP による DNS プロキシ要求: クライアント IP 別に分類された DNS プロキシ要求を時間の経過と同時に表示します。
- DNS プロキシ情報: DNS プロキシの設定に関連するログ情報を提供します。
![[DNS プロキシ] タブを示すスクリーンショット。](media/firewall-workbook/dns-proxy-tab.png#lightbox)
侵入検知および防止システム (IDPS)
[IDPS ログ統計] タブには、悪意のあるトラフィック イベントと、サービスが実行する予防措置の概要が表示されます。 [IDPS] タブには、次のウィジェットが含まれています。
- IDPS アクション数: IDPS アクションをカウントします。
- IDPS プロトコル数: IDPS によって検出されたプロトコルをカウントします。
- IDPS SignatureID Count: 署名 ID で IDPS 検出をカウントします。
- IDPS SourceIP Count: ソース IP アドレス別に IDPS 検出をカウントします。
- フィルター処理された IDPS アクション数: フィルター処理された IDPS アクションをカウントします。
- フィルター処理された IDPS プロトコル数: フィルター処理された IDPS プロトコルをカウントします。
- シグネチャ ID によってフィルターされた IDPS 検出のカウント: シグネチャ ID ごとにフィルターされた IDPS 検出数を数えます。
- フィルター処理された SourceIP: IDPS によって検出されたフィルター処理されたソース IP を表示します。
- Azure Firewall IDPS の時間経過に伴うカウント: Azure Firewall IDPS の時間経過に伴うカウントが表示されます。
- GeoLocation を使用した Azure Firewall IDPS ログ: 地理的な場所別に分類された Azure Firewall IDPS ログを提供します。
![[IDPS] タブを示すスクリーンショット。](media/firewall-workbook/idps-tab.png#lightbox)
脅威インテリジェンス (TI)
このタブには、脅威インテリジェンス アクティビティの包括的なビューが表示され、最も一般的な脅威、アクション、プロトコルが強調表示されます。 これらの脅威に関連付けられている上位 5 つの完全修飾ドメイン名 (FQDN) と IP アドレスが一覧表示され、時間の経過と共に脅威インテリジェンスの検出が表示されます。 Azure Firewall の脅威インテリジェンスから詳細なログを分析することもできます。 [脅威インテリジェンス] タブには、次のウィジェットが含まれています。
- 脅威インテリジェンスアクションカウント: 脅威インテリジェンスによって検出されたアクションをカウントします。
- 脅威 Intel プロトコル数: 脅威インテリジェンスによって識別されるプロトコルをカウントします。
- 上位 5 つの FQDN 数: 最も頻繁に使用される上位 5 つの完全修飾ドメイン名 (FQDN) が表示されます。
- 上位 5 つの IP 数: 最も頻繁に使用される上位 5 つの IP アドレスが表示されます。
- Azure Firewall 脅威インテリジェンス (時系列): Azure Firewall 脅威インテリジェンスの検出数を時系列で表示します。
- Azure Firewall Threat Intel: Azure Firewall の脅威インテリジェンスからのログを提供します。
![[脅威インテリジェンス] タブを示すスクリーンショット。](media/firewall-workbook/threat-intelligence-tab.png#lightbox)
調査
調査セクションでは、探索とトラブルシューティングが可能になります。 仮想マシン名や、トラフィックの開始または終了に関連付けられているネットワーク インターフェイス名などの詳細が提供されます。 また、ソース IP アドレスと、アクセスしようとしている完全修飾ドメイン名 (FQDN) と、トラフィックの地理的な場所ビューとの間に相関関係が確立されます。 [調査] タブには、次のウィジェットが含まれています。
- FQDN トラフィック数: 完全修飾ドメイン名 (FQDN) でトラフィックをカウントします。
- 送信元 IP アドレス数: 送信元 IP アドレスの出現回数をカウントします。
- ソース IP アドレス リソース参照: ソース IP アドレスに関連付けられているリソースを検索します。
- FQDN 参照ログ: FQDN 参照からのログを提供します。
- Azure Firewall Premium と地理的な場所 – IDPS: Azure Firewall の侵入検出および防止システム (IDPS) 検出を地理的な場所別に分類して表示します。
![[調査] タブを示すスクリーンショット。](media/firewall-workbook/investigation-tab.png#lightbox)
次のステップ
- Azure Firewall 診断の詳細を確認します。
- Azure Resource Graph を使用して ルール セットの変更を追跡 する方法について説明します。