Azure Firewall ブックの使用

  • [アーティクル]

Azure Firewall ブックにより、Azure Firewall のデータ分析のための柔軟なキャンバスが提供されます。 これを使用して、Azure portal 内で高度な視覚的レポートを作成できます。 Azure 全体でデプロイされる複数のファイアウォールを活用し、それらを結合して、統合された対話型エクスペリエンスにすることができます。

Azure Firewall のイベントの分析情報を得たり、アプリケーションやネットワークの規則について調べたり、URL、ポート、アドレスでのファイアウォール アクティビティの統計を確認したりできます。 Azure Firewall ブックを使用すると、ファイアウォールとリソース グループをフィルター処理したり、ログ内の問題を調査するときにデータセットが見やすくなるように、カテゴリごとに動的にフィルター処理したりできます。

前提条件

開始する前に、Azure portal を使用して Azure Structured Firewall ログを有効にします

重要

以降のすべてのセクションは、ファイアウォール構造化ログに対してのみ有効です。

レガシ ログを使用する場合は、Azure portal を使用して診断ログを有効にすることができます。 次に、GitHub Workbook for Azure Firewall移動し、ページの指示に従います。

また、「Azure Firewall のログとメトリック」を参照して、Azure Firewall で入手できる診断ログとメトリックの概要を確認してください。

はじめに

Firewall 構造化ログを設定したら、次の手順に従って、Azure Firewall 埋め込みブックを使用するように設定されます。

  1. ポータルで、Azure Firewall リソースに移動します。

  2. [監視] で [ブック] を選択します

  3. ギャラリーでは、次に示すように、新しいブックを作成したり、既存の Azure Firewall ブックを使用したりすることができます。

    Screenshot showing the firewall workbook gallery.

  4. 次に示すように、ログ分析ワークスペースと、このブックで使用する 1 つ以上のファイアウォール名を選択します。

    Screenshot showing structured logs.

ブックのセクション

Azure Firewall ブックには 7 つのタブがあり、それぞれがサービスの個別の側面に対応しています。 以降のセクションでは、各タブについて説明します。

概要

[概要] タブには、さまざまなログ カテゴリから集計されたすべての種類のファイアウォール イベントに関連するグラフと統計情報が表示されます。 これには、ネットワーク ルール、アプリケーション ルール、DNS、侵入検出および防止システム (IDPS)、脅威インテリジェンスなどが含まれます。 [概要] タブで使用できるウィジェットは次のとおりです。

  • 時間別のイベント: 時間の経過に伴うイベントの頻度を表示します。
  • 時間の経過に伴うファイアウォール別のイベント: 時間の経過に伴うファイアウォール間のイベント分散を示します。
  • カテゴリ別のイベント: イベントを分類してカウントします。
  • 時間別のイベント カテゴリ: 時間の経過に伴うイベント カテゴリが表示されます。
  • ファイアウォール トラフィックの平均スループット: ファイアウォールを通過する平均データを示します。
  • SNAT ポート使用率: SNAT ポートの使用状況を表示します。
  • ネットワーク ルール ヒット数 (SUM): ネットワーク ルール トリガーをカウントします。
  • アプリケーション ルール ヒット数 (SUM): アプリケーション ルール トリガーをカウントします。

Azure Firewall Workbook overview

アプリケーション ルール

[アプリケーション ルール] タブには、Azure Firewall ポリシーの特定のアプリケーション ルールと関連付けられたレイヤー 7 関連のイベントの統計情報が表示されます。 [アプリケーション ルール] タブでは、次のウィジェットを使用できます。

  • アプリケーション ルールの使用状況: アプリケーション ルールの使用状況を示します。
  • 拒否された FQDN の超過時間: 拒否された完全修飾 Doメイン 名前 (FQDN) が時間の経過と同時に表示されます。
  • 拒否された FQDN の数: 拒否された FQDN をカウントします。
  • 許可された FQDN の超過時間: 許可された FQDN が時間の経過と同時に表示されます。
  • 許可された FQDN の数: 許可された FQDN をカウントします。
  • 許可された Web カテゴリの超過時間: 許可されている Web カテゴリが時間の経過と同時に表示されます。
  • 許可された Web カテゴリの数: 許可された Web カテゴリをカウントします。
  • 拒否された Web カテゴリの超過時間: 拒否された Web カテゴリを時間の経過と同時に表示します。
  • 拒否された Web カテゴリの数: 拒否された Web カテゴリをカウントします。

Screenshot showing the application rules tab.

ネットワーク ルール

[ネットワーク ルール] タブには、Azure Firewall ポリシーの特定のネットワーク ルールと関連付けられたレイヤー 4 関連のイベントの統計情報が表示されます。 [ネットワーク ルール] タブでは、次のウィジェットを使用できます。

  • ルール アクション: ルールによって実行されたアクションを表示します。
  • ターゲット ポート: ネットワーク トラフィック内のターゲット ポートを表示します。
  • DNAT アクション: 宛先ネットワーク アドレス変換 (DNAT) のアクションを表示します。
  • GeoLocation: ネットワーク トラフィックに関係する地理的な場所を表示します。
  • ルール アクション (IP アドレス別): IP アドレス別に分類されたルール アクションが表示されます。
  • ソース IP 別のターゲット ポート: ソース IP アドレス別に分類されたターゲット ポートが表示されます。
  • 時間の経過に伴う DNAT: 時間の経過に伴う DNAT アクションを表示します。
  • 時間の経過に伴う位置情報: ネットワーク トラフィックに関連する地理的な場所が時間の経過と同時に表示されます。
  • アクション (時間別): ネットワーク アクションを時間の経過と同時に表示します。
  • GeoLocation を使用するすべての IP アドレス イベント: IP アドレスに関連するすべてのイベントを地理的な場所別に分類して表示します。

Screenshot showing network rules tab.

DNS プロキシ

このタブは、DNS プロキシとして機能するように Azure Firewall を設定し、クライアント仮想マシンから DNS サーバーへの DNS 要求の仲介役として機能する場合に関連します。 [DNS プロキシ] タブには、使用できるさまざまなウィジェットが含まれています。

  • ファイアウォールあたりの DNS プロキシ トラフィック数: 各ファイアウォールの DNS プロキシ トラフィック数を表示します。
  • DNS プロキシの要求名別のカウント: 要求名で DNS プロキシ要求をカウントします。
  • クライアント IP 別の DNS プロキシ要求数: クライアント IP アドレス別に DNS プロキシ要求をカウントします。
  • クライアント IP による DNS プロキシ要求: クライアント IP 別に分類された DNS プロキシ要求を時間の経過と同時に表示します。
  • DNS プロキシ情報: DNS プロキシの設定に関連するログ情報を提供します。

Screenshot showing the DNS proxy tab.

侵入検知および防止システム (IDPS)

[IDPS ログ統計] タブには、悪意のあるトラフィック イベントと、サービスによって実行される予防措置の概要が表示されます。 [IDPS] タブには、使用できるさまざまなウィジェットがあります。

  • IDPS アクション数: IDPS アクションをカウントします。
  • IDPS プロトコル数: IDPS によって検出されたプロトコルをカウントします。
  • IDPS SignatureID Count: 署名 ID で IDPS 検出をカウントします。
  • IDPS SourceIP Count: ソース IP アドレス別に IDPS 検出をカウントします。
  • フィルター処理された IDPS アクション数: フィルター処理された IDPS アクションをカウントします。
  • フィルター処理された IDPS プロトコル数: フィルター処理された IDPS プロトコルをカウントします。
  • フィルター処理された IDPS SignatureIDs by Count: シグネチャ ID でフィルター処理された IDPS 検出をカウントします。
  • フィルター処理された SourceIP: IDPS によって検出されたフィルター処理されたソース IP を表示します。
  • Azure Firewall IDPS の時間経過に伴うカウント: Azure Firewall IDPS の時間経過に伴うカウントが表示されます。
  • GeoLocation を使用した Azure Firewall IDPS ログ: 地理的な場所別に分類された Azure Firewall IDPS ログを提供します。

Screenshot showing the IDPS tab.

脅威インテリジェンス (TI)

このタブでは、脅威インテリジェンス アクティビティに関する完全な視点を提供し、最も一般的な脅威、アクション、プロトコルにスポットライトを当てます。 これらの脅威に関連付けられている完全修飾 Doメイン 名 (FQDN) と IP アドレスの上位 5 つを示し、時間の経過と共に脅威インテリジェンスの検出を示します。 さらに、包括的な分析のために、Azure Firewall の脅威インテリジェンスからの詳細なログが提供されます。 [脅威インテリジェンス] タブには、使用できるさまざまなウィジェットがあります。

  • 脅威 Intel Actions Count: 脅威インテリジェンスによって検出されたアクションをカウントします。
  • 脅威 Intel プロトコル数: 脅威インテリジェンスによって識別されるプロトコルをカウントします。
  • 上位 5 つの FQDN 数: 最も頻繁に使用される完全修飾 Doメイン 名 (FQDN) の上位 5 つを表示します。
  • 上位 5 つの IP 数: 最も頻繁に使用される上位 5 つの IP アドレスが表示されます。
  • Azure Firewall Threat Intel Over Time: 時間の経過に伴う Azure Firewall 脅威インテリジェンス検出が表示されます。
  • Azure Firewall Threat Intel: Azure Firewall の脅威インテリジェンスからのログを提供します。

Screenshot showing the threat intelligence tab.

調査

調査セクションでは、探索とトラブルシューティングが可能になり、トラフィックの開始または終了に関連付けられている仮想マシン名やネットワーク インターフェイス名などの追加の詳細が提供されます。 また、ソース IP アドレス、アクセスしようとしている完全修飾 Doメイン 名前 (FQDN) と、トラフィックの地理的な場所ビューの間に相関関係が確立されます。 [調査] タブで使用できるウィジェット:

  • FQDN トラフィック数: 完全修飾 Doメイン 名 (FQDN) ごとにトラフィックをカウントします。
  • 送信元 IP アドレス数: 送信元 IP アドレスの出現回数をカウントします。
  • ソース IP アドレス リソース参照: ソース IP アドレスに関連付けられているリソースを検索します。
  • FQDN 参照ログ: FQDN 参照からのログを提供します。
  • 地理的な場所を使用した Azure Firewall プレミアム - IDPS: Azure Firewall の侵入検出および防止システム (IDPS) - 検出を地理的な場所別に分類して表示します。

Screenshot showing the investigation tab.

次のステップ