Azure Firewall の脅威インテリジェンスベースのフィルター処理

  • [アーティクル]

ファイアウォールに対して脅威インテリジェンスベースのフィルター処理を有効にし、既知の悪意のある IP アドレス、FQDN、URL との間のトラフィックを警告して拒否することができます。 これらの IP アドレス、ドメイン、URL のソースは Microsoft の脅威インテリジェンス フィードです。これには、Microsoft のサイバー セキュリティ チームを含む複数のソースが含まれます。 インテリジェント セキュリティ グラフは Microsoft の脅威インテリジェンスの動力となるものであり、Microsoft Defender for Cloud を含む複数のサービスによって使用されます。

ファイアウォールの脅威インテリジェンス

脅威インテリジェンスベースのフィルター処理が有効になっている場合は、NAT ルール、ネットワーク ルール、またはアプリケーション ルールの前に、関連付けられているルールが処理されます。

ルールがトリガーされるときのアラートのみを記録するかどうかと、アラートおよび拒否モードを選択できます。

既定では、脅威インテリジェンスベースのフィルター処理は、アラート モードで有効になっています。 この機能の無効化やモードの変更は、ポータルのインターフェイスがお住まいの地域で使用可能になるまで実行できません。

脅威インテリジェンス ベースのフィルタリング ポータルのインターフェイス

ログ

次のログの抜粋は、トリガーされたルールを示しています。

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

テスト

  • 送信テスト - 環境が侵害されたことを意味するため、送信トラフィック アラートがまれに発生します。 テスト送信アラートの動作をサポートするため、アラートをトリガーするテスト用 FQDN が作成されています。 testmaliciousdomain.eastus.cloudapp.azure.com を送信テストに使用します。

  • テスト受信 - DNAT ルールがファイアウォールで構成されている場合、受信トラフィックにアラートが表示されることを想定できます。 これは、特定のソースのみが DNAT ルールで許可されている場合でも該当し、それ以外の場合はトラフィックが拒否されます。 Azure Firewall では、既知のすべてのポート スキャナーでアラートが発行されるわけではありません。悪意のあるアクティビティにも参加していることが知られているスキャナーのみです。

次のステップ