Azure Firewall の脅威インテリジェンスベースのフィルター処理
ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレス、FQDN、URL との間のトラフィックのアラートを発行し、拒否を行うことができます。 これらの IP アドレス、ドメイン、URL のソースは Microsoft の脅威インテリジェンス フィードです。これには、Microsoft のサイバー セキュリティ チームを含む複数のソースが含まれます。 インテリジェント セキュリティ グラフは Microsoft の脅威インテリジェンスの動力となるものであり、Microsoft Defender for Cloud を含む複数のサービスを使用します。
脅威インテリジェンスベースのフィルター処理が有効になっている場合は、ファイアウォールによって、NAT ルール、ネットワーク ルール、またはアプリケーション ルールの前に、関連付けられているルールが処理されます。
ルールがトリガーされたときに、単にアラートをログに記録することを選択できます。または、アラートと拒否のモードを選択できます。
既定では、脅威インテリジェンスベースのフィルター処理は、アラート モードです。 この機能の無効化やモードの変更は、ポータルのインターフェイスがお住まいの地域で使用可能になるまで実行できません。
許可リストを定義して、一覧に記載されている FQDN、IP アドレス、範囲、またはサブネットへのトラフィックが脅威インテリジェンスによってフィルター処理されないようにすることができます。
バッチ操作では、IP アドレス、範囲、サブネットの一覧を含む CSV ファイルをアップロードできます。
ログ
次のログの抜粋は、トリガーされたルールを示しています。
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
テスト
送信テスト - 環境が侵害されていることを意味するため、送信トラフィック アラートが発生することはまれです。 テスト送信アラートの動作をサポートするため、アラートをトリガーするテスト用 FQDN が存在します。
testmaliciousdomain.eastus.cloudapp.azure.comを送信テストに使用します。テストの準備を行い、DNS 解決エラーが発生しないようにするには、次の項目を構成します。
- テスト コンピューターの hosts ファイルにダミー レコードを追加します。 たとえば、Windows を実行しているコンピューターでは、
C:\Windows\System32\drivers\etc\hostsファイルに1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comを追加できます。 - テストされる HTTP/S 要求が、ネットワーク ルールではなくアプリケーション ルールを使用して許可されていることを確認します。
- テスト コンピューターの hosts ファイルにダミー レコードを追加します。 たとえば、Windows を実行しているコンピューターでは、
受信テスト - DNAT ルールがファイアウォールで構成されている場合、受信トラフィックにアラートが表示されることを想定できます。 ファイアウォールの DNAT ルールで特定のソースのみが許可され、それ以外のトラフィックが拒否されている場合でもアラートが表示されます。 Azure Firewall では、既知のすべてのポート スキャナーでアラートが発行されるわけではありません。悪意のあるアクティビティにも参加しているスキャナーのみです。