Azure Firewall 통합 문서 사용하기

  • 아티클

Azure Firewall 통합 문서는 Azure Firewall 데이터를 분석할 수 있도록 유연한 캔버스를 제공합니다. 이를 사용하여 Azure Portal 내에서 풍부한 시각적 보고서를 만들 수 있습니다. Azure에 걸쳐 배포된 여러 방화벽을 탭하여 통합된 대화형 환경으로 결합할 수 있습니다.

Azure Firewall 이벤트에 대한 인사이트를 얻고, 애플리케이션 및 네트워크 규칙에 관해 알아보고, URL, 포트 및 주소에서 방화벽 활동의 통계를 볼 수 있습니다. Azure Firewall 통합 문서를 사용하면 방화벽과 리소스 그룹을 필터링하고, 로그에서 문제를 조사할 때 읽기 쉬운 데이터 세트로 범주별로 동적으로 필터링할 수 있습니다.

필수 조건

시작하기 전에 Azure Portal을 통해 Azure 구조적 방화벽 로그를 사용하도록 설정합니다.

Important

다음 섹션은 모두 방화벽 구조적 로그에만 유효합니다.

레거시 로그를 사용하려는 경우 Azure Portal을 사용하여 진단 로깅을 사용하도록 설정할 수 있습니다. 그런 다음, Azure Firewall용 GitHub 통합 문서로 이동하여 페이지의 지침을 따릅니다.

또한 Azure Firewall 로그 및 메트릭에서 Azure Firewall에 사용할 수 있는 진단 로그와 메트릭의 개요를 읽어봅니다.

시작하기

방화벽 구조적 로그를 설정하면 다음 단계를 사용하여 Azure Firewall에 포함된 통합 문서를 사용하도록 설정됩니다.

  1. 포털에서 Azure Firewall 리소스로 이동합니다.

  2. 모니터링에서 통합 문서를 선택합니다.

  3. 갤러리에서 다음과 같이 새 통합 문서를 만들거나 기존 Azure Firewall 통합 문서를 사용할 수 있습니다.

    Screenshot showing the firewall workbook gallery.

  4. 다음과 같이 이 통합 문서에서 사용할 로그 분석 작업 영역 및 하나 이상의 방화벽 이름을 선택합니다.

    Screenshot showing structured logs.

통합 문서 섹션

Azure Firewall 통합 문서에는 서비스의 고유한 측면을 해결하는 7개의 탭이 있습니다. 다음 섹션에서는 각 탭에 대해 설명합니다.

개요

개요 탭에는 다양한 로깅 범주에서 집계된 모든 유형의 방화벽 이벤트와 관련된 그래프 및 통계가 표시됩니다. 여기에는 네트워크 규칙, 애플리케이션 규칙, DNS, IDPS(침입 탐지 및 방지 시스템), 위협 인텔리전스 등이 포함됩니다. 개요 탭에서 사용 가능한 위젯은 다음과 같습니다.

  • 이벤트, 시간별: 시간 경과에 따른 이벤트 빈도를 표시합니다.
  • 이벤트, 시간 경과에 따라 방화벽별: 시간 경과에 따른 방화벽 간 이벤트 분포를 표시합니다.
  • 이벤트, 범주별: 이벤트를 분류하고 이벤트 수를 계산합니다.
  • 이벤트 범주, 시간별: 시간 경과에 따른 이벤트 범주를 표시합니다.
  • 방화벽 트래픽의 평균 처리량: 방화벽을 통과하는 평균 데이터를 표시합니다.
  • SNAT 포트 사용률: SNAT 포트의 사용량을 표시합니다.
  • SUM(네트워크 규칙 적중 횟수): 네트워크 규칙 트리거 수를 계산합니다.
  • SUM(애플리케이션 규칙 적중 횟수): 애플리케이션 규칙 트리거 수를 계산합니다.

Azure Firewall Workbook overview

애플리케이션 규칙

애플리케이션 규칙 탭에는 Azure Firewall 정책의 특정 애플리케이션 규칙과 상관 관계가 있는 계층 7 관련 이벤트 통계가 표시됩니다. 애플리케이션 규칙 탭에서 사용할 수 있는 위젯은 다음과 같습니다.

  • 애플리케이션 규칙 사용: 애플리케이션 규칙의 사용을 보여줍니다.
  • 시간 경과에 따라 거부된 FQDN: 시간 경과에 따라 거부된 FQDN(정규화된 도메인 이름)을 표시합니다.
  • 개수별 거부된 FQDN: 거부된 FQDN 수를 계산합니다.
  • 시간 경과에 따라 허용된 FQDN: 시간 경과에 따라 허용된 FQDN을 표시합니다.
  • 개수별 허용된 FQDN: 허용된 FQDN 수를 계산합니다.
  • 시간 경과에 따라 허용된 웹 범주: 시간 경과에 따라 허용된 웹 범주를 표시합니다.
  • 개수별 허용된 웹 범주: 허용된 웹 범주 수를 계산합니다.
  • 시간 경과에 따라 거부된 웹 범주: 시간 경과에 따라 거부된 웹 범주를 표시합니다.
  • 개수별 거부된 웹 범주: 거부된 웹 범주 수를 계산합니다.

Screenshot showing the application rules tab.

네트워크 규칙

네트워크 규칙 탭에는 Azure Firewall 정책의 특정 네트워크 규칙과 상관 관계가 있는 계층 4 관련 이벤트 통계가 표시됩니다. 네트워크 규칙 탭에서 사용할 수 있는 위젯은 다음과 같습니다.

  • 규칙 작업: 규칙에서 수행한 작업을 표시합니다.
  • 대상 포트: 네트워크 트래픽에서 대상 포트를 표시합니다.
  • DNAT 작업: DNAT(대상 네트워크 주소 변환)의 동작을 표시합니다.
  • 지리적 위치: 네트워크 트래픽과 관련된 지리적 위치를 표시합니다.
  • IP 주소별 규칙 작업: IP 주소로 분류된 규칙 동작을 표시합니다.
  • 원본 IP별 대상 포트: 원본 IP 주소로 분류된 대상 포트를 표시합니다.
  • 시간 경과에 따라 DNAT됨: 시간 경과에 따른 DNAT 작업을 표시합니다.
  • 시간 경과에 따른 지리적 위치: 시간 경과에 따른 네트워크 트래픽과 관련된 지리적 위치를 표시합니다.
  • 작업, 시간별: 시간 경과에 따른 네트워크 작업을 표시합니다.
  • 지리적 위치를 사용하는 모든 IP 주소 이벤트: 지리적 위치별로 분류된, IP 주소와 관련된 모든 이벤트를 표시합니다.

Screenshot showing network rules tab.

DNS 프록시

이 탭은 클라이언트 가상 머신에서 DNS 서버로의 DNS 요청에 대한 중개자 역할을 하는 DNS 프록시로 작동하도록 Azure Firewall을 설정한 경우 관련이 있습니다. DNS 프록시 탭에는 사용할 수 있는 다양한 위젯이 포함되어 있습니다.

  • 방화벽당 개수별 DNS 프록시 트래픽: 각 방화벽에 대한 DNS 프록시 트래픽 수를 표시합니다.
  • 요청 이름별 DNS 프록시 수: 요청 이름별 DNS 프록시 요청 수를 계산합니다.
  • 클라이언트 IP별 DNS 프록시 요청 수: 클라이언트 IP 주소별로 DNS 프록시 요청 수를 계산합니다.
  • 클라이언트 IP별 시간 경과에 따른 DNS 프록시 요청: 클라이언트 IP로 분류된, 시간 경과에 따른 DNS 프록시 요청을 표시합니다.
  • DNS 프록시 정보: DNS 프록시 설정과 관련된 로그 정보를 제공합니다.

Screenshot showing the DNS proxy tab.

침입 탐지 및 방지 시스템(IDPS)

IDPS 로그 통계 탭은 악의적인 트래픽 이벤트 및 서비스에서 수행하는 예방 작업에 대한 요약을 제공합니다. IDPS 탭에서 사용할 수 있는 다양한 위젯을 찾을 수 있습니다.

  • IDPS 작업 수: IDPS 작업 수를 계산합니다.
  • IDPS 프로토콜 수: IDPS에서 탐지된 프로토콜 수를 계산합니다.
  • IDPS SignatureID 수: 서명 ID별로 IDPS 탐지 수를 계산합니다.
  • IDPS SourceIP 수: 원본 IP 주소별로 IDPS 탐지 수를 계산합니다.
  • 개수별 필터링된 IDPS 작업: 필터링된 IDPS 작업 수를 계산합니다.
  • 개수별 필터링된 IDPS 프로토콜: 필터링된 IDPS 프로토콜 수를 계산합니다.
  • 개수별 필터링된 IDPS SignatureID: 서명 ID별로 필터링된 IDPS 검색 수를 계산합니다.
  • 필터링된 SourceIP: IDPS에서 탐지된 필터링된 원본 IP를 표시합니다.
  • 시간 경과에 따른 Azure Firewall IDPS 수: 시간 경과에 따른 Azure Firewall IDPS 수를 표시합니다.
  • 지리적 위치를 사용하는 Azure Firewall IDPS 로그: 지리적 위치별로 분류된 Azure Firewall IDPS 로그를 제공합니다.

Screenshot showing the IDPS tab.

TI(위협 인텔리전스)

이 탭은 위협 인텔리전스 활동에 대한 빈틈없는 시야를 제공하여 가장 널리 퍼진 위협, 작업 및 프로토콜을 집중 조명합니다. 이러한 위협과 관련된 상위 5개의 FQDN(정규화된 도메인 이름) 및 IP 주소를 표시하여 시간에 따른 위협 인텔리전스 검색을 보여줍니다. 또한 포괄적인 분석을 위해 Azure Firewall의 위협 인텔리전스에 대한 자세한 로그가 제공됩니다. 위협 인텔리전스 탭 내에서 사용할 수 있는 다양한 위젯을 찾을 수 있습니다.

  • 위협 인텔리전스 작업 수: 위협 인텔리전스에서 탐지한 작업 수를 계산합니다.
  • 위협 인텔리전스 프로토콜 수: 위협 인텔리전스에서 식별된 프로토콜 수를 계산합니다.
  • 상위 5개 FQDN 수: 상위 5개의 FQDN(정규화된 도메인 이름)을 표시합니다.
  • 상위 5개 IP 수: 가장 자주 사용하는 상위 5개의 IP 주소를 표시합니다.
  • 시간 경과에 따른 Azure Firewall 위협 인텔리전스: 시간 경과에 따른 Azure Firewall 위협 인텔리전스 탐지를 표시합니다.
  • Azure Firewall 위협 인텔리전스: Azure Firewall의 위협 인텔리전스에서 로그를 제공합니다.

Screenshot showing the threat intelligence tab.

조사

조사 섹션에서는 가상 머신 이름 및 트래픽 시작 또는 종료와 관련된 네트워크 인터페이스 이름과 같은 추가 세부 정보를 제공하여 탐색 및 문제 해결이 가능합니다. 또한 원본 IP 주소, 액세스하려는 FQDN(정규화된 도메인 이름) 및 트래픽의 지리적 위치 보기 간에 상관 관계를 설정합니다. 조사 탭에서 사용할 수 있는 위젯:

  • 개수별 FQDN 트래픽: FQDN(정규화된 도메인 이름)별로 트래픽 수를 계산합니다.
  • 원본 IP 주소 수: 원본 IP 주소의 발생 횟수를 계산합니다.
  • 원본 IP 주소 리소스 조회: 원본 IP 주소와 연결된 리소스를 조회합니다.
  • FQDN 조회 로그: FQDN 조회의 로그를 제공합니다.
  • 지리적 위치가 있는 Azure Firewall 프리미엄 – IDPS: 지리적 위치별로 분류된 Azure Firewall의 IDPS(침입 탐지 및 방지 시스템) - 탐지를 표시합니다.

Screenshot showing the investigation tab.

다음 단계