Delen via

Azure Firewall-werkmappen gebruiken

Azure Firewall Workbook biedt een flexibel canvas voor Azure Firewall-gegevensanalyse. U kunt deze gebruiken om uitgebreide visuele rapporten te maken in Azure Portal. U kunt gebruikmaken van meerdere firewalls die in Azure zijn geïmplementeerd en deze combineren in geïntegreerde interactieve ervaringen.

U kunt inzicht krijgen in Azure Firewall-gebeurtenissen, meer informatie over uw toepassings- en netwerkregels en statistieken voor firewallactiviteiten bekijken voor URL's, poorten en adressen. Met Azure Firewall Workbook kunt u uw firewalls en resourcegroepen filteren en dynamisch filteren per categorie met eenvoudig te lezen gegevenssets bij het onderzoeken van een probleem in uw logboeken.

Vereiste voorwaarden

Voordat u begint, schakelt u Azure Structured Firewall-logboeken in via Azure Portal.

Belangrijk

Alle volgende secties zijn alleen geldig voor gestructureerde firewalllogboeken.

Als u verouderde logboeken wilt gebruiken, kunt u diagnostische logboekregistratie inschakelen met behulp van Azure Portal. Ga vervolgens naar GitHub Workbook voor Azure Firewall en volg de instructies op de pagina.

Lees ook Azure Firewall-logboeken en metrische gegevens voor een overzicht van de diagnostische logboeken en metrische gegevens die beschikbaar zijn voor Azure Firewall.

Get started

Nadat u gestructureerde firewalllogboeken hebt ingesteld, bent u klaar om de in Azure Firewall ingesloten werkmappen te gebruiken met behulp van de volgende stappen:

  1. Navigeer in de portal naar uw Azure Firewall-resource.

  2. Onder Bewaking, selecteer Werkmappen.

  3. In de galerie kunt u nieuwe werkmappen maken of de bestaande Azure Firewall-werkmap gebruiken, zoals hier wordt weergegeven:

    Schermopname van de galerie met firewallwerkmappen.

  4. Selecteer de Log Analytics-werkruimte en een of meer firewallnamen die u in deze werkmap wilt gebruiken, zoals hier wordt weergegeven:

    Schermopname van gestructureerde logboeken.

Werkmapsecties

De Azure Firewall-werkmap heeft zeven tabbladen, die elk verschillende aspecten van de service aanpakken. In de volgende secties wordt elk tabblad beschreven.

Overzicht

Het tabblad Overzicht toont grafieken en statistieken met betrekking tot alle typen firewallgebeurtenissen die zijn samengevoegd vanuit verschillende categorieën voor logboekregistratie. Dit omvat netwerkregels, toepassingsregels, DNS, Inbraakdetectie en Preventiesysteem (IDPS), Bedreigingsinformatie en meer. De beschikbare widgets op het tabblad Overzicht zijn onder andere:

  • Gebeurtenissen, op tijd: geeft gebeurtenisfrequentie in de loop van de tijd weer.
  • Gebeurtenissen, per firewall in de loop van de tijd: toont gebeurtenisdistributie tussen firewalls in de loop van de tijd.
  • Gebeurtenissen, per categorie: Gebeurtenissen categoriseren en tellen.
  • Gebeurtenissencategorieën op tijd: Geeft gebeurteniscategorieën in de loop van de tijd weer.
  • Gemiddelde doorvoer van firewallverkeer: geeft de gemiddelde gegevens weer die via de firewall worden doorgegeven.
  • SNAT-poortgebruik: Geeft het gebruik van SNAT-poorten weer.
  • Aantal netwerkregeltreffers (SUM): hiermee worden netwerkregeltriggers geteld.
  • Aantal toepassingsregeltreffers (SUM): hiermee worden toepassingsregeltriggers geteld.

Overzicht van Azure Firewall-werkmap

Toepassingsregels

Op het tabblad Toepassingsregels worden gerelateerde gebeurtenissenstatistieken van laag 7 weergegeven die zijn gecorreleerd met uw specifieke toepassingsregels in Azure Firewall-beleid. De volgende widgets zijn beschikbaar op het tabblad Toepassingsregels:

  • Toepassingsregelgebruik: toont het gebruik van toepassingsregels.
  • Geweigerde FQDN's in de tijd: geeft de geweigerde FQDN's (Fully Qualified Domain Names) in de loop van de tijd weer.
  • Geweigerde FQDNs op basis van aantal: telt geweigerde FQDNs.
  • Toegestane FQDN-overuren: Geeft toegestane FQDN's in de loop van de tijd weer.
  • Toegestane FQDN's op aantal: aantal toegestane FQDN's.
  • Toegestane webcategorieën in de loop van de tijd: toont toegestane webcategorieën in de loop van de tijd.
  • Toegestane webcategorieën op aantal: Telt toegestane webcategorieën.
  • Overuren voor geweigerde webcategorieën: hiermee worden geweigerde webcategorieën in de loop van de tijd weergegeven.
  • Webcategorieën geweigerd op aantal: Aantal geweigerde webcategorieën.

Schermopname van het tabblad Toepassingsregels.

Netwerkregels

Op het tabblad Netwerkregels ziet u statistieken van gerelateerde laag 4-gebeurtenissen die zijn gecorreleerd met uw specifieke netwerkregels in Azure Firewall-beleid. De volgende widgets zijn beschikbaar op het tabblad Netwerkregels:

  • Regelacties: Hiermee worden acties weergegeven die worden uitgevoerd op basis van regels.
  • Doelpoorten: toont doelpoorten in netwerkverkeer.
  • DNAT-acties: Hiermee worden acties van Destination Network Address Translation (DNAT) weergegeven.
  • GeoLocation: toont geografische locaties die betrokken zijn bij netwerkverkeer.
  • Regelacties, op IP-adressen: regelacties weergegeven die zijn gecategoriseerd op IP-adressen.
  • Doelpoorten, op bron-IP: toont doelpoorten die zijn gecategoriseerd op bron-IP-adressen.
  • DNAT'ed in de loop van de tijd: Toont DNAT-acties gedurende de tijd.
  • GeoLocation in de loop van de tijd: toont geografische locaties die in de loop van de tijd betrokken zijn bij netwerkverkeer.
  • Acties, op tijd: Hiermee worden netwerkacties in de loop van de tijd weergegeven.
  • Alle IP-adressengebeurtenissen met GeoLocation: toont alle gebeurtenissen met betrekking tot IP-adressen, gecategoriseerd op geografische locatie.

Schermopname van het tabblad Netwerkregels.

DNS-proxy

Dit tabblad is relevant als u Azure Firewall hebt ingesteld om te functioneren als een DNS-proxy, die fungeert als intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server. Het tabblad DNS-proxy bevat verschillende widgets die u kunt gebruiken:

  • DNS-proxyverkeer per aantal per firewall: geeft het aantal DNS-proxyverkeer voor elke firewall weer.
  • AANTAL DNS-proxy's op aanvraagnaam: telt DNS-proxyaanvragen op aanvraagnaam.
  • Aantal DNS-proxyaanvragen per client-IP: telt DNS-proxyaanvragen per client-IP-adres.
  • DNS-proxyaanvraag in de loop van de tijd per client-IP: geeft DNS-proxyaanvragen in de loop van de tijd weer, gecategoriseerd op client-IP.
  • DNS-proxygegevens: bevat logboekinformatie met betrekking tot de installatie van uw DNS-proxy.

Schermopname van het tabblad DNS-proxy.

Inbraakdetectie en preventiesysteem (IDPS)

Het tabblad Statistieken van idPS-logboeken biedt een overzicht van schadelijke verkeersevenementen en de preventieve acties die door de service worden uitgevoerd. Op het tabblad IDPS vindt u verschillende widgets die u kunt gebruiken:

  • Aantal IDPS-acties: telt IDPS-acties.
  • Aantal IDPS-protocollen: telt protocollen die zijn gedetecteerd door IDPS.
  • IDPS SignatureID-aantal: telt IDPS-detecties per Signature ID.
  • IDPS SourceIP Count: telt IDPS-detecties op bron-IP-adres.
  • Gefilterde IDPS-acties op aantal: telt gefilterde IDPS-acties.
  • Gefilterde IDPS-protocollen op aantal: telt gefilterde IDPS-protocollen.
  • Gefilterde IDPS SignatureIDs op aantal: telt gefilterde IDPS-detecties op handtekening-id.
  • Gefilterde SourceIP: geeft gefilterde bron-IP-adressen weer die zijn gedetecteerd door IDPS.
  • Aantal Azure Firewall-IDPS's in de loop van de tijd: toont het aantal Azure Firewall-IDPS's in de loop van de tijd.
  • Azure Firewall IDPS-logboeken met GeoLocation: biedt Azure Firewall IDPS-logboeken, gecategoriseerd op geografische locatie.

Schermopname van het tabblad IDPS.

Bedreigingsinformatie (TI)

Dit tabblad biedt een uitgebreid overzicht van activiteiten met betrekking tot bedreigingsinformatie, waarbij de meest voorkomende bedreigingen, acties en protocollen worden belicht. De top vijf FQDN's (Fully Qualified Domain Names) en IP-adressen die aan deze bedreigingen zijn gekoppeld, worden weergegeven met detecties van bedreigingsinformatie in de loop der tijd. Daarnaast worden gedetailleerde logboeken van bedreigingsinformatie van Azure Firewall geleverd voor uitgebreide analyse. Op het tabblad Bedreigingsinformatie vindt u verschillende widgets die u kunt gebruiken:

  • Aantal Bedreigingsinformatie-acties: telt acties die zijn gedetecteerd door Bedreigingsinformatie.
  • Aantal bedreigingsprotocollen: telt protocollen die worden geïdentificeerd door Bedreigingsinformatie.
  • Top 5 FQDN-aantal: geeft de vijf meest voorkomende FQDN's (Fully Qualified Domain Names) weer.
  • Top 5 IP-adres tellingen: toont de top vijf meest voorkomende IP-adressen.
  • Azure Firewall Threat Intelligence in de loop van de tijd: Geeft Azure Firewall Threat Intelligence-detecties in de loop van de tijd weer.
  • Azure Firewall Threat Intel: biedt logboeken van bedreigingsinformatie van Azure Firewall.

Schermopname van het tabblad Bedreigingsinformatie.

Onderzoeken

De sectie Onderzoek maakt verkenning en probleemoplossing mogelijk, met aanvullende informatie zoals de naam van de virtuele machine en de netwerkinterfacenaam die is gekoppeld aan de start of beëindiging van het verkeer. Er worden ook correlaties vastgesteld tussen bron-IP-adressen, de FQDN's (Fully Qualified Domain Names) die ze proberen te openen, evenals de geografische locatieweergave van uw verkeer. Widgets beschikbaar op het tabblad Onderzoek:

  • FQDN-verkeer per aantal: Telt het verkeer bij volledig gekwalificeerde domeinnamen (FQDNs).
  • Aantal bron-IP-adressen: telt exemplaren van bron-IP-adressen.
  • Bron-IP-adres zoeken: zoekt resources op die zijn gekoppeld aan bron-IP-adressen.
  • FQDN Lookup-logboeken: biedt logboeken van FQDN-zoekacties.
  • Azure Firewall Premium met geolocatie : IDPS: geeft het inbraakdetectie- en preventiesysteem van Azure Firewall weer - (IDPS) - detecties, gecategoriseerd op geografische locatie.

Schermopname van het tabblad Onderzoek.

Volgende stappen

  • Last updated on