Delen via

Wijzigingen in azure Firewall-regelset bijhouden

In dit artikel leest u hoe u wijzigingen in Azure Firewall-regelverzamelingsgroepen bewaakt en bijhoudt met behulp van Azure Resource Graph. Wijzigingen bijhouden helpt u bij het onderhouden van beveiligingsnaleving, het controleren van configuratiewijzigingen en het oplossen van problemen door een gedetailleerde geschiedenis van wijzigingen in de regelset op te geven.

Azure Resource Graph biedt analysegegevens voor wijzigingen waarmee u kunt bijhouden wanneer wijzigingen zijn gedetecteerd in Azure Firewall-regelverzamelingsgroepen. U kunt de details van de eigenschapsverandering en queryveranderingen op grote schaal bekijken binnen uw abonnement, beheergroep of tenant.

Met wijzigingen bijhouden voor Azure Firewall-regelverzamelingsgroepen kunt u het volgende doen:

  • Configuratiewijzigingen bewaken: alle wijzigingen in firewallregels en -beleidsregels bijhouden
  • Naleving onderhouden: audittrails genereren voor beveiligings- en nalevingsvereisten
  • Problemen oplossen: vaststellen wanneer er wijzigingen zijn aangebracht die van invloed kunnen zijn op de connectiviteit
  • Trends analyseren: Inzicht in patronen in regelwijzigingen in de loop van de tijd

Vereiste voorwaarden

Voordat u wijzigingen in de regelset kunt bijhouden, controleert u of u aan de volgende vereisten voldoet:

  • U hebt een Azure Firewall met geconfigureerde regelverzamelingsgroepen
  • U hebt de juiste machtigingen voor toegang tot Azure Resource Graph
  • Uw Azure Firewall maakt gebruik van Azure Firewall Policy (niet klassieke regels)

Toegang tot Azure Resource Graph Explorer

Als u query's voor het bijhouden van wijzigingen wilt uitvoeren, moet u toegang krijgen tot Azure Resource Graph Explorer:

  1. Meld u aan bij het Azure Portal
  2. Zoek en selecteer Resource Graph Explorer
  3. In het queryvenster kunt u de query's voor het bijhouden van wijzigingen uitvoeren die in de volgende secties worden beschreven

Eenvoudige query voor het bijhouden van wijzigingen

Gebruik deze query om een uitgebreide weergave te krijgen van alle wijzigingen in Azure Firewall-regelverzamelingsgroepen:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| extend parsedProperties = parse_json(properties)
| extend TargetResource = tostring(parsedProperties.targetResourceId),
         Timestamp = todatetime(parsedProperties.changeAttributes.timestamp),
         Changes = todynamic(parsedProperties.changes),
         ChangeType = tostring(parsedProperties.changeType),
         PreviousSnapshotId = tostring(parsedProperties.changeAttributes.previousResourceSnapshotId),
         NewSnapshotId = tostring(parsedProperties.changeAttributes.newResourceSnapshotId),
         CorrelationId = tostring(parsedProperties.changeAttributes.correlationId),
         ChangesCount = toint(parsedProperties.changeAttributes.changesCount),
         TenantId = tostring(tenantId),
         Location = tostring(location),
         SubscriptionId = tostring(subscriptionId),
         ResourceGroup = tostring(resourceGroup),
         FirewallPolicyName = extract('/firewallPolicies/([^/]+)/', 1, tostring(id))
| mv-expand ChangeKey = bag_keys(Changes)
| extend ChangeDetails = todynamic(Changes[tostring(ChangeKey)])
| extend RuleCollectionName = extract('properties\\.ruleCollections\\["([^"]+)"\\]', 1, tostring(ChangeKey))
| where isnotempty(RuleCollectionName)
| summarize Changes = make_list(pack("ChangeKey", ChangeKey, "PreviousValue", tostring(ChangeDetails.previousValue), "NewValue", tostring(ChangeDetails.newValue)))
    by Timestamp = format_datetime(Timestamp, 'yyyy-MM-dd HH:mm:ss'),
       TenantId,
       SubscriptionId,
       ResourceGroup,
       Location,
       TargetResource,
       FirewallPolicyName,
       RuleCollectionName,
       ChangeType,
       PreviousSnapshotId,
       NewSnapshotId,
       CorrelationId,
       ChangesCount
| project Timestamp,
          TenantId,
          SubscriptionId,
          ResourceGroup,
          Location,
          TargetResource,
          FirewallPolicyName,
          RuleCollectionName,
          ChangeType,
          PreviousSnapshotId,
          NewSnapshotId,
          CorrelationId,
          ChangesCount,
          Changes
| order by Timestamp desc

Inzicht in de queryresultaten

De query voor het bijhouden van wijzigingen retourneert de volgende informatie voor elke gedetecteerde wijziging:

Veld Description
Tijdstempel Wanneer de wijziging is opgetreden
SubscriptionId Azure-abonnement met de firewall
ResourceGroup Resourcegroep met het firewallbeleid
FirewallPolicyName Naam van het betrokken firewallbeleid
RuleCollectionName Naam van de betreffende regelverzameling
ChangeType Type wijziging (maken, bijwerken, verwijderen)
ChangesCount Aantal gewijzigde eigenschappen
Veranderingen Gedetailleerde lijst van wat is gewijzigd, inclusief vorige en nieuwe waarden
CorrelationId Unieke identificatie voor gerelateerde wijzigingen

Wijzigingen filteren op tijdsperiode

Als u zich wilt richten op recente wijzigingen, kunt u een tijdfilter toevoegen aan uw query:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where todatetime(properties.changeAttributes.timestamp) >= ago(7d)  // Last 7 days
// ... rest of query

Filteren op specifiek firewallbeleid

Wijzigingen voor een specifiek firewallbeleid bijhouden:

networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where id contains "/firewallPolicies/your-policy-name"
// ... rest of query

Automatische bewaking instellen

Overweeg voor continue bewaking het volgende in te stellen:

  • Geplande query's: Azure Logic Apps of Azure Automation gebruiken om query's uit te voeren volgens een schema
  • Waarschuwingen: Azure Monitor-waarschuwingen maken op basis van wijzigingspatronen
  • Rapporten: Resultaten exporteren naar opslag- of visualisatiehulpprogramma's voor rapportage

Beste praktijken

Bij het implementeren van het volgen van wijzigingen in een regelset:

  • Regelmatige controle: regelmatige uitvoering van query's instellen om snel wijzigingen te ondervangen
  • Bewaarbeleid: het plannen van langetermijn-opslag van wijzigingsgegevens voor naleving
  • Toegangsbeheer: De toegang tot wijzigingen bijhouden van gegevens beperken op basis van beveiligingsvereisten
  • Integratie: Overweeg om te integreren met uw bestaande SIEM- of bewakingshulpprogramma's

Probleemoplossingsproces

Als u geen verwachte wijzigingen in uw resultaten ziet:

  • Controleer of u Azure Firewall Policy gebruikt (geen klassieke regels)
  • Controleer of de periode in uw query betrekking heeft op wijzigingen
  • Zorg ervoor dat u over de benodigde machtigingen beschikt om toegang te krijgen tot Azure Resource Graph
  • Controleer of de resourcenamen in uw filters juist zijn

Verwante inhoud

  • Last updated on