Azure Firewall-werkmappen gebruiken

  • Artikel

Azure Firewall Workbook biedt een flexibel canvas voor Azure Firewall-gegevensanalyse. U kunt deze gebruiken om uitgebreide visuele rapporten te maken in Azure Portal. U kunt gebruikmaken van meerdere firewalls die in Azure zijn geïmplementeerd en deze combineren in geïntegreerde interactieve ervaringen.

U kunt inzicht krijgen in Azure Firewall-gebeurtenissen, meer informatie over uw toepassings- en netwerkregels en statistieken voor firewallactiviteiten bekijken voor URL's, poorten en adressen. Met Azure Firewall Workbook kunt u uw firewalls en resourcegroepen filteren en dynamisch filteren per categorie met eenvoudig te lezen gegevenssets bij het onderzoeken van een probleem in uw logboeken.

Vereisten

Voordat u begint, schakelt u Azure Structured Firewall-logboeken in via Azure Portal.

Belangrijk

Alle volgende secties zijn alleen geldig voor gestructureerde firewalllogboeken.

Als u verouderde logboeken wilt gebruiken, kunt u diagnostische logboekregistratie inschakelen met behulp van Azure Portal. Ga vervolgens naar GitHub Workbook voor Azure Firewall en volg de instructies op de pagina.

Lees ook Azure Firewall-logboeken en metrische gegevens voor een overzicht van de diagnostische logboeken en metrische gegevens die beschikbaar zijn voor Azure Firewall.

Aan de slag

Nadat u gestructureerde firewalllogboeken hebt ingesteld, bent u klaar om de in Azure Firewall ingesloten werkmappen te gebruiken met behulp van de volgende stappen:

  1. Navigeer in de portal naar uw Azure Firewall-resource.

  2. Selecteer Werkmappen onder Bewaking.

  3. In de galerie kunt u nieuwe werkmappen maken of de bestaande Azure Firewall-werkmap gebruiken, zoals hier wordt weergegeven:

    Screenshot showing the firewall workbook gallery.

  4. Selecteer de Log Analytics-werkruimte en een of meer firewallnamen die u in deze werkmap wilt gebruiken, zoals hier wordt weergegeven:

    Screenshot showing structured logs.

Werkmapsecties

De Azure Firewall-werkmap heeft zeven tabbladen, die elk verschillende aspecten van de service aanpakken. In de volgende secties wordt elk tabblad beschreven.

Overzicht

Het tabblad Overzicht toont grafieken en statistieken met betrekking tot alle typen firewallgebeurtenissen die zijn samengevoegd vanuit verschillende categorieën voor logboekregistratie. Dit omvat netwerkregels, toepassingsregels, DNS, Inbraakdetectie en Preventiesysteem (IDPS), Bedreigingsinformatie en meer. De beschikbare widgets op het tabblad Overzicht zijn onder andere:

  • Gebeurtenissen, op tijd: geeft gebeurtenisfrequentie in de loop van de tijd weer.
  • Gebeurtenissen, per firewall in de loop van de tijd: toont gebeurtenisdistributie tussen firewalls in de loop van de tijd.
  • Gebeurtenissen, per categorie: Gebeurtenissen categoriseren en tellen.
  • Gebeurtenissencategorieën op tijd: Geeft gebeurteniscategorieën in de loop van de tijd weer.
  • Gemiddelde doorvoer van firewallverkeer: geeft de gemiddelde gegevens weer die via de firewall worden doorgegeven.
  • SNAT-poortgebruik: Geeft het gebruik van SNAT-poorten weer.
  • Aantal netwerkregeltreffers (SUM): hiermee worden netwerkregeltriggers geteld.
  • Aantal toepassingsregeltreffers (SUM): hiermee worden toepassingsregeltriggers geteld.

Azure Firewall Workbook overview

Toepassingsregels

Op het tabblad Toepassingsregels worden gerelateerde gebeurtenissenstatistieken van laag 7 weergegeven die zijn gecorreleerd met uw specifieke toepassingsregels in Azure Firewall-beleid. De volgende widgets zijn beschikbaar op het tabblad Toepassingsregels:

  • Toepassingsregelgebruik: toont het gebruik van toepassingsregels.
  • De overuren van FQDN zijn geweigerd: geeft in de loop van de tijd de FQDN's (Fully Qualified Domain Names) weer.
  • FQDN's geweigerd op aantal: aantal geweigerde FQDN's.
  • Toegestane FQDN-overuren: Geeft toegestane FQDN's in de loop van de tijd weer.
  • Toegestane FQDN's op aantal: aantal toegestane FQDN's.
  • Toegestane webcategorieën overuren: toont toegestane webcategorieën in de loop van de tijd.
  • Toegestane webcategorieën op aantal: Telt toegestane webcategorieën.
  • Overuren voor geweigerde webcategorieën: hiermee worden geweigerde webcategorieën in de loop van de tijd weergegeven.
  • Webcategorieën geweigerd op aantal: Aantal geweigerde webcategorieën.

Screenshot showing the application rules tab.

Netwerkregels

Op het tabblad Netwerkregels ziet u statistieken van gerelateerde laag 4-gebeurtenissen die zijn gecorreleerd met uw specifieke netwerkregels in Azure Firewall-beleid. De volgende widgets zijn beschikbaar op het tabblad Netwerkregels:

  • Regelacties: Hiermee worden acties weergegeven die worden uitgevoerd op basis van regels.
  • Doelpoorten: toont doelpoorten in netwerkverkeer.
  • DNAT-acties: Hiermee worden acties van Destination Network Address Translation (DNAT) weergegeven.
  • GeoLocation: toont geografische locaties die betrokken zijn bij netwerkverkeer.
  • Regelacties, op IP-adressen: regelacties weergegeven die zijn gecategoriseerd op IP-adressen.
  • Doelpoorten, op bron-IP: toont doelpoorten die zijn gecategoriseerd op bron-IP-adressen.
  • DNAT'ed in de loop van de tijd: Geeft DNAT-acties in de loop van de tijd weer.
  • GeoLocation in de loop van de tijd: toont geografische locaties die in de loop van de tijd betrokken zijn bij netwerkverkeer.
  • Acties, op tijd: Hiermee worden netwerkacties in de loop van de tijd weergegeven.
  • Alle IP-adressengebeurtenissen met GeoLocation: toont alle gebeurtenissen met betrekking tot IP-adressen, gecategoriseerd op geografische locatie.

Screenshot showing network rules tab.

DNS-proxy

Dit tabblad is relevant als u Azure Firewall hebt ingesteld om te functioneren als een DNS-proxy, die fungeert als intermediair voor DNS-aanvragen van virtuele clientmachines naar een DNS-server. Het tabblad DNS-proxy bevat verschillende widgets die u kunt gebruiken:

  • DNS-proxyverkeer per aantal per firewall: geeft het aantal DNS-proxyverkeer voor elke firewall weer.
  • AANTAL DNS-proxy's op aanvraagnaam: telt DNS-proxyaanvragen op aanvraagnaam.
  • Aantal DNS-proxyaanvragen per client-IP: telt DNS-proxyaanvragen per client-IP-adres.
  • DNS-proxyaanvraag in de loop van de tijd per client-IP: geeft DNS-proxyaanvragen in de loop van de tijd weer, gecategoriseerd op client-IP.
  • DNS-proxygegevens: bevat logboekinformatie met betrekking tot de installatie van uw DNS-proxy.

Screenshot showing the DNS proxy tab.

Inbraakdetectie en preventiesysteem (IDPS)

Het tabblad Statistieken van idPS-logboeken biedt een overzicht van schadelijke verkeersevenementen en de preventieve acties die door de service worden uitgevoerd. Op het tabblad IDPS vindt u verschillende widgets die u kunt gebruiken:

  • Aantal IDPS-acties: telt IDPS-acties.
  • Aantal IDPS-protocollen: telt protocollen die zijn gedetecteerd door IDPS.
  • Aantal IDPS SignatureID: hiermee worden IDPS-detecties per handtekening-id geteld.
  • IDPS SourceIP Count: telt IDPS-detecties op bron-IP-adres.
  • Gefilterde IDPS-acties op aantal: telt gefilterde IDPS-acties.
  • Gefilterde IDPS-protocollen op aantal: telt gefilterde IDPS-protocollen.
  • Gefilterde IDPS SignatureIDs op aantal: telt gefilterde IDPS-detecties op handtekening-id.
  • Gefilterde SourceIP: geeft gefilterde bron-IP-adressen weer die zijn gedetecteerd door IDPS.
  • Aantal Azure Firewall-IDPS's in de loop van de tijd: toont het aantal Azure Firewall-IDPS's in de loop van de tijd.
  • Azure Firewall IDPS-logboeken met GeoLocation: biedt Azure Firewall IDPS-logboeken, gecategoriseerd op geografische locatie.

Screenshot showing the IDPS tab.

Bedreigingsinformatie (TI)

Dit tabblad biedt een grondig perspectief op activiteiten voor bedreigingsinformatie, waarbij de meest voorkomende bedreigingen, acties en protocollen worden aanbevolen. De top vijf FQDN's (Fully Qualified Domain Names) en IP-adressen die aan deze bedreigingen zijn gekoppeld, worden in de loop van de tijd aangeduid met detecties van bedreigingsinformatie. Daarnaast worden gedetailleerde logboeken van bedreigingsinformatie van Azure Firewall geleverd voor uitgebreide analyse. Op het tabblad Bedreigingsinformatie vindt u verschillende widgets die u kunt gebruiken:

  • Aantal Bedreigingsinformatie-acties: telt acties die zijn gedetecteerd door Bedreigingsinformatie.
  • Aantal bedreigingsprotocollen: telt protocollen die worden geïdentificeerd door Bedreigingsinformatie.
  • Top 5 FQDN-aantal: geeft de vijf meest voorkomende FQDN's (Fully Qualified Domain Names) weer.
  • Top 5 IP-adressen: toont de vijf meest voorkomende IP-adressen.
  • Azure Firewall Threat Intel in de loop van de tijd: Geeft azure Firewall Threat Intelligence-detecties in de loop van de tijd weer.
  • Azure Firewall Threat Intel: biedt logboeken van bedreigingsinformatie van Azure Firewall.

Screenshot showing the threat intelligence tab.

Onderzoeken

De sectie Onderzoek maakt verkenning en probleemoplossing mogelijk, met aanvullende informatie zoals de naam van de virtuele machine en de netwerkinterfacenaam die is gekoppeld aan de start of beëindiging van het verkeer. Er worden ook correlaties vastgesteld tussen bron-IP-adressen, de FQDN's (Fully Qualified Domain Names) die ze proberen te openen, evenals de geografische locatieweergave van uw verkeer. Widgets beschikbaar op het tabblad Onderzoek:

  • FQDN-verkeer per aantal: telt verkeer op FQDN's (Fully Qualified Domain Names).
  • Aantal bron-IP-adressen: telt exemplaren van bron-IP-adressen.
  • Bron-IP-adres zoeken: zoekt resources op die zijn gekoppeld aan bron-IP-adressen.
  • FQDN Lookup-logboeken: biedt logboeken van FQDN-zoekacties.
  • Azure Firewall Premium met geolocatie : IDPS: geeft het inbraakdetectie- en preventiesysteem van Azure Firewall weer - (IDPS) - detecties, gecategoriseerd op geografische locatie.

Screenshot showing the investigation tab.

Volgende stappen