Udostępnij za pośrednictwem

Konfiguracja analizy zagrożeń w usłudze Azure Firewall

  • Artykuł

Filtrowanie oparte na analizie zagrożeń można skonfigurować dla zasad usługi Azure Firewall, aby otrzymywać alerty i odrzucać ruch z oraz do znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. Program Intelligent Security Graph obsługuje analizę zagrożeń firmy Microsoft i jest używany przez wiele usług, w tym Microsoft Defender dla Chmury.

Jeśli skonfigurowano filtrowanie oparte na inteligencji zagrożeń, skojarzone reguły są przetwarzane przed dowolnymi regułami NAT, regułami sieci lub regułami aplikacji.

Zasady analizy zagrożeń

Tryb analizy zagrożeń

Analizę zagrożeń można skonfigurować w jednym z trzech trybów opisanych w poniższej tabeli. Domyślnie filtrowanie oparte na inteligencji zagrożeń jest włączone w trybie alertu.

Tryb opis
Off Funkcja analizy zagrożeń nie jest włączona dla zapory.
Alert only Otrzymasz alerty o wysokim poziomie ufności dla ruchu przechodzącego przez zaporę do lub ze znanych złośliwych adresów IP i domen.
Alert and deny Ruch jest blokowany i otrzymujesz alerty o wysokim poziomie pewności, gdy ruch jest wykrywany podczas próby przejścia przez zaporę do lub ze znanych złośliwych adresów IP i domen.

Uwaga

Tryb analizy zagrożeń jest dziedziczony z zasad nadrzędnych do zasad podrzędnych. Zasady podrzędne muszą być skonfigurowane z tym samym lub bardziej rygorystycznym trybem niż zasady nadrzędne.

Adresy listy dozwolonych

Analiza zagrożeń może wyzwalać fałszywie dodatnie wyniki i blokować ruch, który rzeczywiście jest prawidłowy. Możesz skonfigurować listę dozwolonych adresów IP, aby analiza zagrożeń nie filtrować żadnych adresów, zakresów ani podsieci, które określisz.

Adresy listy dozwolonych

Listę dozwolonych można zaktualizować przy użyciu wielu wpisów jednocześnie, przekazując plik CSV. Plik CSV może zawierać tylko adresy IP i zakresy. Plik nie może zawierać nagłówków.

Uwaga

Adresy listy dozwolonych analizy zagrożeń są dziedziczone z zasad nadrzędnych do zasad podrzędnych. Każdy adres IP lub zakres dodany do zasad nadrzędnych będzie również dotyczyć wszystkich zasad podrzędnych.

Dzienniki

Poniższy fragment dziennika przedstawia wyzwalaną regułę dla ruchu wychodzącego do złośliwej witryny:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testowanie

  • Testowanie ruchu wychodzącego — alerty ruchu wychodzącego powinny być rzadkim wystąpieniem, ponieważ oznacza to, że środowisko zostało naruszone. Aby ułatwić testowanie alertów wychodzących, utworzono testową nazwę FQDN, która wyzwala alert. Użyj polecenia testmaliciousdomain.eastus.cloudapp.azure.com dla testów wychodzących.

  • Testowanie ruchu przychodzącego — można oczekiwać, że alerty dotyczące ruchu przychodzącego będą widoczne, jeśli reguły DNAT są skonfigurowane w zaporze. Jest to prawdą, nawet jeśli tylko określone źródła są dozwolone w regule DNAT i ruch jest w przeciwnym razie odrzucany. Usługa Azure Firewall nie powiadamia wszystkich znanych skanerów portów; tylko w przypadku skanerów, które są znane również w złośliwych działaniach.

Następne kroki

  • Zapoznaj się z raportem analizy zabezpieczeń firmy Microsoft