Korzystanie ze skoroszytów usługi Azure Firewall

  • Artykuł

Skoroszyt usługi Azure Firewall udostępnia elastyczną kanwę do analizy danych usługi Azure Firewall. Służy do tworzenia rozbudowanych raportów wizualnych w witrynie Azure Portal. Możesz wykorzystać wiele zapór wdrożonych na platformie Azure i połączyć je w ujednolicone interaktywne środowiska.

Możesz uzyskać wgląd w zdarzenia usługi Azure Firewall, poznać reguły aplikacji i sieci oraz zobaczyć statystyki dotyczące działań zapory między adresami URL, portami i adresami. Skoroszyt usługi Azure Firewall umożliwia filtrowanie zapór i grup zasobów oraz dynamiczne filtrowanie według kategorii przy użyciu łatwych do odczytania zestawów danych podczas badania problemu w dziennikach.

Wymagania wstępne

Przed rozpoczęciem włącz dzienniki usługi Azure Structured Firewall za pośrednictwem witryny Azure Portal.

Ważne

Wszystkie poniższe sekcje są prawidłowe tylko w przypadku dzienników ustrukturyzowanych zapory.

Jeśli chcesz używać starszych dzienników, możesz włączyć rejestrowanie diagnostyczne przy użyciu witryny Azure Portal. Następnie przejdź do skoroszytu usługi GitHub dla usługi Azure Firewall i postępuj zgodnie z instrukcjami na stronie.

Przeczytaj również dzienniki i metryki usługi Azure Firewall, aby zapoznać się z omówieniem dzienników diagnostycznych i metryk dostępnych dla usługi Azure Firewall.

Rozpocznij

Po skonfigurowaniu dzienników strukturalnych zapory wszystko jest gotowe do korzystania ze skoroszytów osadzonych usługi Azure Firewall, wykonując następujące kroki:

  1. W portalu przejdź do zasobu usługi Azure Firewall.

  2. W obszarze Monitorowanie wybierz pozycję Skoroszyty.

  3. W galerii możesz utworzyć nowe skoroszyty lub użyć istniejącego skoroszytu usługi Azure Firewall, jak pokazano poniżej:

    Screenshot showing the firewall workbook gallery.

  4. Wybierz obszar roboczy usługi Log Analytics i co najmniej jedną nazwę zapory, której chcesz użyć w tym skoroszycie, jak pokazano poniżej:

    Screenshot showing structured logs.

Sekcje skoroszytu

Skoroszyt usługi Azure Firewall ma siedem kart, z których każda odpowiada odrębnym aspektom usługi. W poniższych sekcjach opisano każdą kartę.

Omówienie

Karta Przegląd zawiera wykresy i statystyki związane ze wszystkimi typami zdarzeń zapory zagregowanymi z różnych kategorii rejestrowania. Obejmuje to reguły sieci, reguły aplikacji, system DNS, wykrywanie nieautoryzowanego dostępu i zapobieganie (IDPS), analizę zagrożeń i nie tylko. Dostępne widżety na karcie Przegląd obejmują:

  • Zdarzenia według czasu: wyświetla częstotliwość zdarzeń w czasie.
  • Zdarzenia według zapory w czasie: pokazuje rozkład zdarzeń między zaporami w czasie.
  • Zdarzenia według kategorii: Kategoryzuje i zlicza zdarzenia.
  • Kategorie zdarzeń według czasu: wyświetla kategorie zdarzeń w czasie.
  • Średnia przepływność ruchu zapory: przedstawia średnie dane przekazywane przez zaporę.
  • Wykorzystanie portów SNAT: wyświetla użycie portów SNAT.
  • Liczba trafień reguły sieciowej (SUM): zlicza wyzwalacze reguły sieciowej.
  • Liczba trafień reguły aplikacji (SUM): zlicza wyzwalacze reguły aplikacji.

Azure Firewall Workbook overview

Reguły aplikacji

Na karcie Reguły aplikacji są wyświetlane statystyki zdarzeń związanych z warstwą 7 skorelowane z określonymi regułami aplikacji w zasadach usługi Azure Firewall. Następujące widżety są dostępne na karcie Reguły aplikacji:

  • Użycie reguły aplikacji: pokazuje użycie reguł aplikacji.
  • Odmowa nadgodzin nazwy FQDN: wyświetla w czasie odmowy w pełni kwalifikowanych nazw domen (FQDN).
  • Odmowa nazwy FQDN według liczby: liczba odrzuconych nazw FQDN.
  • Dozwolone nazwy FQDN w nadgodzinach: wyświetla dozwolone nazwy FQDN w czasie.
  • Dozwolone nazwy FQDN według liczby: liczba dozwolonych nazw FQDN.
  • Dozwolone kategorie sieci Web w nadgodzinach: pokazuje dozwolone kategorie sieci Web w czasie.
  • Dozwolone kategorie sieci Web według liczby: zlicza dozwolone kategorie sieci Web.
  • Odrzucone kategorie sieci Web w nadgodzinach: wyświetla odrzucone kategorie sieci Web w czasie.
  • Odrzucone kategorie sieci Web według liczby: liczba odrzuconych kategorii sieci Web.

Screenshot showing the application rules tab.

Reguły sieci

Na karcie Reguły sieci są wyświetlane statystyki zdarzeń związanych z warstwą 4 skorelowane z określonymi regułami sieciowymi w zasadach usługi Azure Firewall. Następujące widżety są dostępne na karcie Reguły sieci:

  • Akcje reguły: wyświetla akcje wykonywane przez reguły.
  • Porty docelowe: pokazuje docelowe porty w ruchu sieciowym.
  • Akcje DNAT: wyświetla akcje docelowego tłumaczenia adresów sieciowych (DNAT).
  • GeoLokalizacja: pokazuje lokalizacje geograficzne związane z ruchem sieciowym.
  • Akcje reguły według adresów IP: Wyświetla akcje reguły podzielone na kategorie według adresów IP.
  • Porty docelowe według źródłowego adresu IP: pokazuje porty docelowe podzielone na kategorie według źródłowych adresów IP.
  • DNAT'ed w czasie: Wyświetla akcje DNAT w czasie.
  • Geolokalizacja w czasie: pokazuje lokalizacje geograficzne związane z ruchem sieciowym w czasie.
  • Akcje według czasu: wyświetla akcje sieciowe w czasie.
  • Wszystkie zdarzenia adresów IP z geolokalizacją: przedstawia wszystkie zdarzenia obejmujące adresy IP podzielone na kategorie według lokalizacji geograficznej.

Screenshot showing network rules tab.

Serwer proxy DNS

Ta karta jest odpowiednia, jeśli skonfigurowaliśmy usługę Azure Firewall do działania jako serwer proxy DNS, służąc jako pośrednik dla żądań DNS z maszyn wirtualnych klienta do serwera DNS. Karta Serwer proxy DNS zawiera różne widżety, których można użyć:

  • Ruch serwera proxy DNS według liczby na zaporę: wyświetla liczbę ruchu serwera proxy DNS dla każdej zapory.
  • Liczba serwerów proxy DNS według nazwy żądania: zlicza żądania serwera proxy DNS według nazwy żądania.
  • Liczba żądań serwera proxy DNS według adresu IP klienta: zlicza żądania serwera proxy DNS według adresu IP klienta.
  • Żądanie serwera proxy DNS w czasie według adresu IP klienta: wyświetla żądania serwera proxy DNS w czasie, podzielone na kategorie według adresu IP klienta.
  • Informacje o serwerze proxy DNS: zawiera informacje dziennika związane z konfiguracją serwera proxy DNS.

Screenshot showing the DNS proxy tab.

System wykrywania i zapobiegania włamaniom (IDPS)

Karta Statystyka dziennika IDPS zawiera podsumowanie złośliwych zdarzeń ruchu i działań zapobiegawczych podjętych przez usługę. Na karcie IDPS znajdziesz różne widżety, których można użyć:

  • Liczba akcji IDPS: zlicza akcje IDPS.
  • Liczba protokołów IDPS: zlicza protokoły wykryte przez dostawcę tożsamości.
  • IdPS SignatureID Count: zlicza wykrycia idPS według identyfikatora podpisu.
  • Liczba identyfikatorów IDPS SourceIP: zlicza wykrycia idPS według źródłowego adresu IP.
  • Przefiltrowane akcje IDPS według liczby: liczniki filtrowanych akcji IDPS.
  • Filtrowane protokoły IDPS według liczby: liczniki filtrowanych protokołów IDPS.
  • Filtrowane identyfikatory sygnatur IDPS według liczby: liczba przefiltrowanych wykryć idPS według identyfikatora podpisu.
  • Filtrowany sourceIP: wyświetla filtrowane źródłowe adresy IP wykryte przez dostawcę tożsamości.
  • Liczba idPS usługi Azure Firewall w czasie: pokazuje liczbę idPS usługi Azure Firewall w czasie.
  • Dzienniki IDPS usługi Azure Firewall z geolokalizacją: udostępnia dzienniki IDPS usługi Azure Firewall podzielone na kategorie według lokalizacji geograficznej.

Screenshot showing the IDPS tab.

Analiza zagrożeń (TI)

Ta karta oferuje dokładną perspektywę działań analizy zagrożeń, w centrum uwagi najbardziej rozpowszechnionych zagrożeń, akcji i protokołów. Określa pięć pierwszych w pełni kwalifikowanych nazw domen (FQDN) i adresów IP skojarzonych z tymi zagrożeniami, pokazując wykrywanie zagrożeń w czasie. Ponadto szczegółowe dzienniki z analizy zagrożeń usługi Azure Firewall są wyposażone w kompleksową analizę. Na karcie Analiza zagrożeń znajdziesz różne widżety, których można użyć:

  • Liczba akcji funkcji Threat Intel: zlicza akcje wykryte przez analizę zagrożeń.
  • Liczba protokołów firmy Threat Intel: zlicza protokoły zidentyfikowane przez analizę zagrożeń.
  • 5 pierwszych nazw FQDN: wyświetla pięć najczęściej w pełni kwalifikowanych nazw domen (FQDN).
  • 5 pierwszych adresów IP: przedstawia pięć najczęściej występujących adresów IP.
  • Usługa Azure Firewall Threat Intel w czasie: wyświetla wykrycia analizy zagrożeń w usłudze Azure Firewall w czasie.
  • Usługa Azure Firewall Threat Intel: udostępnia dzienniki z analizy zagrożeń usługi Azure Firewall.

Screenshot showing the threat intelligence tab.

Dochodzenia

Sekcja badania umożliwia eksplorację i rozwiązywanie problemów, oferując dodatkowe szczegóły, takie jak nazwa maszyny wirtualnej i nazwa interfejsu sieciowego skojarzone z inicjowaniem lub kończeniem ruchu. Ustanawia również korelacje między źródłowymi adresami IP, w pełni kwalifikowanymi nazwami domen (FQDN), do których próbują uzyskać dostęp, a także widokiem lokalizacji geograficznej ruchu. Widżety dostępne na karcie Badanie:

  • Ruch FQDN według liczby: zlicza ruch według w pełni kwalifikowanych nazw domen (FQDN).
  • Liczba źródłowych adresów IP: zlicza wystąpienia źródłowych adresów IP.
  • Wyszukiwanie zasobów źródłowego adresu IP: wyszukuje zasoby skojarzone z źródłowymi adresami IP.
  • Dzienniki wyszukiwania nazw FQDN: udostępnia dzienniki z odnośników FQDN.
  • Usługa Azure Firewall — wersja Premium z lokalizacją geograficzną — dostawcy tożsamości: wyświetla system wykrywania i zapobiegania włamaniom usługi Azure Firewall — (IDPS) — wykrycia, podzielone na kategorie według lokalizacji geograficznej.

Screenshot showing the investigation tab.

Następne kroki