Filtragem baseada em inteligência contra ameaças do Firewall do Azure

A filtragem baseada em inteligência contra ameaças pode ser habilitada para o seu firewall para alertar e negar tráfego de/para endereços IP, FQDNs e URLs mal-intencionados conhecidos. Os endereços IP, domínios e URLs são origem do feed da Inteligência contra ameaças do Microsoft, que inclui várias fontes, incluindo a equipe de Segurança Cibernética da Microsoft. O Gráfico de Segurança Inteligente da Microsoft potencializa a inteligência contra ameaças da Microsoft e é usado por vários serviços, incluindo o Microsoft Defender para Nuvem.

Inteligência contra ameaças do firewall

Se tiver habilitado a filtragem baseada em inteligência contra ameaças, as regras associadas serão processadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicativo.

Você pode optar por apenas registrar um alerta quando uma regra é disparada ou pode optar pelo modo de alerta e negação.

Por padrão, a filtragem baseada em inteligência contra ameaças está habilitada no modo de alerta. Não é possível desativar esse recurso ou alterar o modo até que a interface do portal esteja disponível em sua região.

Interface do portal de filtragem baseada em inteligência contra ameaças

Logs

O trecho de log a seguir mostra uma regra disparada:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testando

  • Teste de saída – Alertas de tráfego de saída devem ser uma ocorrência rara, pois isso significa que seu ambiente foi comprometido. Para ajudar a testar se os alertas de saída estão funcionando, um FQDN de teste foi criado para disparar um alerta. Use testmaliciousdomain.eastus.cloudapp.azure.com para seus testes de saída.

  • Teste de entrada – É normal ver alertas de tráfego de entrada se regras DNAT estiverem configuradas no firewall. Isso ocorre mesmo se apenas fontes específicas forem permitidas na regra DNAT e o resto do tráfego for negado. O Firewall do Azure não alerta todos os scanners de porta conhecidos; apenas os scanners envolvidos em atividades mal-intencionadas.

Próximas etapas