Filtragem baseada em inteligência de ameaças do Firewall do Azure
Você pode habilitar a filtragem baseada em inteligência de ameaças para que seu firewall alerte e negue tráfego de/para endereços IP mal-intencionados, FQDNs e URLs conhecidos. Os endereços IP, domínios e URLs são provenientes do feed de Inteligência de Ameaças da Microsoft, que inclui várias fontes, incluindo a equipe de Segurança Cibernética da Microsoft. O Intelligent Security Graph alimenta a inteligência de ameaças da Microsoft e usa vários serviços, incluindo o Microsoft Defender for Cloud.
Se tiver ativado a filtragem baseada em informações sobre ameaças, a firewall processa as regras associadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicação.
Quando uma regra é acionada, você pode optar por apenas registrar um alerta ou pode escolher o modo de alerta e negação.
Por padrão, a filtragem baseada em inteligência de ameaças está no modo de alerta. Não é possível desativar esse recurso ou alterar o modo até que a interface do portal esteja disponível na sua região.
Você pode definir listas de permissões para que a inteligência de ameaças não filtre o tráfego para nenhum dos FQDNs, endereços IP, intervalos ou sub-redes listados.
Para uma operação em lote, você pode carregar um arquivo CSV com uma lista de endereços IP, intervalos e sub-redes.
Registos
O seguinte trecho de log mostra uma regra acionada:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testar
Teste de saída - Os alertas de tráfego de saída devem ser uma ocorrência rara, pois significa que seu ambiente está comprometido. Para ajudar a testar se os alertas de saída estão funcionando, existe um FQDN de teste que dispara um alerta. Use
testmaliciousdomain.eastus.cloudapp.azure.compara seus testes de saída.Para se preparar para os testes e garantir que você não obtenha uma falha de resolução de DNS, configure os seguintes itens:
- Adicione um registro fictício ao arquivo hosts em seu computador de teste. Por exemplo, num computador com o
C:\Windows\System32\drivers\etc\hostsWindows, pode adicionar1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comao ficheiro. - Certifique-se de que a solicitação HTTP/S testada seja permitida usando uma regra de aplicativo, não uma regra de rede.
- Adicione um registro fictício ao arquivo hosts em seu computador de teste. Por exemplo, num computador com o
Teste de entrada - Você pode esperar ver alertas sobre o tráfego de entrada se o firewall tiver regras DNAT configuradas. Você verá alertas mesmo se o firewall permitir apenas fontes específicas na regra DNAT e o tráfego for negado. O Firewall do Azure não alerta em todos os scanners de porta conhecidos; apenas em scanners que também se envolvem em atividades maliciosas.
Próximos passos
- Explorando a proteção contra ameaças do Firewall do Azure
- Consulte Exemplos do Azure Firewall Log Analytics
- Saiba como implantar e configurar um Firewall do Azure
- Analise o relatório de inteligência de segurança da Microsoft