configuração de informações sobre ameaças Azure Firewall
A filtragem baseada em informações sobre ameaças pode ser configurada para a sua política de Azure Firewall para alertar e negar o tráfego de e para domínios e endereços IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. O Intelligent Security Graph alimenta as informações sobre ameaças da Microsoft e é utilizado por vários serviços, incluindo Microsoft Defender para a Cloud.
Se tiver configurado a filtragem baseada em informações sobre ameaças, as regras associadas são processadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicação.
Modo de informações sobre ameaças
Pode configurar as informações sobre ameaças num dos três modos descritos na tabela seguinte. Por predefinição, a filtragem baseada em informações sobre ameaças está ativada no modo de alerta.
| Modo | Descrição |
|---|---|
Off |
A funcionalidade de informações sobre ameaças não está ativada para a firewall. |
Alert only |
Receberá alertas de alta confiança para o tráfego que passa pela firewall de ou para domínios e endereços IP maliciosos conhecidos. |
Alert and deny |
O tráfego é bloqueado e receberá alertas de alta confiança quando for detetado tráfego a tentar passar pela firewall de ou para domínios e endereços IP maliciosos conhecidos. |
Nota
O modo de informações sobre ameaças é herdado das políticas principais para as políticas subordinadas. Uma política subordinada tem de ser configurada com o mesmo modo ou um modo mais rigoroso do que a política principal.
Endereços da lista de permissões
As informações sobre ameaças podem acionar falsos positivos e bloquear o tráfego que é realmente válido. Pode configurar uma lista de endereços IP permitidos para que as informações sobre ameaças não filtrem nenhum dos endereços, intervalos ou sub-redes que especificar.
Pode atualizar a lista de permissões com múltiplas entradas ao mesmo tempo ao carregar um ficheiro CSV. O ficheiro CSV só pode conter endereços IP e intervalos. O ficheiro não pode conter cabeçalhos.
Nota
Os endereços da lista de permissões de informações sobre ameaças são herdados de políticas principais para políticas subordinadas. Qualquer endereço IP ou intervalo adicionado a uma política principal também será aplicado a todas as políticas subordinadas.
Registos
O seguinte excerto de registo mostra uma regra acionada para o tráfego de saída para um site malicioso:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testar
Testes de saída – os alertas de tráfego de saída devem ser uma ocorrência rara, pois significa que o seu ambiente foi comprometido. Para ajudar a testar o funcionamento dos alertas de saída, foi criado um FQDN de teste que aciona um alerta. Utilize
testmaliciousdomain.eastus.cloudapp.azure.compara os testes de saída.Teste de entrada – pode esperar ver alertas sobre o tráfego de entrada se as regras DNAT estiverem configuradas na firewall. Isto é verdade mesmo que apenas fontes específicas sejam permitidas na regra DNAT e o tráfego seja negado de outra forma. Azure Firewall não alerta em todos os scanners de portas conhecidos; apenas em scanners que se sabe que também se dedicam a atividades maliciosas.