Azure Firewall filtragem baseada em informações sobre ameaças

Pode ativar a filtragem baseada em Informações sobre ameaças para que a firewall alerte e negue o tráfego de/para endereços IP maliciosos conhecidos, FQDNs e URLs. Os endereços IP, domínios e URLs são obtidos a partir do feed do Microsoft Threat Intelligence, que inclui várias origens, incluindo a equipa do Microsoft Cyber Security. O Intelligent Security Graph alimenta as informações sobre ameaças da Microsoft e utiliza vários serviços, incluindo Microsoft Defender para a Cloud.

Se tiver ativado a filtragem baseada em informações sobre ameaças, a firewall processa as regras associadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicação.

Quando uma regra é acionada, pode optar por apenas registar um alerta ou pode escolher o modo de alerta e negação.

Por predefinição, a filtragem baseada em informações sobre ameaças está no modo de alerta. Não pode desativar esta funcionalidade nem alterar o modo até que a interface do portal fique disponível na sua região.

Pode definir listas de permissões para que as informações sobre ameaças não filtrem o tráfego para nenhum dos FQDNs, endereços IP, intervalos ou sub-redes listados.

Para uma operação de lote, pode carregar um ficheiro CSV com uma lista de endereços IP, intervalos e sub-redes.

Registos

O seguinte excerto de registo mostra uma regra acionada:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testar

• Testes de saída – os alertas de tráfego de saída devem ser uma ocorrência rara, pois significa que o seu ambiente está comprometido. Para ajudar a testar os alertas de saída que estão a funcionar, existe um FQDN de teste que aciona um alerta. Utilize testmaliciousdomain.eastus.cloudapp.azure.com para os testes de saída.

  Para se preparar para os testes e para garantir que não obtém uma falha de resolução de DNS, configure os seguintes itens:

  • Adicione um registo fictício ao ficheiro anfitriões no seu computador de teste. Por exemplo, num computador com o Windows, pode adicionar 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com ao C:\Windows\System32\drivers\etc\hosts ficheiro.
  • Certifique-se de que o pedido HTTP/S testado é permitido através de uma regra de aplicação e não de uma regra de rede.

• Testes de entrada – pode esperar ver alertas sobre o tráfego de entrada se a firewall tiver regras de DNAT configuradas. Verá alertas mesmo que a firewall permita apenas origens específicas na regra DNAT e o tráfego seja negado. Azure Firewall não alerta em todos os scanners de portas conhecidos; apenas em scanners que também se dedicam a atividades maliciosas.

Passos seguintes

• Explorar a Proteção contra Ameaças do Azure Firewall
• Veja Azure Firewall exemplos do Log Analytics
• Saiba como implementar e configurar um Azure Firewall
• Rever o relatório de informações de Segurança da Microsoft