Использование книг Брандмауэр Azure

  • Статья

Книга службы Брандмауэр Azure предоставляет настраиваемый холст для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Вы можете подключиться к нескольким брандмауэрам, развернутым в Azure, и объединить их возможности в едином интерактивном взаимодействии.

Получайте аналитические сведения о событиях Брандмауэра Azure. Вы сможете просматривать правила для сети и приложений, а также статистику брандмауэра для действий по разным URL-адресам, портам и адресам. Книга Брандмауэра Azure обеспечивает фильтрацию брандмауэров и групп ресурсов, а также динамическую фильтрацию по категориям с помощью простых для чтения наборов данных при исследовании проблем в журналах.

Необходимые компоненты

Перед началом работы включите журналы структурированного брандмауэра Azure через портал Azure.

Важно!

Все приведенные ниже разделы допустимы только для структурированных журналов брандмауэра.

Если вы хотите использовать устаревшие журналы, можно включить ведение журнала диагностики с помощью портал Azure. Затем перейдите к книге GitHub для Брандмауэр Azure и следуйте инструкциям на странице.

Кроме того, следует ознакомиться с журналами диагностики и метриками Брандмауэра Azure.

Начать

После настройки структурированных журналов брандмауэра все настроены для использования Брандмауэр Azure внедренных книг, выполнив следующие действия.

  1. На портале перейдите к ресурсу Брандмауэр Azure.

  2. В разделе "Мониторинг" выберите книги.

  3. В коллекции можно создать новые книги или использовать существующую книгу Брандмауэр Azure, как показано ниже:

    Screenshot showing the firewall workbook gallery.

  4. Выберите рабочую область Log Analytics и одно или несколько имен брандмауэров, которые вы хотите использовать в этой книге, как показано ниже:

    Screenshot showing structured logs.

Разделы книги

В книге Брандмауэр Azure есть семь вкладок, каждая из которых обращается к отдельным аспектам службы. В следующих разделах описана каждая вкладка.

Обзор

На вкладке обзора показаны графы и статистические данные, связанные со всеми типами событий брандмауэра, агрегированных из различных категорий ведения журнала. К ним относятся сетевые правила, правила приложения, DNS, система обнаружения вторжений и предотвращения вторжений (IDPS), аналитика угроз и многое другое. Доступные мини-приложения на вкладке "Обзор":

  • События по времени: отображает частоту событий с течением времени.
  • События по брандмауэру с течением времени: показывает распределение событий между брандмауэрами с течением времени.
  • События по категориям: классифицирует и подсчитывает события.
  • Категории событий по времени: отображаются категории событий с течением времени.
  • Средняя пропускная способность трафика брандмауэра: отображает средние данные, проходящие через брандмауэр.
  • Использование портов SNAT: отображает использование портов SNAT.
  • Число попаданий в сетевое правило (SUM): число триггеров сетевого правила.
  • Число попаданий правила приложения (SUM): число триггеров правила приложения.

Azure Firewall Workbook overview

Правила приложений

На вкладке "Правила приложения" показана статистика связанных событий уровня 7, связанная с определенными правилами приложения в политике Брандмауэр Azure. На вкладке правил приложений доступны следующие мини-приложения:

  • Использование правил приложения: показывает использование правил приложения.
  • Отклоненное полное доменное имя сверхурочного времени: с течением времени отображаются запрещенные полные доменные имена (FQDN).
  • Запрещено полное доменное имя по подсчету: число отказано в полных доменных именах.
  • Разрешенное полное доменное имя сверхурочного времени: отображает разрешенные полные доменные имена с течением времени.
  • Разрешенное полное доменное имя по количеству: число разрешенных полных доменных имен.
  • Разрешенные веб-категории сверхурочные: отображаются разрешенные веб-категории с течением времени.
  • Разрешенные веб-категории по количеству: число разрешенных веб-категорий.
  • Запрещенные веб-категории сверхурочные: отображаются запрещенные веб-категории с течением времени.
  • Отказано в веб-категориях по количеству: количество запрещенных веб-категорий.

Screenshot showing the application rules tab.

Правила сети

На вкладке "Правила сети" показана статистика связанных событий уровня 4, связанная с определенными правилами сети в политике Брандмауэр Azure. На вкладке "Правила сети" доступны следующие мини-приложения:

  • Действия правила: отображает действия, выполняемые правилами.
  • Целевые порты: отображаются целевые порты в сетевом трафике.
  • Действия DNAT: отображает действия преобразования сетевых адресов назначения (DNAT).
  • GeoLocation: показывает географические расположения, участвующие в сетевом трафике.
  • Действия правил по IP-адресам: отображает действия правила, классифицированные по IP-адресам.
  • Целевые порты по исходному IP-адресу: показаны целевые порты, классифицированные по исходным IP-адресам.
  • DNAT с течением времени: отображает действия DNAT с течением времени.
  • Геолокация с течением времени: показывает географические расположения, участвующие в сетевом трафике с течением времени.
  • Действия по времени: отображает сетевые действия с течением времени.
  • Все события IP-адресов с помощью GeoLocation: отображаются все события, связанные с IP-адресами, классифицируются по географическому расположению.

Screenshot showing network rules tab.

DNS-прокси

Эта вкладка актуальна, если вы настроили Брандмауэр Azure для работы в качестве DNS-прокси, выступая в качестве посредника для запросов DNS с клиентских виртуальных машин на DNS-сервер. Вкладка "Прокси-сервер DNS" включает различные мини-приложения, которые можно использовать:

  • Dns-прокси-трафик по количеству на брандмауэр: отображает количество прокси-трафика DNS для каждого брандмауэра.
  • Число DNS-прокси по имени запроса: учитывает запросы DNS-прокси по имени запроса.
  • Число запросов прокси-сервера DNS по IP-адресу клиента: учитывает запросы DNS-прокси по IP-адресу клиента.
  • Запрос DNS-прокси с течением времени по IP-адресу клиента: отображает запросы dns-прокси со временем, классифицируются по IP-адресу клиента.
  • Сведения о прокси-сервере DNS. Предоставляет сведения о журнале, связанные с настройкой прокси-сервера DNS.

Screenshot showing the DNS proxy tab.

Система обнаружения и предотвращения вторжений (IDPS)

На вкладке статистики журнала IDPS содержится сводка событий вредоносного трафика и профилактических действий, выполняемых службой. На вкладке IDPS вы найдете различные мини-приложения, которые можно использовать:

  • Количество действий IDPS: количество действий IDPS. Количество действий idPS.
  • Число протоколов IDPS: количество протоколов, обнаруженных поставщиком удостоверений.
  • Число идентификаторов idPS SignatureID: число обнаружений IDPS по идентификатору подписи.
  • Число источников IDPS: количество обнаружений поставщиков удостоверений по исходному IP-адресу.
  • Отфильтрованные действия IDPS по счетчику: количество отфильтрованных действий IDPS.
  • Отфильтрованные протоколы IDPS по счетчику: количество отфильтрованных протоколов IDPS.
  • Отфильтрованные идентификаторы подписей IDPS по счетчику: количество отфильтрованных обнаружений IDPS по идентификатору подписи.
  • Отфильтрованный исходный КОД: отображает отфильтрованные ip-адреса источника, обнаруженные поставщиком удостоверений.
  • Брандмауэр Azure количество поставщиков удостоверений с течением времени: отображает Брандмауэр Azure количество поставщиков удостоверений с течением времени.
  • Брандмауэр Azure журналы IDPS с помощью GeoLocation: предоставляет Брандмауэр Azure журналы IDPS, классифицируемые по географическому расположению.

Screenshot showing the IDPS tab.

Аналитика угроз

На этой вкладке представлена тщательное представление о действиях аналитики угроз, в центре внимания наиболее распространенные угрозы, действия и протоколы. Он определяет пять лучших полных доменных имен (FQDN) и IP-адреса, связанные с этими угрозами, демонстрируя обнаружение аналитики угроз со временем. Кроме того, подробные журналы из аналитики угроз Брандмауэр Azure предоставляются для комплексного анализа. На вкладке "Аналитика угроз" вы найдете различные мини-приложения, которые можно использовать:

  • Число действий Intel: количество действий, обнаруженных аналитикой угроз.
  • Число протоколов Intel: количество протоколов, определенных аналитикой угроз.
  • Первые 5 полных доменных имен: отображает пять наиболее частых полных доменных имен (FQDN).
  • Первые 5 IP-адресов: показывает пять наиболее частых IP-адресов.
  • Брандмауэр Azure Threat Intel с течением времени: отображает Брандмауэр Azure обнаружения аналитики угроз со временем.
  • Брандмауэр Azure Threat Intel: предоставляет журналы из аналитики угроз Брандмауэр Azure.

Screenshot showing the threat intelligence tab.

Исследования

В разделе "Исследование" можно изучить и устранить неполадки, предлагая дополнительные сведения, такие как имя виртуальной машины и имя сетевого интерфейса, связанные с запуском или завершением трафика. Он также устанавливает корреляции между исходными IP-адресами, полными доменными именами (FQDN), которые они пытаются получить доступ, а также географическое представление вашего трафика. Мини-приложения, доступные на вкладке "Исследование":

  • Полное доменное имя трафика по счетчику: подсчитывает трафик по полным доменным именам (FQDN).
  • Число исходных IP-адресов: число вхождения исходных IP-адресов.
  • Поиск ресурсов исходного IP-адреса: поиск ресурсов, связанных с исходными IP-адресами.
  • Журналы подстановки FQDN: предоставляет журналы из подстановок FQDN.
  • Брандмауэр Azure Premium с географическим расположением — IDPS: отображает систему обнаружения и предотвращения вторжений Брандмауэр Azure (IDPS) — обнаружения, классифицированные по географическому расположению.

Screenshot showing the investigation tab.

Следующие шаги