Фильтрация на основе аналитики угроз в Брандмауэре Azure

Вы можете включить фильтрацию на основе аналитики угроз для брандмауэра, чтобы оповещать и запрещать трафик из известных вредоносных IP-адресов, полных доменных имен и URL-адресов. IP-адреса, домены и URL-адреса поступают из канала аналитики угроз Майкрософт, который включает несколько источников, в том числе группу Майкрософт по кибербезопасности. Интеллектуальный граф безопасности обеспечивает аналитику угроз Майкрософт и использует несколько служб, включая Microsoft Defender для облака.

Если вы включили фильтрацию на основе аналитики угроз, брандмауэр обрабатывает связанные правила до любого из правил NAT, сетевых правил или правил приложения.

При активации правила можно просто записать оповещение или выбрать режим оповещения и запретить.

По умолчанию фильтрация на основе аналитики угроз находится в режиме генерации оповещений. Вы не сможете отключить эту функцию или изменить режим, пока соответствующий раздел интерфейса портала не станет доступен в вашем регионе.

Вы можете определить списки разрешений, чтобы аналитика угроз не фильтровала трафик ни в одном из перечисленных полных доменных имен, IP-адресов, диапазонов или подсетей.

Для пакетной операции можно отправить CSV-файл со списком IP-адресов, диапазонов и подсетей.

Журналы

В следующем фрагменте журнала показано активированное правило.

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Тестирование

• Исходящее тестирование . Оповещения о исходящем трафике должны быть редкими, так как это означает, что ваша среда скомпрометирована. Для проверки исходящих оповещений работает тестовое полное доменное имя, которое активирует оповещение. Используйте testmaliciousdomain.eastus.cloudapp.azure.com для исходящих тестов.

  Чтобы подготовиться к тестам и убедиться, что не удается получить сбой разрешения DNS, настройте следующие элементы:

  • Добавьте фиктивную запись в файл узлов на тестовом компьютере. Например, на компьютере под управлением Windows можно добавить 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com в C:\Windows\System32\drivers\etc\hosts файл.
  • Убедитесь, что тестируемый запрос HTTP/S разрешен с помощью правила приложения, а не сетевого правила.

• Входящее тестирование . Вы можете увидеть оповещения о входящего трафика, если в брандмауэре настроены правила DNAT. Вы увидите оповещения, даже если брандмауэр разрешает только определенные источники в правиле DNAT и трафик в противном случае запрещен. Брандмауэр Azure не оповещает всех известных сканеров портов; только на сканерах, которые также участвуют в вредоносной деятельности.

Следующие шаги

• Изучение защиты от угроз Брандмауэр Azure
• Ознакомьтесь с примерами запросов Log Analytics для Брандмауэра Azure.
• Узнайте, как развернуть и настроить Брандмауэр Azure.
• Изучите аналитический отчет Microsoft Security.