Фильтрация на основе аналитики угроз в Брандмауэре Azure

Вы можете включить фильтрацию на основе аналитики угроз для брандмауэра, чтобы оповещать и запрещать трафик с известных вредоносных IP-адресов, полных доменных имен и URL-адресов. IP-адреса, домены и URL-адреса поступают из канала аналитики угроз Майкрософт, который включает несколько источников, в том числе группу Майкрософт по кибербезопасности. Intelligent Security Graph обеспечивает аналитику угроз Майкрософт и использует несколько служб, включая Microsoft Defender для облака.

Если вы включили фильтрацию на основе аналитики угроз, брандмауэр обрабатывает связанные правила перед любыми правилами NAT, сетевыми правилами или правилами приложений.

При срабатывании правила можно просто записать оповещение в журнал или выбрать режим оповещения и запрета.

По умолчанию фильтрация на основе аналитики угроз находится в режиме оповещения. Вы не сможете отключить эту функцию или изменить режим, пока соответствующий раздел интерфейса портала не станет доступен в вашем регионе.

Вы можете определить списки разрешений, чтобы аналитика угроз не фильтровала трафик к перечисленным полным доменным именам, IP-адресам, диапазонам или подсетям.

Для пакетной операции можно отправить CSV-файл со списком IP-адресов, диапазонов и подсетей.

Журналы

В следующем фрагменте журнала показано активированное правило.

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Тестирование

• Тестирование исходящего трафика. Оповещения об исходящем трафике должны быть редкими, так как это означает, что ваша среда скомпрометирована. Чтобы проверить работу исходящих оповещений, существует тестовое полное доменное имя, которое активирует оповещение. Используйте testmaliciousdomain.eastus.cloudapp.azure.com для тестирования исходящего трафика.

  Чтобы подготовиться к тестам и убедиться, что не произошло сбой разрешения DNS, настройте следующие элементы:

  • Добавьте фиктивную запись в файл hosts на тестовом компьютере. Например, на компьютере под управлением Windows можно добавить 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com в C:\Windows\System32\drivers\etc\hosts файл .
  • Убедитесь, что тестируемый запрос HTTP/S разрешен с помощью правила приложения, а не правила сети.

• Тестирование входящего трафика. Вы можете ожидать, что будут отображаться оповещения о входящем трафике, если в брандмауэре настроены правила DNAT. Вы увидите оповещения, даже если брандмауэр разрешает использовать только определенные источники в правиле DNAT, а трафик в противном случае запрещен. Брандмауэр Azure не оповещает о всех известных сканерах портов, а только для сканеров, которые также участвуют в вредоносных действиях.

Дальнейшие действия

• Изучение защиты от угроз Брандмауэр Azure
• Ознакомьтесь с примерами запросов Log Analytics для Брандмауэра Azure.
• Узнайте, как развернуть и настроить Брандмауэр Azure.
• Изучите аналитический отчет Microsoft Security.