Azure Firewall konfiguration av hotinformation
Hotinformationsbaserad filtrering kan konfigureras för din Azure Firewall-princip för att avisera och neka trafik från och till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. Intelligent Security Graph driver Microsofts hotinformation och används av flera tjänster, inklusive Microsoft Defender för molnet.
Om du har konfigurerat hotinformationsbaserad filtrering bearbetas de associerade reglerna före nat-regler, nätverksregler eller programregler.
Hotinformationsläge
Du kan konfigurera hotinformation i något av de tre lägena som beskrivs i följande tabell. Som standard aktiveras hotinformationsbaserad filtrering i aviseringsläge.
| Läge | Beskrivning |
|---|---|
Off |
Funktionen hotinformation är inte aktiverad för brandväggen. |
Alert only |
Du får aviseringar med hög säkerhet för trafik som passerar genom brandväggen till eller från kända skadliga IP-adresser och domäner. |
Alert and deny |
Trafiken blockeras och du får aviseringar med hög säkerhet när trafik identifieras när du försöker gå igenom brandväggen till eller från kända skadliga IP-adresser och domäner. |
Anteckning
Hotinformationsläget ärvs från överordnade principer till underordnade principer. En underordnad princip måste konfigureras med samma eller ett striktare läge än den överordnade principen.
Tillåtlista adresser
Hotinformation kan utlösa falska positiva identifieringar och blockera trafik som faktiskt är giltig. Du kan konfigurera en lista över tillåtna IP-adresser så att hotinformation inte filtrerar någon av de adresser, intervall eller undernät som du anger.
Du kan uppdatera listan med flera poster samtidigt genom att ladda upp en CSV-fil. CSV-filen kan bara innehålla IP-adresser och intervall. Filen får inte innehålla rubriker.
Anteckning
Tillåtna adresser för hotinformation ärvs från överordnade principer till underordnade principer. Alla IP-adresser eller intervall som läggs till i en överordnad princip gäller även för alla underordnade principer.
Loggar
Följande loggutdrag visar en utlöst regel för utgående trafik till en skadlig webbplats:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testning
Utgående testning – Aviseringar om utgående trafik bör vara sällsynta, eftersom det innebär att din miljö har komprometterats. För att hjälpa till att testa utgående aviseringar fungerar har ett FQDN-test skapats som utlöser en avisering. Använd
testmaliciousdomain.eastus.cloudapp.azure.comför dina utgående tester.Inkommande testning – Du kan förvänta dig att se aviseringar om inkommande trafik om DNAT-regler har konfigurerats i brandväggen. Detta gäller även om endast specifika källor tillåts i DNAT-regeln och trafiken annars nekas. Azure Firewall varnar inte för alla kända portskannrar. Endast för skannrar som är kända för att också delta i skadlig aktivitet.