Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bilinen kötü amaçlı IP adresleri, FQDN'ler ve URL'lerden gelen/giden trafiği uyarmak ve reddetmek için güvenlik duvarınız için Tehdit bilgileri tabanlı filtrelemeyi etkinleştirebilirsiniz. IP adresleri, etki alanları ve URL'ler, Microsoft Siber Güvenlik ekibi de dahil olmak üzere birden çok kaynağı içeren Microsoft Threat Intelligence akışından alınır.
Tehdit bilgileri tabanlı filtreleme etkinleştirildiğinde, Azure Güvenlik Duvarı NAT, ağ veya uygulama kuralları uygulamadan önce trafiği tehdit bilgileri kurallarına göre değerlendirir.
Yöneticiler, bir tehdit bilgileri kuralı tetiklendiğinde güvenlik duvarını yalnızca uyarı modunda veya uyarı ve reddetme modunda çalışacak şekilde yapılandırabilir. Varsayılan olarak, güvenlik duvarı yalnızca uyarı modunda çalışır. Bu mod devre dışı bırakılabilir veya uyarı ve reddetme olarak değiştirilebilir.
İzin listeleri, belirli FQDN'leri, IP adreslerini, aralıkları veya alt ağları tehdit istihbaratı filtrelemesinden muaf tutmak amacıyla tanımlanabilir.
Toplu işlemler için, yöneticiler izin verilenler listesini doldurmak için IP adreslerini, aralıkları ve alt ağları içeren bir CSV dosyasını karşıya yükleyebilir.
Logs
Aşağıdaki günlük alıntısı tetiklenen bir kuralı gösterir:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. Giden uyarıları test etme işlemine yardımcı olmak için bir uyarı tetikleyen bir test FQDN'i vardır. Giden testleriniz için kullanın
testmaliciousdomain.eastus.cloudapp.azure.com.Testlerinize hazırlanmak ve DNS çözümleme hatası almadığınızdan emin olmak için aşağıdaki öğeleri yapılandırın:
- Test bilgisayarınızdaki hosts dosyasına sahte bir kayıt ekleyin. Örneğin, Windows çalıştıran bir bilgisayarda dosyaya
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comekleyebilirsinizC:\Windows\System32\drivers\etc\hosts. - Test edilen HTTP/S isteğine ağ kuralı değil uygulama kuralı kullanılarak izin verildiğinden emin olun.
- Test bilgisayarınızdaki hosts dosyasına sahte bir kayıt ekleyin. Örneğin, Windows çalıştıran bir bilgisayarda dosyaya
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. Güvenlik duvarı yalnızca DNAT kuralında belirli kaynaklara izin veriyor olsa ve trafik aksi takdirde reddediliyor olsa bile uyarılar görürsünüz. Azure Güvenlik Duvarı bilinen tüm bağlantı noktası tarayıcılarında uyarı vermez; yalnızca kötü amaçlı etkinliklerde de bulunan tarayıcılarda uyarı verir.
Next steps
- Azure Güvenlik Duvarı Tehdit Koruması'nı keşfetme
- Bkz. Azure Güvenlik Duvarı Log Analytics örnekleri
- Azure Güvenlik Duvarı dağıtmayı ve yapılandırmayı öğrenin
- Microsoft Güvenlik zekası raporunu gözden geçirin