Azure Güvenlik Duvarı çalışma kitaplarını kullanma

Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure portalında zengin görsel raporlar oluşturmak için bunu kullanın. Azure'da dağıtılan birden çok Güvenlik Duvarına dokunabilir ve bunları birleşik etkileşimli deneyimlerde birleştirebilirsiniz.

Azure Güvenlik Duvarı olayları hakkında içgörüler elde edebilir, uygulamanız ve ağ kurallarınız hakkında bilgi edinebilir ve URL'ler, bağlantı noktaları ve adresler arasındaki güvenlik duvarı etkinliklerine ilişkin istatistikleri görebilirsiniz. Azure Güvenlik Duvarı Çalışma Kitabı, günlüklerinizdeki bir sorunu araştırırken güvenlik duvarlarınızı ve kaynak gruplarınızı filtrelemenize ve kolay okunan veri kümeleriyle kategori başına dinamik olarak filtrelemenize olanak tanır.

Önkoşullar

Başlamadan önce Azure portalı aracılığıyla Azure Yapılandırılmış Güvenlik Duvarı Günlükleri'ni etkinleştirin.

Önemli

Aşağıdaki bölümlerin tümü yalnızca Güvenlik duvarı yapılandırılmış günlükleri için geçerlidir.

Eski günlükleri kullanmak istiyorsanız Azure portalını kullanarak tanılama günlüğünü etkinleştirebilirsiniz. Ardından Azure Güvenlik Duvarı için GitHub Çalışma Kitabı'na gidin ve sayfadaki yönergeleri izleyin.

Ayrıca Azure Güvenlik Duvarı için kullanılabilen tanılama günlüklerine ve ölçümlere genel bir bakış için Azure Güvenlik Duvarı günlüklerini ve ölçümlerini okuyun.

Başlayın

Güvenlik duvarı yapılandırılmış günlüklerini ayarladıktan sonra, aşağıdaki adımları izleyerek Azure Güvenlik Duvarı ekli çalışma kitaplarını kullanın:

  1. Portalda Azure Güvenlik Duvarı kaynağınıza gidin.

  2. İzlemealtında, Çalışma Kitaplarıseçin.

  3. Galeride, aşağıdaki görüntüde gösterildiği gibi yeni çalışma kitapları oluşturabilir veya mevcut Azure Güvenlik Duvarı çalışma kitabını kullanabilirsiniz:

    Güvenlik duvarı çalışma kitabı galerisini gösteren ekran görüntüsü.

  4. Aşağıdaki görüntüde gösterildiği gibi bu çalışma kitabında kullanmak istediğiniz Log Analytics çalışma alanını ve bir veya daha fazla güvenlik duvarı adını seçin:

    Çalışma kitabındaki çalışma alanı ve Azure Güvenlik Duvarı seçimlerini gösteren ekran görüntüsü.

Çalışma kitabı bölümleri

Azure Güvenlik Duvarı çalışma kitabında her biri hizmetin farklı yönlerini ele alan yedi sekme vardır. Aşağıdaki bölümlerde her sekme açıklanmaktadır.

Genel Bakış

Genel bakış sekmesinde, çeşitli günlük kategorilerinden toplanan tüm güvenlik duvarı olayı türleriyle ilgili grafikler ve istatistikler gösterilir. Bu toplama ağ kurallarını, uygulama kurallarını, DNS'yi, İzinsiz Giriş Algılama ve Önleme Sistemi'ne (IDPS), Tehdit Bilgileri'ne ve daha fazlasını içerir. Genel Bakış sekmesindeki kullanılabilir pencere öğeleri şunlardır:

  • Zamana göre olaylar: Zaman içindeki olay sıklığını görüntüler.
  • Zaman içinde güvenlik duvarına göre olaylar: Zaman içinde güvenlik duvarları arasında olay dağıtımlarını gösterir.
  • Olaylar, kategoriye göre: Olayları kategorilere ayırır ve sayar.
  • Zamana göre olay kategorileri: Zaman içindeki olay kategorilerini görüntüler.
  • Güvenlik duvarı trafiğinin ortalama aktarım hızı: Güvenlik duvarından geçen ortalama verileri gösterir.
  • SNAT Bağlantı Noktası Kullanımı: SNAT bağlantı noktalarının kullanımını görüntüler.
  • Ağ Kuralı İsabet sayısı (TOPLA): Ağ kuralı tetikleyicilerini sayar.
  • Uygulama Kuralı İsabet sayısı (TOPLA): Uygulama kuralı tetikleyicilerini sayar.

Azure Güvenlik Duvarı Çalışma Kitabına genel bakış sekmesini gösteren ekran görüntüsü.

Uygulama kuralları

Uygulama kuralları sekmesi, Azure Güvenlik Duvarı ilkesindeki belirli uygulama kurallarınızla ilişkili Katman 7 ile ilgili olay istatistiklerini gösterir. Aşağıdaki pencere öğeleri Uygulama kuralları sekmesinde bulunur:

  • Uygulama Kuralı Kullanımı: Uygulama kurallarının kullanımını gösterir.
  • Zaman içinde reddedilen FQDN'ler: Zaman içinde reddedilen Tam Etki Alanı Adlarını (FQDN) görüntüler.
  • Reddedilen FQDN'ler sayısına göre: Reddedilen FQDN'lerin sayımları.
  • Zaman İçinde İzin Verilen FQDN'ler: Zaman içinde izin verilen FQDN'leri görüntüler.
  • Sayıya göre izin verilen FQDN'ler: İzin verilen FQDN sayısı.
  • İzin Verilen Web Kategorileri Zamanla: Zamanla izin verilen web kategorilerini gösterir.
  • Sayıya göre izin verilen Web Kategorileri: İzin verilen web kategorilerini sayar.
  • Reddedilen Web Kategorileri Zaman İçinde: Zaman içinde reddedilen web kategorilerini görüntüler.
  • Sayıya göre Reddedilen Web Kategorileri: Reddedilen web kategorileri sayısı.

Uygulama kuralları sekmesini gösteren ekran görüntüsü.

Ağ kuralları

Ağ kuralları sekmesi, Azure Güvenlik Duvarı ilkesindeki belirli ağ kurallarınızla ilişkili Katman 4 ile ilgili olay istatistiklerini gösterir. Ağ kuralları sekmesinde aşağıdaki pencere öğeleri kullanılabilir:

  • Kural eylemleri: Kurallar tarafından yapılan eylemleri görüntüler.
  • Hedef bağlantı noktaları: Ağ trafiğinde hedeflenen bağlantı noktalarını gösterir.
  • DNAT eylemleri: Hedef Ağ Adresi Çevirisi (DNAT) eylemlerini görüntüler.
  • Coğrafi Konum: Ağ trafiğine dahil olan coğrafi konumları gösterir.
  • IP adreslerine göre kural eylemleri: IP adreslerine göre kategorilere ayrılmış kural eylemlerini görüntüler.
  • Kaynak IP'ye göre hedef bağlantı noktaları: Kaynak IP adreslerine göre kategorilere ayrılmış hedeflenen bağlantı noktalarını gösterir.
  • Zaman içinde DNAT: Zaman içindeki DNAT eylemlerini görüntüler.
  • Zaman içinde Coğrafi Konum: Zaman içinde ağ trafiğine dahil olan coğrafi konumları gösterir.
  • Eylemler, zamana göre: Zaman içindeki ağ eylemlerini görüntüler.
  • Coğrafi Konum ile tüm IP adresleri olayları: COĞRAFI konuma göre kategorilere ayrılmış, IP adresleri içeren tüm olayları gösterir.

Ağ kuralları sekmesini gösteren ekran görüntüsü.

DNS proxy'si

Bu sekme, Azure Güvenlik Duvarı'nı istemci sanal makinelerinden DNS sunucusuna dns istekleri için aracı olarak hizmet veren bir DNS proxy'si işlevi görecek şekilde ayarlarsanız geçerlidir. DNS Proxy sekmesi, kullanabileceğiniz çeşitli pencere öğeleri içerir:

  • Güvenlik Duvarı başına sayıya göre DNS Ara Sunucusu Trafiği: Her güvenlik duvarı için DNS proxy trafik sayısını görüntüler.
  • İstek Adına göre DNS Proxy sayısı: DNS proxy isteklerini istek adına göre sayar.
  • İstemci IP'lerine göre DNS Proxy İsteği sayısı: DNS proxy isteklerini istemci IP adresine göre sayar.
  • İstemci IP'lerine göre zaman içinde DNS Proxy İsteği: Zaman içinde DNS proxy isteklerini istemci IP'lerine göre kategorilere ayrılmış olarak görüntüler.
  • DNS Proxy Bilgileri: DNS ara sunucu kurulumunuzla ilgili günlük bilgilerini sağlar.

DNS proxy sekmesini gösteren ekran görüntüsü.

İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS)

IDPS günlük istatistikleri sekmesi, kötü amaçlı trafik olaylarının ve hizmetin gerçekleştirilir önleyici eylemlerin bir özetini sağlar. IDPS sekmesi aşağıdaki pencere öğelerini içerir:

  • IDPS Eylem Sayısı: IDPS eylemlerini sayar.
  • IDPS Protokol Sayısı: IDPS tarafından algılanan protokolleri sayar.
  • IDPS SignatureID Sayısı: IDPS algılamalarını imza kimliğine göre sayar.
  • IDPS SourceIP Sayısı: IDPS algılamalarını kaynak IP adresine göre sayar.
  • Sayıya Göre Filtrelenmiş IDPS Eylemleri: Filtrelenmiş IDPS eylemlerini sayar.
  • Sayıya Göre Filtrelenmiş IDPS Protokolleri: Filtrelenen IDPS protokollerini sayar.
  • Sayıya göre filtrelenmiş IDPS signatureID'leri: Filtrelenmiş IDPS algılamalarını imza kimliğine göre sayar.
  • Filtrelenmiş SourceIP: IDPS tarafından algılanan filtrelenmiş kaynak IP'lerini görüntüler.
  • Zaman içindeki Azure Güvenlik Duvarı IDPS sayısı: Zaman içinde Azure Güvenlik Duvarı IDPS sayısını gösterir.
  • Coğrafi Konum ile Azure Güvenlik Duvarı IDPS günlükleri: Coğrafi konuma göre kategorilere ayrılmış Azure Güvenlik Duvarı IDPS günlükleri sağlar.

IDPS sekmesini gösteren ekran görüntüsü.

Tehdit Bilgileri (TI)

Bu sekme tehdit bilgileri etkinliklerinin kapsamlı bir görünümünü sağlar ve en yaygın tehditleri, eylemleri ve protokolleri vurgular. Bu tehditlerle ilişkili ilk beş tam etki alanı adını (FQDN) ve IP adresini listeler ve zaman içindeki tehdit istihbaratı tespitlerini gösterir. Ayrıca Azure Güvenlik Duvarı'nın Tehdit Bilgileri'nden ayrıntılı günlükleri analiz edebilirsiniz. Tehdit Bilgileri sekmesi aşağıdaki pencere öğelerini içerir:

  • Tehdit İstihbaratı Eylemleri Sayısı: Tehdit İstihbaratı tarafından algılanan eylemleri sayar.
  • Tehdit İstihbaratı Protokol Sayısı: Tehdit İstihbaratı tarafından tanımlanan protokolleri sayar.
  • İlk 5 FQDN Sayısı: En sık kullanılan ilk beş tam etki alanı adını (FQDN) görüntüler.
  • İlk 5 IP Sayısı: En sık kullanılan ilk beş IP adresini gösterir.
  • Zaman içinde Azure Güvenlik Duvarı Tehdit Bilgileri: Zaman içinde Azure Güvenlik Duvarı Tehdit Bilgileri algılamalarını görüntüler.
  • Azure Güvenlik Duvarı Tehdit Bilgileri: Azure Güvenlik Duvarı'nın Tehdit İstihbaratından günlükler sağlar.

Tehdit bilgileri sekmesini gösteren ekran görüntüsü.

Soruşturmalar

Araştırma bölümü, araştırma ve sorun gidermeye olanak tanır. Trafiğin başlatılması veya sonlandırılmasıyla ilişkili sanal makine adı ve ağ arabirimi adı gibi ek ayrıntılar sağlar. Ayrıca, kaynak IP adresleri ile erişmeye çalıştıkları tam etki alanı adları (FQDN'ler) arasında bağıntılar kurar ve trafiğinizin coğrafi konum görünümünü sağlar. Araştırma sekmesi aşağıdaki pencere öğelerini içerir:

  • Sayıya Göre FQDN Trafiği: Trafiği tam etki alanı adlarına (FQDN' ler) göre sayar.
  • Kaynak IP Adresi sayısı: Kaynak IP adreslerinin oluşumlarını sayar.
  • Kaynak IP Adresi Kaynak Arama: Kaynak IP adresleriyle ilişkili kaynakları arar.
  • FQDN Arama günlükleri: FQDN aramalarından günlükler sağlar.
  • Coğrafi Konumlu Azure Güvenlik Duvarı Premium – IDPS: Azure Güvenlik Duvarı'nın coğrafi konuma göre kategorilere ayrılmış Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS) algılamalarını görüntüler.

Araştırma sekmesini gösteren ekran görüntüsü.

Sonraki adımlar

  • Last updated on