Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure Kaynak Grafiği kullanarak Azure Güvenlik Duvarı kural koleksiyonu gruplarındaki değişikliklerin nasıl izleneceği gösterilmektedir. Değişiklik izleme, kural kümesi değişikliklerinin ayrıntılı geçmişini sağlayarak güvenlik uyumluluğunu korumanıza, yapılandırma değişikliklerini denetlemenize ve sorunları gidermenize yardımcı olur.
Azure Kaynak Grafı, Azure Güvenlik Duvarı kural koleksiyonu gruplarında ne zaman değişiklik algılandığını izlemenize yardımcı olan değişiklik analizi verileri sağlar. Aboneliğiniz, yönetim grubunuz veya kiracınız genelinde özellik değişikliği ayrıntılarını görüntüleyebilir ve değişiklikleri büyük ölçekte sorgulayabilirsiniz.
Azure Güvenlik Duvarı kural koleksiyonu grupları için değişiklik izleme şunları sağlar:
- Yapılandırma değişikliklerini izleme: Güvenlik duvarı kurallarında ve ilkelerinde yapılan tüm değişiklikleri izleme
- Uyumluluğu koruma: Güvenlik ve uyumluluk gereksinimleri için denetim izleri oluşturma
- Sorunları giderme: Bağlantıyı etkileyebilecek değişikliklerin ne zaman yapıldığını belirleme
- Eğilimleri analiz etme: Zaman içindeki kural değişikliklerindeki desenleri anlama
Önkoşullar
Kural kümesi değişikliklerini izleyebilmeden önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:
- Yapılandırılmış kural koleksiyonu gruplarına sahip bir Azure Güvenlik Duvarınız var
- Azure Kaynak Grafı'na erişmek için uygun izinlere sahipsiniz
- Azure Güvenlik Duvarınız Azure Güvenlik Duvarı İlkesi kullanıyor (klasik kurallar değil)
Azure Kaynak Grafı Gezgini'ne erişme
Değişiklik izleme sorgularını çalıştırmak için Azure Kaynak Grafı Gezgini'ne erişmeniz gerekir:
- Azure portalda oturum açma
- Kaynak Grafı Gezgini arayın ve seçin
- Sorgu penceresinde, aşağıdaki bölümlerde açıklanan değişiklik izleme sorgularını çalıştırabilirsiniz
Temel değişiklik izleme sorgusu
Azure Güvenlik Duvarı kural koleksiyonu gruplarında yapılan tüm değişikliklerin kapsamlı bir görünümünü elde etmek için bu sorguyu kullanın:
networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| extend parsedProperties = parse_json(properties)
| extend TargetResource = tostring(parsedProperties.targetResourceId),
Timestamp = todatetime(parsedProperties.changeAttributes.timestamp),
Changes = todynamic(parsedProperties.changes),
ChangeType = tostring(parsedProperties.changeType),
PreviousSnapshotId = tostring(parsedProperties.changeAttributes.previousResourceSnapshotId),
NewSnapshotId = tostring(parsedProperties.changeAttributes.newResourceSnapshotId),
CorrelationId = tostring(parsedProperties.changeAttributes.correlationId),
ChangesCount = toint(parsedProperties.changeAttributes.changesCount),
TenantId = tostring(tenantId),
Location = tostring(location),
SubscriptionId = tostring(subscriptionId),
ResourceGroup = tostring(resourceGroup),
FirewallPolicyName = extract('/firewallPolicies/([^/]+)/', 1, tostring(id))
| mv-expand ChangeKey = bag_keys(Changes)
| extend ChangeDetails = todynamic(Changes[tostring(ChangeKey)])
| extend RuleCollectionName = extract('properties\\.ruleCollections\\["([^"]+)"\\]', 1, tostring(ChangeKey))
| where isnotempty(RuleCollectionName)
| summarize Changes = make_list(pack("ChangeKey", ChangeKey, "PreviousValue", tostring(ChangeDetails.previousValue), "NewValue", tostring(ChangeDetails.newValue)))
by Timestamp = format_datetime(Timestamp, 'yyyy-MM-dd HH:mm:ss'),
TenantId,
SubscriptionId,
ResourceGroup,
Location,
TargetResource,
FirewallPolicyName,
RuleCollectionName,
ChangeType,
PreviousSnapshotId,
NewSnapshotId,
CorrelationId,
ChangesCount
| project Timestamp,
TenantId,
SubscriptionId,
ResourceGroup,
Location,
TargetResource,
FirewallPolicyName,
RuleCollectionName,
ChangeType,
PreviousSnapshotId,
NewSnapshotId,
CorrelationId,
ChangesCount,
Changes
| order by Timestamp desc
Sorgu sonuçlarını anlama
Değişiklik izleme sorgusu, algılanan her değişiklik için aşağıdaki bilgileri döndürür:
| Veri Alanı | Description |
|---|---|
| Zaman damgası | Değişiklik gerçekleştiğinde |
| SubscriptionId | Güvenlik duvarını içeren Azure aboneliği |
| ResourceGroup | Güvenlik duvarı ilkesini içeren kaynak grubu |
| FirewallPolicyName | Etkilenen güvenlik duvarı ilkesinin adı |
| RuleCollectionName | Etkilenen kural koleksiyonunun adı |
| DeğişiklikTürü | Değişiklik türü (Oluştur, Güncelleştir, Sil) |
| DeğişiklikSayısı | Değiştirilen özellik sayısı |
| Değişiklik | Önceki ve yeni değerler de dahil olmak üzere değişenlerin ayrıntılı listesi |
| CorrelationId (Korelasyon Kimliği) | İlgili değişiklikleri bağlayan benzersiz tanımlayıcı |
Zaman aralığına göre değişiklikleri filtreleme
Son değişikliklere odaklanmak için sorgunuza bir zaman filtresi ekleyebilirsiniz:
networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where todatetime(properties.changeAttributes.timestamp) >= ago(7d) // Last 7 days
// ... rest of query
Belirli güvenlik duvarı ilkesine göre filtreleme
Belirli bir güvenlik duvarı ilkesindeki değişiklikleri izlemek için:
networkresourcechanges
| where properties contains "microsoft.network/firewallpolicies/rulecollectiongroups"
| where id contains "/firewallPolicies/your-policy-name"
// ... rest of query
Otomatik izlemeyi ayarlama
Sürekli izleme için şunları ayarlamayı göz önünde bulundurun:
- Zamanlanmış sorgular: Sorguları zamanlamaya göre çalıştırmak için Azure Logic Apps veya Azure Otomasyonu kullanma
- Uyarılar: Değişiklik desenlerine göre Azure İzleyici uyarıları oluşturma
- Raporlar: Sonuçları raporlama için depolama veya görselleştirme araçlarına aktarma
En iyi yöntemler
Kural kümesi değişiklik izlemesi uygulanırken:
- Düzenli izleme: Değişiklikleri hemen yakalamak için düzenli sorgu yürütmeyi ayarlama
- Bekletme ilkeleri: Uyumluluk için değişiklik verilerinin uzun süreli depolanmasını planlama
- Erişim denetimi: Güvenlik gereksinimlerine göre değişiklik izleme verilerine erişimi sınırlama
- Tümleştirme: Mevcut SIEM veya izleme araçlarınızla tümleştirmeyi göz önünde bulundurun
Sorun giderme
Sonuçlarınızda beklenen değişiklikleri görmüyorsanız:
- Azure Güvenlik Duvarı İlkesi'ni (klasik kurallar değil) kullandığınızı doğrulayın
- Sorgunuzdaki zaman aralığının değişikliklerin ne zaman gerçekleştiğini kapsadığını denetleyin
- Azure Kaynak Grafı'na erişmek için gerekli izinlere sahip olduğunuzdan emin olun
- Filtrelerinizdeki kaynak adlarının doğru olduğunu onaylayın