你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用Azure 防火墙工作簿

  • 项目

Azure 防火墙工作簿为 Azure 防火墙数据分析提供了一个灵活的画布。 该画布可用于在 Azure 门户中创建丰富的视觉对象报表。 你可以利用跨 Azure 部署的多个防火墙,并将其组合成统一的交互式体验。

可以深入了解 Azure 防火墙事件,了解应用程序和网络规则,并查看跨 URL、端口和地址的防火墙活动统计信息。 借助 Azure 防火墙工作簿,可以筛选防火墙和资源组,并且可以按类别进行动态地筛选,以便在调查日志中的问题时,数据集易于读取。

先决条件

在开始之前,请通过Azure 门户启用 Azure 结构化防火墙日志

重要

以下所有部分仅适用于防火墙结构化日志。

如果要使用旧日志,可以使用Azure 门户启用诊断日志记录。 然后转到 gitHub Workbook for Azure 防火墙,并按照页面上的说明进行操作。

另请参阅 Azure 防火墙日志和指标,以获取关于可用于 Azure 防火墙的诊断日志和指标的概述。

开始使用

设置防火墙结构化日志后,即可使用以下步骤使用Azure 防火墙嵌入工作簿:

  1. 在门户中,导航到Azure 防火墙资源。

  2. 在“监视”下,选择“工作簿”。

  3. 在库中,可以创建新工作簿或使用现有的Azure 防火墙工作簿,如下所示:

    Screenshot showing the firewall workbook gallery.

  4. 选择 Log Analytics 工作区以及想要在此工作簿中使用的一个或多个防火墙名称,如下所示:

    Screenshot showing structured logs.

工作簿的各个部分

Azure 防火墙工作簿有七个选项卡,每个选项卡都涉及服务的不同方面。 以下各节介绍每个选项卡。

概述

“概述”选项卡展示了与从各种日志记录类别聚合的所有类型的防火墙事件相关的图形和统计信息。 这包括网络规则、应用程序规则、DNS、入侵检测和防护系统(IDPS)、威胁情报等。 “概述”选项卡中的可用小组件包括:

  • 事件,按时间:显示一段时间内的事件频率。
  • 事件,按防火墙随时间推移:显示一段时间内跨防火墙的事件分布。
  • 事件,按类别:分类和计数事件。
  • 事件类别,按时间:显示随时间推移的事件类别。
  • 防火墙流量的平均吞吐量:显示通过防火墙传递的平均数据。
  • SNAT 端口利用率:显示 SNAT 端口的使用情况。
  • 网络规则命中计数 (SUM):对网络规则触发器进行计数。
  • 应用程序规则命中计数 (SUM):对应用程序规则触发器进行计数。

Azure Firewall Workbook overview

应用程序规则

“应用程序规则”选项卡显示与Azure 防火墙策略中特定应用程序规则相关的第 7 层相关事件统计信息。 应用程序规则选项卡中提供了以下小组件:

  • 应用程序规则用法:显示应用程序规则的使用情况。
  • 被拒绝的 FQDN 加班:显示一段时间内被拒绝的完全限定域名(FQDN)。
  • 按计数拒绝 FQDN:计数被拒绝的 FQDN。
  • 允许的 FQDN 加班:显示一段时间内允许的 FQDN。
  • 允许的 FQDN 按计数:允许的 FQDN 计数。
  • 允许的 Web 类别加班:显示一段时间内允许的 Web 类别。
  • 允许的 Web 类别按计数:允许的 Web 类别计数。
  • 被拒绝的 Web 类别加班:显示一段时间内被拒绝的 Web 类别。
  • 按计数拒绝 Web 类别:拒绝的 Web 类别计数。

Screenshot showing the application rules tab.

网络规则

“网络规则”选项卡显示与Azure 防火墙策略中特定网络规则相关的第 4 层相关事件统计信息。 “网络规则”选项卡中提供了以下小组件:

  • 规则操作:显示规则执行的操作。
  • 目标端口:显示网络流量中的目标端口。
  • DNAT 操作:显示目标网络地址转换(DNAT)的操作。
  • GeoLocation:显示网络流量中涉及的地理位置。
  • 规则操作,按 IP 地址:显示按 IP 地址分类的规则操作。
  • 目标端口,按源 IP:显示按源 IP 地址分类的目标端口。
  • DNAT 随时间推移:显示随时间推移的 DNAT 操作。
  • 地理位置随时间推移:显示一段时间内网络流量中涉及的地理位置。
  • 操作,按时间:显示一段时间内的网络操作。
  • 具有 GeoLocation 的所有 IP 地址事件:显示涉及 IP 地址的所有事件,按地理位置分类。

Screenshot showing network rules tab.

DNS 代理

如果已设置Azure 防火墙以充当 DNS 代理,则此选项卡相关,充当从客户端虚拟机到 DNS 服务器的 DNS 请求的中介。 “DNS 代理”选项卡包括可以使用的各种小组件:

  • DNS 代理流量按每个防火墙计数:显示每个防火墙的 DNS 代理流量计数。
  • 按请求名称对 DNS 代理计数:按请求名称对 DNS 代理请求进行计数。
  • 客户端 IP 的 DNS 代理请求计数:按客户端 IP 地址对 DNS 代理请求进行计数。
  • 客户端 IP 随时间推移的 DNS 代理请求:按客户端 IP 分类显示 DNS 代理请求。
  • DNS 代理信息:提供与 DNS 代理设置相关的日志信息。

Screenshot showing the DNS proxy tab.

入侵检测和防护系统 (IDPS)

IDPS 日志统计信息选项卡提供恶意流量事件的摘要以及服务采取的预防措施。 在“IDPS”选项卡中,可以找到可以使用的各种小组件:

  • IDPS 操作计数:对 IDPS 操作进行计数。
  • IDPS 协议计数:对 IDPS 检测到的协议进行计数。
  • IDPS SignatureID Count:按签名 ID 对 IDPS 检测进行计数。
  • IDPS SourceIP 计数:按源 IP 地址对 IDPS 检测进行计数。
  • 按计数筛选的 IDPS 操作:计数筛选的 IDPS 操作。
  • 按计数筛选的 IDPS 协议:计数筛选的 IDPS 协议。
  • 按计数筛选的 IDPS 签名 ID:按签名 ID 筛选的 IDPS 检测计数。
  • 筛选的 SourceIP:显示 IDPS 检测到的筛选源 IP。
  • Azure 防火墙 IDPS 计数随时间推移:显示随时间推移Azure 防火墙 IDPS 计数。
  • 使用 GeoLocation Azure 防火墙 IDPS 日志:提供按地理位置分类的Azure 防火墙 IDPS 日志。

Screenshot showing the IDPS tab.

威胁情报(TI)

此选项卡提供对威胁情报活动、聚焦最普遍的威胁、操作和协议的全面视角。 它描绘了前五个完全限定的域名(FQDN)和与这些威胁关联的 IP 地址,并展示随时间推移的威胁情报检测。 此外,还提供来自Azure 防火墙威胁情报的详细日志,以便进行全面分析。 在“威胁智能”选项卡中,你将找到可以使用的各种小组件:

  • 威胁 Intel 操作计数:对威胁智能检测到的操作进行计数。
  • 威胁 Intel 协议计数:对威胁智能标识的协议进行计数。
  • 前 5 个 FQDN 计数:显示前五个最频繁的完全限定域名(FQDN)。
  • 前 5 个 IP 计数:显示前五个最常见的 IP 地址。
  • Azure 防火墙威胁 Intel 随时间推移:显示一段时间内Azure 防火墙威胁情报检测。
  • Azure 防火墙威胁 Intel:提供来自Azure 防火墙威胁智能的日志。

Screenshot showing the threat intelligence tab.

调查

调查部分支持浏览和故障排除,提供其他详细信息,例如与启动或终止流量关联的虚拟机名称和网络接口名称。 它还在源 IP 地址、完全限定的域名(FQDN)之间建立关联,它们尝试访问流量的地理位置视图。 “调查”选项卡中提供的小组件:

  • FQDN 流量按计数:按完全限定的域名(FQDN)对流量进行计数。
  • 源 IP 地址计数:对源 IP 地址的出现次数进行计数。
  • 源 IP 地址资源查找:查找与源 IP 地址关联的资源。
  • FQDN 查找日志:提供来自 FQDN 查找的日志。
  • Azure 防火墙 高级版地理位置 – IDPS:显示Azure 防火墙的入侵检测和防护系统 (IDPS) - 检测,按地理位置分类。

Screenshot showing the investigation tab.

后续步骤