分享方式:


以 Azure 防火牆威脅情報為主的篩選

您可為防火牆啟用威脅情報型篩選,以警示並拒絕來自/流向已知惡意 IP 位址、FQDN 和 URL 的流量。 IP 位址、網域和 URL 來自 Microsoft 威脅情報摘要,包含 Microsoft 網路安全性小組等多個來源。 Intelligent Security Graph 可支援 Microsoft 威脅情報的運作,並使用包含適用於雲端的 Microsoft Defender 的多項服務。

防火牆威脅情報

如已啟用威脅情報型篩選,則防火牆會先處理相關聯的規則,再處理任何 NAT 規則、網路規則或應用程式規則。

規則觸發時,您可選擇只記錄警示,也可選擇警示和拒絕模式。

根據預設,威脅情報型篩選位於警示模式。 在區域中的入口網站介面變成可用為止之前,您都無法關閉此功能或變更模式。

您可以定義允許清單,讓威脅情報不會篩選流向任何列出的 FQDN、IP 位址、範圍或子網路的流量。

針對批次作業,您可以上傳包含 IP 位址、範圍和子網路清單的 CSV 檔案。

威脅情報篩選的入口網站介面

記錄

下列記錄摘錄顯示觸發的規則:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

測試

  • 輸出測試:輸出流量警示極為罕見,因為這表示環境遭到入侵。 觸發警示的測試 FQDN 存在的目的是為了協助測試輸出警示能否正常運作。 針對輸出測試使用 testmaliciousdomain.eastus.cloudapp.azure.com

    若要準備測試,並確保您未收到 DNS 解析失敗,請設定下列項目:

    • 將虛擬記錄新增至測試電腦上的主機檔案。 例如,在執行 Windows 的電腦上,您可以將 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com 新增至 C:\Windows\System32\drivers\etc\hosts 檔案。
    • 請確保允許已測試的 HTTP/S 要求使用應用程式規則,而不是網路規則。
  • 輸入測試:如果防火牆已設定 DNAT 規則,您可能會看到有關傳入流量的警示。 即使防火牆只允許 DNAT 規則上的特定來源,而且流量遭到拒絕,您仍會看到警示。 Azure 防火牆不會對所有已知的連接埠掃描器發出警示,僅對也會參與惡意活動的掃描器發出警示。

下一步