使用 Azure 防火牆 活頁簿

  • 發行項

Azure 防火牆活頁簿提供彈性的畫布來Azure 防火牆資料分析。 您可以使用它,在Azure 入口網站內建立豐富的視覺效果報表。 您可以點選跨 Azure 部署的多個防火牆,並將其結合成統一的互動式體驗。

您可以深入瞭解Azure 防火牆事件、瞭解您的應用程式和網路規則,以及查看跨 URL、埠和位址的防火牆活動統計資料。 Azure 防火牆活頁簿可讓您篩選防火牆和資源群組,並在調查記錄中的問題時,以易讀資料集的方式動態篩選每個類別。

必要條件

開始之前,請透過Azure 入口網站啟用 Azure 結構化防火牆記錄

重要

下列各節僅適用于防火牆結構化記錄。

如果您想要使用舊版記錄,您可以使用 Azure 入口網站來啟用 診斷記錄 。 然後移至 gitHub Workbook for Azure 防火牆 ,然後依照頁面上的指示操作。

此外,請參閱 Azure 防火牆記錄和計量 ,以取得Azure 防火牆可用診斷記錄和計量的概觀。

開始使用

設定防火牆結構化記錄之後,您全都會使用下列步驟來使用Azure 防火牆內嵌活頁簿:

  1. 在入口網站中,流覽至您的Azure 防火牆資源。

  2. 在 [監視] 底下 ,選取 [ 活頁簿 ]。

  3. 在資源庫中,您可以建立新的活頁簿或使用現有的Azure 防火牆活頁簿,如下所示:

    Screenshot showing the firewall workbook gallery.

  4. 選取記錄分析工作區,以及您想要在此活頁簿中使用的一或多個防火牆名稱,如下所示:

    Screenshot showing structured logs.

活頁簿區段

Azure 防火牆活頁簿有七個索引標籤,每個索引標籤都會處理服務的不同層面。 下列各節說明每個索引標籤。

概觀

[概觀] 索引標籤會展示與從各種記錄類別匯總之所有類型的防火牆事件相關的圖表和統計資料。 這包括網路規則、應用程式規則、DNS、入侵偵測和預防系統(IDPS)、威脅情報等。 [概觀] 索引標籤中的可用小工具包括:

  • 事件,依時間 :顯示一段時間的事件頻率。
  • 事件,依防火牆一段時間 :顯示一段時間內跨防火牆的事件分佈。
  • 事件,依類別 分類:分類和計算事件。
  • 事件類別,依時間 :顯示一段時間的事件類別。
  • 防火牆流量 的平均輸送量:顯示通過防火牆的平均資料。
  • SNAT 埠使用率 :顯示 SNAT 埠的使用方式。
  • 網路規則叫用計數 (SUM) :計算網路規則引發程式。
  • 應用程式規則叫用計數 (SUM) :計算應用程式規則引發程式。

Azure Firewall Workbook overview

應用程式規則

[應用程式規則] 索引標籤會顯示與Azure 防火牆原則中特定應用程式規則相互關聯的第 7 層相關事件統計資料。 下列小工具可在 [應用程式規則] 索引標籤中找到:

  • 應用程式規則使用方式 :顯示應用程式規則的使用方式。
  • 拒絕 FQDN 的加班 時間:顯示一段時間內拒絕的完整功能變數名稱 (FQDN)。
  • 依計數 拒絕 FQDN:拒絕 FQDN 的計數。
  • 允許的 FQDN 加班 時間:顯示一段時間內允許的 FQDN。
  • 允許的 FQDN 計數 :允許的 FQDN 計數。
  • 允許的 Web 類別加班 :顯示一段時間允許的 Web 類別。
  • 允許的 Web 類別依計數 :允許的 Web 類別。
  • 拒絕的 Web 類別加班 :顯示一段時間內拒絕的 Web 類別。
  • 依計數 拒絕的 Web 類別:拒絕的 Web 類別計數。

Screenshot showing the application rules tab.

網路規則

[網路規則] 索引標籤會顯示與Azure 防火牆原則中特定網路規則相互關聯的第 4 層相關事件統計資料。 下列小工具可在 [網路規則] 索引標籤中取得:

  • 規則動作 :顯示規則所採取的動作。
  • 目標埠 :在網路流量中顯示目標埠。
  • DNAT 動作 :顯示目的地網路位址翻譯 (DNAT) 的動作。
  • 地理位置:顯示網路流量所涉及的地理位置。
  • 依 IP 位址的規則動作:顯示依 IP 位址 分類的規則動作。
  • 目標埠,依來源 IP:顯示依來源 IP 位址分類的目標埠。
  • DNAT 經過一段時間 :顯示一段時間的 DNAT 動作。
  • 地理位置隨著時間 :顯示一段時間涉及網路流量的地理位置。
  • 動作,依時間 :顯示一段時間的網路動作。
  • 具有 GeoLocation 的所有 IP 位址事件:顯示所有涉及 IP 位址的事件,依地理位置分類。

Screenshot showing network rules tab.

DNS Proxy

如果您已設定Azure 防火牆做為 DNS Proxy,則此索引標籤會相關,做為從用戶端虛擬機器到 DNS 伺服器的 DNS 要求的媒介。 [DNS Proxy] 索引標籤包含各種小工具,您可以使用:

  • 每個防火牆 的 DNS Proxy 流量計數:顯示每個防火牆的 DNS Proxy 流量計數。
  • 依要求名稱 計算 DNS Proxy 計數:依要求名稱計算 DNS Proxy 要求。
  • 依用戶端 IP 的 DNS Proxy 要求計數:依用戶端 IP 位址計算 DNS Proxy 要求。
  • 依用戶端 IP 一段時間的 DNS Proxy 要求:顯示一段時間的 DNS Proxy 要求,並依用戶端 IP 分類。
  • DNS Proxy 資訊 :提供與 DNS Proxy 設定相關的記錄資訊。

Screenshot showing the DNS proxy tab.

入侵偵測與預防系統 (IDPS)

[IDPS 記錄統計資料] 索引標籤提供惡意流量事件的摘要,以及服務所執行的預防性動作。 在 [IDPS] 索引標籤中,您會發現各種小工具可供您使用:

  • IDPS 動作計數 :計算 IDPS 動作。
  • IDPS 通訊協定計數 :計算 IDPS 偵測到的通訊協定。
  • IDPS SignatureID 計數 :依簽章識別碼計算 IDPS 偵測。
  • IDPS 來源 IP 計數 :依來源 IP 位址計算 IDPS 偵測。
  • 依計數 篩選的 IDPS 動作:計數篩選的 IDPS 動作。
  • 依計數 篩選的 IDPS 通訊協定:計算篩選的 IDPS 通訊協定。
  • 依計數 篩選的 IDPS 簽章識別碼:依簽章識別碼篩選的 IDPS 偵測計數。
  • 篩選的來源IP :顯示 IDPS 偵測到的已篩選來源 IP。
  • Azure 防火牆一段時間 的 IDPS 計數:顯示一段時間Azure 防火牆 IDPS 計數。
  • 使用 GeoLocation Azure 防火牆 IDPS 記錄:提供依地理位置分類的Azure 防火牆 IDPS 記錄。

Screenshot showing the IDPS tab.

威脅情報 (TI)

此索引標籤提供威脅情報活動的完整觀點,聚焦最普遍的威脅、動作和通訊協定。 它會區分前五個完整功能變數名稱 (FQDN) 和與這些威脅相關聯的 IP 位址,並顯示一段時間的威脅情報偵測。 此外,Azure 防火牆威脅情報的詳細記錄會提供完整的分析。 在 [威脅情報] 索引標籤內,您會發現您可以使用的各種小工具:

  • 威脅 Intel 動作計數 :計算威脅情報偵測到的動作。
  • 威脅 Intel 通訊協定計數 :計算威脅情報所識別的通訊協定。
  • 前 5 個 FQDN 計數 :顯示前五個最頻繁的完整功能變數名稱 (FQDN)。
  • 前 5 個 IP 計數 :顯示前五個最常見的 IP 位址。
  • Azure 防火牆威脅 Intel 一段時間 :顯示一段時間Azure 防火牆威脅情報偵測。
  • Azure 防火牆威脅 Intel :提供來自Azure 防火牆威脅情報的記錄。

Screenshot showing the threat intelligence tab.

調查

調查區段可讓您進行探索和疑難排解,並提供其他詳細資料,例如虛擬機器名稱和與流量起始或終止相關聯的網路介面名稱。 它也會在來源 IP 位址、他們嘗試存取的完整功能變數名稱(FQDN)以及流量的地理位置檢視之間建立相互關聯。 [調查] 索引標籤中可用的小工具:

  • FQDN 流量依計數 :依完整功能變數名稱計算流量(FQDN)。
  • 來源 IP 位址計數 :計算來源 IP 位址的出現次數。
  • 來源 IP 位址資源查閱 :查閱與來源 IP 位址相關聯的資源。
  • FQDN 查閱記錄 :提供來自 FQDN 查閱的記錄。
  • Azure 防火牆 進階版與地理位置 – IDPS :顯示Azure 防火牆的入侵偵測與預防系統 - (IDPS) - 偵測,依地理位置分類。

Screenshot showing the investigation tab.

下一步