konfigurace analýzy hrozeb Azure Firewall
Filtrování na základě analýzy hrozeb je možné nakonfigurovat pro zásady Azure Firewall tak, aby upozorňovaly na provoz ze známých škodlivých IP adres a domén a odepíraly je. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu. Intelligent Security Graph využívá analýzu hrozeb Microsoftu a používá ho několik služeb, včetně Microsoft Defender for Cloud.
Pokud jste nakonfigurovali filtrování na základě analýzy hrozeb, zpracují se přidružená pravidla před libovolným z pravidel překladu adres (NAT), pravidel sítě nebo pravidel aplikací.
Režim analýzy hrozeb
Analýzu hrozeb můžete nakonfigurovat v jednom ze tří režimů popsaných v následující tabulce. Ve výchozím nastavení je filtrování na základě analýzy hrozeb povolené v režimu upozornění.
| Režim | Popis |
|---|---|
Off |
Funkce analýzy hrozeb není pro vaši bránu firewall povolená. |
Alert only |
Budete dostávat vysoce důvěryhodná upozornění na provoz procházející bránou firewall na známé škodlivé IP adresy a domény nebo z této brány firewall. |
Alert and deny |
Provoz je zablokovaný a vy budete dostávat vysoce důvěryhodná upozornění, když se zjistí, že se provoz pokouší projít bránou firewall na známé škodlivé IP adresy a domény nebo ze známých škodlivých IP adres a domén. |
Poznámka
Režim analýzy hrozeb se dědí z nadřazených zásad na podřízené zásady. Podřízené zásady musí být nakonfigurované se stejným nebo přísnějším režimem než nadřazené zásady.
Adresy na seznamu povolených
Analýza hrozeb může aktivovat falešně pozitivní výsledky a blokovat provoz, který je ve skutečnosti platný. Seznam povolených IP adres můžete nakonfigurovat tak, aby analýza hrozeb nefiltrovála žádné ze zadaných adres, rozsahů ani podsítí.
Seznam povolených položek můžete aktualizovat několika položkami najednou tak, že nahrajete soubor CSV. Soubor CSV může obsahovat pouze IP adresy a rozsahy. Soubor nemůže obsahovat nadpisy.
Poznámka
Adresy v seznamu povolených pro analýzu hrozeb se dědí z nadřazených zásad do podřízených zásad. Všechny IP adresy nebo rozsahy přidané do nadřazených zásad budou platit i pro všechny podřízené zásady.
Protokoly
Následující výňatek z protokolu ukazuje pravidlo aktivované pro odchozí provoz na škodlivý web:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testování
Testování odchozích přenosů – Upozornění na odchozí provoz by se měla vyskytovat jen zřídka, protože to znamená, že došlo k ohrožení vašeho prostředí. Abychom pomohli otestovat, jestli odchozí upozornění fungují, vytvořili jsme testovací plně kvalifikovaný název domény, který aktivuje výstrahu. Použijte
testmaliciousdomain.eastus.cloudapp.azure.compro odchozí testy.Příchozí testování – pokud jsou v bráně firewall nakonfigurovaná pravidla DNAT, můžete očekávat, že se budou zobrazovat upozornění na příchozí provoz. To platí i v případě, že pravidlo DNAT povoluje pouze konkrétní zdroje a provoz se jinak odepře. Azure Firewall neupozorní na všechny známé skenery portů, ale jenom na skenery, o kterých se ví, že se také podílejí na škodlivých aktivitách.
Další kroky
- Projděte si sestavu Microsoft Security Intelligence.