Azure Firewall-munkafüzetek használata

  • Cikk

Az Azure Firewall-munkafüzet rugalmas vászont biztosít az Azure Firewall adatelemzéséhez. Segítségével gazdag vizualizációs jelentéseket hozhat létre az Azure Portalon. Az Azure-ban üzembe helyezett több tűzfalra is koppinthat, és egyesítheti őket egységes interaktív felületekké.

Betekintést nyerhet az Azure Firewall eseményeibe, megismerheti az alkalmazás- és hálózati szabályokat, és megtekintheti a tűzfaltevékenységek statisztikáit URL-címeken, portokon és címeken. Az Azure Firewall-munkafüzettel szűrheti a tűzfalakat és az erőforráscsoportokat, és kategóriánként dinamikusan szűrhet, könnyen olvasható adatkészletekkel a naplókban található problémák kivizsgálásakor.

Előfeltételek

Mielőtt hozzákezd, engedélyezze az Azure Strukturált tűzfalnaplókat az Azure Portalon keresztül.

Fontos

Az alábbi szakaszok csak tűzfallal strukturált naplókra érvényesek.

Ha régi naplókat szeretne használni, engedélyezheti a diagnosztikai naplózást az Azure Portalon. Ezután nyissa meg az Azure Firewallhoz készült GitHub-munkafüzetet, és kövesse az oldalon található utasításokat.

Emellett olvassa el az Azure Firewall naplóit és metrikáit az Azure Firewallhoz elérhető diagnosztikai naplók és metrikák áttekintéséhez.

Első lépések

Miután beállította a tűzfal strukturált naplóit, az alábbi lépések végrehajtásával használhatja az Azure Firewall beágyazott munkafüzeteit:

  1. A portálon keresse meg az Azure Firewall-erőforrást.

  2. A Figyelés csoportban válassza a Munkafüzetek lehetőséget.

  3. A katalógusban létrehozhat új munkafüzeteket, vagy használhatja a meglévő Azure Firewall-munkafüzetet az itt látható módon:

    Screenshot showing the firewall workbook gallery.

  4. Válassza ki a naplóelemzési munkaterületet és a munkafüzetben használni kívánt egy vagy több tűzfalnevet az itt látható módon:

    Screenshot showing structured logs.

Munkafüzetszakaszok

Az Azure Firewall-munkafüzet hét lapból áll, amelyek mindegyike a szolgáltatás különböző aspektusait kezeli. A következő szakaszok ismertetik az egyes lapokat.

Áttekintés

Az Áttekintés lap a különböző naplózási kategóriákból összesített tűzfalesemények összesítésével kapcsolatos grafikonokat és statisztikákat mutatja be. Ez magában foglalja a hálózati szabályokat, az alkalmazásszabályokat, a DNS-t, a behatolásészlelési és -megelőzési rendszert (IDPS), a fenyegetésfelderítést és egyebeket. Az Áttekintés lapon elérhető widgetek a következők:

  • Események idő szerint: Az esemény gyakoriságát jeleníti meg az idő függvényében.
  • Események, tűzfal szerint az idő függvényében: Az események időbeli eloszlását jeleníti meg a tűzfalak között.
  • Események kategória szerint: Kategorizálja és megszámolja az eseményeket.
  • Eseménykategóriák, idő szerint: Eseménykategóriák megjelenítése az idő függvényében.
  • A tűzfalforgalom átlagos átviteli sebessége: A tűzfalon áthaladó átlagos adatok megjelenítése.
  • SNAT-port kihasználtsága: Megjeleníti az SNAT-portok használatát.
  • Hálózati szabály találatainak száma (SZUM): A hálózati szabály eseményindítóinak száma.
  • Alkalmazásszabály-találatok száma (SZUM): Az alkalmazásszabály-eseményindítók megszámlálása.

Azure Firewall Workbook overview

Alkalmazásszabályok

Az Alkalmazásszabályok lapon a 7. réteghez kapcsolódó eseménystatisztikák láthatók, amelyek az Azure Firewall-szabályzat adott alkalmazásszabályaival korrelálnak. A következő widgetek érhetők el az Alkalmazásszabályok lapon:

  • Alkalmazásszabály-használat: Az alkalmazásszabályok használatát jeleníti meg.
  • Megtagadva a teljes tartománynév túlórája: Megjeleníti a megtagadott teljes tartományneveket (FQDN-eket) az idő függvényében.
  • A megtagadott teljes tartománynevek száma: A megtagadott teljes tartománynevek száma.
  • Engedélyezett teljes tartománynév túlórája: Megjeleníti az engedélyezett teljes tartományneveket az idő függvényében.
  • Engedélyezett teljes tartománynevek száma: Az engedélyezett teljes tartománynevek száma.
  • Engedélyezett webkategóriák túlóra: Az engedélyezett webkategóriák időbeli megjelenítése.
  • Engedélyezett webkategóriák száma szerint: Az engedélyezett webkategóriák száma.
  • Megtagadott webkategóriák túlóra: A megtagadott webkategóriák megjelenítése az idő függvényében.
  • Megtagadott webkategóriák száma szerint: A letiltott webkategóriák száma.

Screenshot showing the application rules tab.

Hálózatszabályok

A Hálózati szabályok lapon a 4. réteghez kapcsolódó eseménystatisztikák láthatók, amelyek az Azure Firewall-szabályzatban megadott hálózati szabályokkal korrelálnak. A Hálózati szabályok lapon a következő widgetek érhetők el:

  • Szabályműveletek: A szabályok által végrehajtott műveleteket jeleníti meg.
  • Célportok: A hálózati forgalomban lévő célzott portokat jeleníti meg.
  • DNAT-műveletek: Megjeleníti a célhálózati címfordítás (DNAT) műveleteit.
  • Földrajzi hely: A hálózati forgalomban érintett földrajzi helyeket jeleníti meg.
  • Szabályműveletek IP-címek szerint: Ip-címek szerint kategorizált szabályműveleteket jelenít meg.
  • Célportok forrás IP-cím szerint: A célportok a forrás IP-címek szerint kategorizálva jelennek meg.
  • DNAT'ed idővel: Megjeleníti a DNAT-műveleteket az idő függvényében.
  • Földrajzi helymeghatározás idővel: A hálózati forgalomban érintett földrajzi helyeket jeleníti meg az idő függvényében.
  • Műveletek idő szerint: A hálózati műveletek időbeli megjelenítése.
  • Minden IP-cím a GeoLocation szolgáltatással rendelkező eseményeket jeleníti meg: Megjeleníti az IP-címeket tartalmazó összes eseményt, földrajzi hely szerint kategorizálva.

Screenshot showing network rules tab.

DNS-proxy

Ez a lap akkor releváns, ha úgy állította be az Azure Firewallt, hogy DNS-proxyként működjön, és közvetítőként szolgál az ügyfél virtuális gépekről DNS-kiszolgálóra irányuló DNS-kérelmekhez. A DNS-proxy lapon különböző vezérlők használhatók:

  • DNS-proxyforgalom tűzfalonkénti szám szerint: Megjeleníti az egyes tűzfalak DNS-proxy forgalmának számát.
  • DNS-proxyk száma kérelemnév szerint: A DNS-proxykérések száma kérelemnév alapján.
  • DNS-proxykérések száma az ügyfél IP-címe szerint: Megszámlálja a DNS-proxykéréseket az ügyfél IP-címe alapján.
  • DNS-proxykérés az ügyfél IP-címe alapján: Megjeleníti a DNS-proxykéréseket az idő függvényében, az ügyfél IP-címe szerint kategorizálva.
  • DNS-proxyadatok: A DNS-proxy beállításával kapcsolatos naplóinformációkat nyújt.

Screenshot showing the DNS proxy tab.

Behatolásészlelési és -megelőzési rendszer (IDPS)

Az IDPS naplóstatisztikák lapja összefoglalja a rosszindulatú forgalmi eseményeket és a szolgáltatás által végrehajtott megelőző műveleteket. Az IDPS lapon különböző widgeteket talál, amelyeket használhat:

  • IDPS-műveletek száma: Az IDPS-műveletek száma.
  • IDPS-protokollok száma: Az IDPS által észlelt protokollok száma.
  • IDPS SignatureID-szám: Megszámolja az IDPS-észleléseket aláírás-azonosító alapján.
  • IDPS SourceIP-szám: Az IDPS-észlelések száma forrás IP-cím alapján.
  • Szűrt IDPS-műveletek száma szerint: A szűrt IDPS-műveletek száma.
  • Szűrt IDPS-protokollok száma: A szűrt IDPS-protokollok száma.
  • Szűrt IDPS SignatureID-k darabszám szerint: A szűrt IDPS-észlelések száma aláírás-azonosító alapján.
  • Szűrt SourceIP: Megjeleníti az IDPS által észlelt szűrt forrás IP-címeket.
  • Az Azure Firewall IDPS-száma az idő függvényében: Az Azure Firewall IDPS-számának megjelenítése az idő függvényében.
  • Az Azure Firewall IDPS-naplói a GeoLocation használatával: Földrajzi hely szerint kategorizált Azure Firewall IDPS-naplókat biztosít.

Screenshot showing the IDPS tab.

Fenyegetésfelderítés (TI)

Ez a lap részletes áttekintést nyújt a fenyegetésfelderítési tevékenységekről, kiemelve a leggyakoribb fenyegetéseket, műveleteket és protokollokat. A fenyegetésekkel társított öt teljes tartománynevet (FQDN- t) és IP-címeket jelöli, amelyek a fenyegetésintelligencia-észlelések időbeli észlelését mutatják. Emellett az Azure Firewall fenyegetésintelligencia-jelentéséből származó részletes naplók átfogó elemzésre is rendelkezésre állnak. A Fenyegetésintelligencia lapon különféle widgeteket találhat, amelyeket használhat:

  • Fenyegetésintelligencia-műveletek száma: A fenyegetésfelderítés által észlelt műveletek száma.
  • Threat Intel Protocol Count: Counts protocol identified by Threat Intelligence.
  • Az 5 leggyakoribb teljes tartománynév száma: Az öt leggyakoribb teljes tartománynév (FQDN) megjelenítése.
  • Az 5 leggyakoribb IP-cím: Az öt leggyakoribb IP-cím megjelenítése.
  • Azure Firewall Threat Intel idővel: Megjeleníti az Azure Firewall fenyegetésintelligencia-észleléseit az idő függvényében.
  • Azure Firewall Threat Intel: Naplókat biztosít az Azure Firewall fenyegetésfelderítéséből.

Screenshot showing the threat intelligence tab.

Vizsgálatok

A vizsgálati szakasz lehetővé teszi a feltárást és a hibaelhárítást, és további részleteket kínál, például a virtuális gép nevét és a hálózati adapter nevét a forgalom elindításához vagy leállításához. Emellett korrelációkat hoz létre a forrás IP-címek, a teljes tartománynevek (FQDN-ek) között, valamint a forgalom földrajzi helynézetét. A Vizsgálat lapon elérhető widgetek:

  • Teljes tartománynév-forgalom darabszám szerint: A teljes tartománynevek (FQDN- k) szerinti forgalom megszámlálása.
  • Forrás IP-címeinek száma: A forrás IP-címek előfordulásainak száma.
  • Forrás IP-cím erőforráskeresése: Megkeresi a forrás IP-címekkel társított erőforrásokat.
  • Teljes tartománynév keresési naplói: A teljes tartománynév-keresésekből származó naplókat tartalmazza.
  • Azure Firewall Premium geohellyel – IDPS: Megjeleníti az Azure Firewall behatolásészlelési és -megelőzési rendszerét ( IDPS) – észleléseket, földrajzi hely szerint kategorizálva.

Screenshot showing the investigation tab.

További lépések

  • További információ az Azure Firewall diagnosztika szolgáltatásról