Firewall di Azure configurazione dell'intelligence sulle minacce
Il filtro basato sull'intelligence sulle minacce può essere configurato per i criteri di Firewall di Azure per avvisare e negare il traffico da e a indirizzi IP dannosi noti e domini. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. Security Graph intelligente supporta l'intelligence delle minacce Microsoft e viene usata da più servizi, tra cui Microsoft Defender per Cloud.
Se è stato configurato il filtro basato sull'intelligence sulle minacce, le regole associate vengono elaborate prima di una delle regole NAT, delle regole di rete o delle regole dell'applicazione.
Modalità intelligence sulle minacce
È possibile configurare l'intelligence delle minacce in una delle tre modalità descritte nella tabella seguente. Per impostazione predefinita, il filtro basato sull'intelligence sulle minacce è abilitato in modalità di avviso.
| Mode | Descrizione |
|---|---|
Off |
La funzionalità di intelligence per le minacce non è abilitata per il firewall. |
Alert only |
Si riceveranno avvisi con attendibilità elevata per il traffico che attraversa il firewall verso o da indirizzi IP dannosi noti e domini. |
Alert and deny |
Il traffico viene bloccato e si riceveranno avvisi con attendibilità elevata quando il traffico viene rilevato tentando di passare attraverso il firewall o da indirizzi IP dannosi noti e domini. |
Nota
La modalità di intelligence per le minacce viene ereditata dai criteri padre ai criteri figlio. I criteri figlio devono essere configurati con la stessa modalità o con una modalità più rigorosa rispetto ai criteri padre.
Indirizzi allowlist
L'intelligence delle minacce potrebbe attivare falsi positivi e bloccare il traffico effettivamente valido. È possibile configurare un elenco di indirizzi IP consentiti in modo che l'intelligence delle minacce non filtrare nessuno degli indirizzi, degli intervalli o delle subnet specificati.
È possibile aggiornare l'elenco allowlist con più voci contemporaneamente caricando un file CSV. Il file CSV può contenere solo indirizzi IP e intervalli. Il file non può contenere intestazioni.
Nota
Gli indirizzi allowlist di Intelligence per le minacce vengono ereditati dai criteri padre ai criteri figlio. Qualsiasi indirizzo IP o intervallo aggiunto a un criterio padre verrà applicato anche per tutti i criteri figlio.
Log
L'estratto del log seguente mostra una regola attivata per il traffico in uscita a un sito dannoso:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Test
Test in uscita: gli avvisi del traffico in uscita dovrebbero essere un evento raro, poiché indicano che l'ambiente è stato compromesso. Per testare il funzionamento degli avvisi in uscita, è stato creato un nome di dominio completo di test che attiva un avviso. Usare
testmaliciousdomain.eastus.cloudapp.azure.comper i test in uscita.Test in ingresso: gli avvisi sul traffico in ingresso vengono in genere visualizzati se le regole DNAT sono configurate sul firewall. Questo vale anche se sono consentite solo origini specifiche nella regola DNAT e il traffico viene negato negli altri casi. Il firewall di Azure non invia avvisi su tutti gli scanner di porta noti, ma solo su quelli che sono anche notoriamente coinvolti in attività dannose.
Passaggi successivi
- Esaminare il Microsoft Security Intelligence Report