Uso di cartelle di lavoro di Firewall di Azure

  • Articolo

Firewall di Azure Cartella di lavoro offre un'area di disegno flessibile per l'analisi dei dati Firewall di Azure. È possibile usarlo per creare report visivi avanzati all'interno del portale di Azure. È possibile accedere a più firewall distribuiti in Azure e combinarli in esperienze interattive unificate.

È possibile ottenere informazioni dettagliate sugli eventi Firewall di Azure, ottenere informazioni sull'applicazione e sulle regole di rete e visualizzare le statistiche per le attività del firewall tra URL, porte e indirizzi. Firewall di Azure Cartella di lavoro consente di filtrare i firewall e i gruppi di risorse e filtrare dinamicamente per categoria con set di dati facili da leggere durante l'analisi di un problema nei log.

Prerequisiti

Prima di iniziare, abilitare i log di Firewall strutturato di Azure tramite il portale di Azure.

Importante

Tutte le sezioni seguenti sono valide solo per i log strutturati del firewall.

Per usare i log legacy, è possibile abilitare la registrazione diagnostica usando il portale di Azure. Passare quindi alla cartella di lavoro di GitHub per Firewall di Azure e seguire le istruzioni nella pagina.

Leggere anche Firewall di Azure log e metriche per una panoramica dei log di diagnostica e delle metriche disponibili per Firewall di Azure.

Introduzione

Dopo aver configurato i log strutturati del firewall, è possibile usare le cartelle di lavoro incorporate Firewall di Azure seguendo questa procedura:

  1. Nel portale passare alla risorsa Firewall di Azure.

  2. In Monitoraggio selezionare Cartelle di lavoro.

  3. Nella raccolta è possibile creare nuove cartelle di lavoro o usare la cartella di lavoro Firewall di Azure esistente, come illustrato di seguito:

    Screenshot showing the firewall workbook gallery.

  4. Selezionare l'area di lavoro Log Analytics e uno o più nomi di firewall da usare in questa cartella di lavoro, come illustrato di seguito:

    Screenshot showing structured logs.

Sezioni della cartella di lavoro

La cartella di lavoro Firewall di Azure include sette schede, ognuna che punta a aspetti distinti del servizio. Le sezioni seguenti descrivono ogni scheda.

Panoramica

La scheda Panoramica presenta grafici e statistiche correlati a tutti i tipi di eventi del firewall aggregati da varie categorie di registrazione. Sono incluse regole di rete, regole dell'applicazione, DNS, sistema di rilevamento e prevenzione delle intrusioni (IDPS), Intelligence sulle minacce e altro ancora. I widget disponibili nella scheda Panoramica includono:

  • Eventi, per ora: visualizza la frequenza degli eventi nel tempo.
  • Eventi, in base al firewall nel tempo: mostra la distribuzione degli eventi tra firewall nel tempo.
  • Eventi, per categoria: classifica e conta eventi.
  • Categorie di eventi, in base al tempo: visualizza le categorie di eventi nel tempo.
  • Velocità effettiva media del traffico del firewall: mostra i dati medi che passano attraverso il firewall.
  • Utilizzo delle porte SNAT: visualizza l'utilizzo delle porte SNAT.
  • Numero di passaggi delle regole di rete (SUM): conta i trigger delle regole di rete.
  • Numero di passaggi della regola applicazione (SUM): conteggia i trigger delle regole dell'applicazione.

Azure Firewall Workbook overview

Regole di applicazione

La scheda Regole applicazione mostra le statistiche degli eventi correlati al livello 7 correlate alle regole dell'applicazione specifiche nei criteri di Firewall di Azure. I widget seguenti sono disponibili nella scheda Regole applicazione:

  • Utilizzo delle regole dell'applicazione: mostra l'utilizzo delle regole dell'applicazione.
  • FQDN negato nel tempo: visualizza i nomi di dominio completi (FQDN) negati nel tempo.
  • FQDN negato per conteggio: conteggio dei nomi di dominio completi negati.
  • FQDN consentito nel tempo: visualizza i nomi di dominio completi consentiti nel tempo.
  • FQDN consentiti per conteggio: conteggio dei nomi di dominio completi consentiti.
  • Categorie Web consentite nel tempo: mostra le categorie Web consentite nel tempo.
  • Categorie Web consentite per conteggio: conteggi delle categorie Web consentite.
  • Categorie Web negate nel tempo: visualizza le categorie Web negate nel tempo.
  • Categorie Web negate per conteggio: conteggi delle categorie Web negate.

Screenshot showing the application rules tab.

Regole di rete

La scheda Regole di rete mostra le statistiche degli eventi correlati al livello 4 correlate alle regole di rete specifiche nei criteri di Firewall di Azure. I widget seguenti sono disponibili nella scheda Regole di rete:

  • Azioni regola: visualizza le azioni eseguite dalle regole.
  • Porte di destinazione: mostra le porte di destinazione nel traffico di rete.
  • Azioni DNAT: visualizza le azioni di Destination Network Address Translation (DNAT).
  • GeoRilevazione: mostra le posizioni geografiche coinvolte nel traffico di rete.
  • Azioni delle regole, in base a indirizzi IP: visualizza le azioni delle regole classificate in base a indirizzi IP.
  • Porte di destinazione, in base all'INDIRIZZO IP di origine: mostra le porte di destinazione classificate in base agli indirizzi IP di origine.
  • DNAT'ed nel tempo: visualizza le azioni DNAT nel tempo.
  • GeoRilevazione nel tempo: mostra le posizioni geografiche coinvolte nel traffico di rete nel tempo.
  • Azioni, in base al tempo: visualizza le azioni di rete nel tempo.
  • Tutti gli eventi di indirizzi IP con GeoLocation: mostra tutti gli eventi che coinvolgono gli indirizzi IP, classificati in base alla posizione geografica.

Screenshot showing network rules tab.

Proxy DNS

Questa scheda è rilevante se è stata configurata Firewall di Azure per funzionare come proxy DNS, fungendo da intermediario per le richieste DNS da macchine virtuali client a un server DNS. La scheda Proxy DNS include vari widget che è possibile usare:

  • Traffico proxy DNS per numero per firewall: visualizza il numero di traffico proxy DNS per ogni firewall.
  • Numero di proxy DNS in base al nome della richiesta: conta le richieste proxy DNS in base al nome della richiesta.
  • Numero di richieste proxy DNS per IP client: conta le richieste proxy DNS in base all'indirizzo IP del client.
  • Richiesta proxy DNS nel tempo in base all'IP client: visualizza le richieste proxy DNS nel tempo, classificate in base all'IP client.
  • Informazioni proxy DNS: fornisce informazioni di log correlate alla configurazione del proxy DNS.

Screenshot showing the DNS proxy tab.

Sistema di rilevamento e prevenzione delle intrusioni (IDPS)

La scheda Statistiche log IDPS offre un riepilogo degli eventi di traffico dannoso e delle azioni preventive eseguite dal servizio. Nella scheda IDPS sono disponibili vari widget che è possibile usare:

  • IDPS Actions Count( Conteggio azioni IDPS): conta le azioni IDPS.
  • IdPS Protocol Count: conta i protocolli rilevati da IDPS.
  • IDPS SignatureID Count: conta i rilevamenti IDPS in base all'ID firma.
  • IdPS SourceIP Count: conta i rilevamenti IDPS per indirizzo IP di origine.
  • Azioni IDPS filtrate in base al conteggio: conteggia le azioni IDPS filtrate.
  • Protocolli IDPS filtrati in base al conteggio: conteggi dei protocolli IDPS filtrati.
  • IDPS SignatureID filtrato in base al conteggio: conteggia i rilevamenti IDPS filtrati in base all'ID firma.
  • SourceIP filtrato: visualizza gli INDIRIZZI IP di origine filtrati rilevati da IDPS.
  • Firewall di Azure conteggio IDPS nel tempo: mostra Firewall di Azure conteggio IDPS nel tempo.
  • Firewall di Azure log IDPS con GeoLocation: fornisce log IDPS Firewall di Azure, classificati in base alla posizione geografica.

Screenshot showing the IDPS tab.

Intelligence sulle minacce (TI)

Questa scheda offre una prospettiva approfondita sulle attività di intelligence sulle minacce, evidenziando le minacce, le azioni e i protocolli più diffusi. Delinea i primi cinque nomi di dominio completi (FQDN) e gli indirizzi IP associati a queste minacce, mostrando i rilevamenti di intelligence sulle minacce nel tempo. Inoltre, i log dettagliati di intelligence sulle minacce di Firewall di Azure sono forniti per un'analisi completa. Nella scheda Intelligence per le minacce sono disponibili vari widget che è possibile usare:

  • Threat Intel Actions Count: conta le azioni rilevate da Intelligence per le minacce.
  • Threat Intel Protocol Count: conta i protocolli identificati da Threat Intelligence.
  • Top 5 FQDN Count (Conteggio FQDN top 5): visualizza i primi cinque nomi di dominio completi (FQDN) più frequenti.
  • Top 5 IP Count :mostra i primi cinque indirizzi IP più frequenti.
  • Firewall di Azure Threat Intel nel tempo: visualizza Firewall di Azure rilevamenti di Intelligence sulle minacce nel tempo.
  • Firewall di Azure Threat Intel: fornisce log dall'intelligence sulle minacce di Firewall di Azure.

Screenshot showing the threat intelligence tab.

Indagini

La sezione di indagine consente l'esplorazione e la risoluzione dei problemi, offrendo dettagli aggiuntivi, ad esempio il nome della macchina virtuale e il nome dell'interfaccia di rete associati all'avvio o alla terminazione del traffico. Stabilisce anche correlazioni tra gli indirizzi IP di origine, i nomi di dominio completi (FQDN) che tentano di accedere e la visualizzazione della posizione geografica del traffico. Widget disponibili nella scheda Indagine:

  • Traffico FQDN per conteggio: conta il traffico in base ai nomi di dominio completi (FQDN).
  • Conteggio indirizzi IP di origine: conta le occorrenze degli indirizzi IP di origine.
  • Ricerca risorsa indirizzo IP di origine: cerca le risorse associate agli indirizzi IP di origine.
  • Log di ricerca FQDN: fornisce i log dalle ricerche FQDN.
  • Firewall di Azure Premium con la posizione geografica - IDPS: visualizza il sistema di rilevamento e prevenzione delle intrusioni di Firewall di Azure - (IDPS) - rilevamenti, classificati in base alla posizione geografica.

Screenshot showing the investigation tab.

Passaggi successivi