configuratie van bedreigingsinformatie Azure Firewall
Filteren op basis van bedreigingsinformatie kan worden geconfigureerd voor uw Azure Firewall-beleid om verkeer van en naar bekende schadelijke IP-adressen en domeinen te waarschuwen en te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed. Intelligent Security Graph zorgt voor bedreigingsinformatie van Microsoft en wordt gebruikt door meerdere services, waaronder Microsoft Defender for Cloud.
Als u filteren op basis van bedreigingsinformatie hebt geconfigureerd, worden de bijbehorende regels verwerkt vóór een van de NAT-regels, netwerkregels of toepassingsregels.
Bedreigingsinformatiemodus
U kunt bedreigingsinformatie configureren in een van de drie modi die worden beschreven in de volgende tabel. Filteren op basis van bedreigingsinformatie is standaard ingeschakeld in de waarschuwingsmodus.
| Modus | Description |
|---|---|
Off |
De functie bedreigingsinformatie is niet ingeschakeld voor uw firewall. |
Alert only |
U ontvangt waarschuwingen met een hoge betrouwbaarheid voor verkeer dat via uw firewall naar of van bekende schadelijke IP-adressen en domeinen gaat. |
Alert and deny |
Verkeer wordt geblokkeerd en u ontvangt waarschuwingen met een hoge betrouwbaarheid wanneer verkeer wordt gedetecteerd dat via uw firewall naar of van bekende schadelijke IP-adressen en domeinen probeert te gaan. |
Notitie
De modus Bedreigingsinformatie wordt overgenomen van bovenliggend beleid naar onderliggend beleid. Een onderliggend beleid moet worden geconfigureerd met dezelfde of een strengere modus dan het bovenliggende beleid.
Acceptatielijstadressen
Bedreigingsinformatie kan fout-positieven activeren en verkeer blokkeren dat daadwerkelijk geldig is. U kunt een lijst met toegestane IP-adressen configureren, zodat bedreigingsinformatie geen van de adressen, bereiken of subnetten filtert die u opgeeft.
U kunt de acceptatielijst met meerdere vermeldingen tegelijk bijwerken door een CSV-bestand te uploaden. Het CSV-bestand kan alleen IP-adressen en -bereiken bevatten. Het bestand mag geen koppen bevatten.
Notitie
Acceptatielijstadressen voor bedreigingsinformatie worden overgenomen van bovenliggend beleid naar onderliggend beleid. Elk IP-adres of -bereik dat is toegevoegd aan een bovenliggend beleid, is ook van toepassing op alle onderliggende beleidsregels.
Logboeken
In het volgende logboekfragment ziet u een geactiveerde regel voor uitgaand verkeer naar een schadelijke site:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testen
Uitgaande tests : waarschuwingen voor uitgaand verkeer moeten zelden voorkomen, omdat dit betekent dat uw omgeving is aangetast. Om te testen of uitgaande waarschuwingen werken, is er een test-FQDN gemaakt die een waarschuwing activeert. Gebruiken
testmaliciousdomain.eastus.cloudapp.azure.comvoor uw uitgaande tests.Binnenkomende tests : u kunt waarschuwingen over binnenkomend verkeer verwachten als DNAT-regels zijn geconfigureerd op de firewall. Dit geldt zelfs als alleen specifieke bronnen zijn toegestaan op de DNAT-regel en verkeer anders wordt geweigerd. Azure Firewall waarschuwt niet voor alle bekende poortscanners; alleen voor scanners die ook schadelijke activiteiten uitvoeren.