Registos da Firewall Estruturada do Azure

  • Artigo

Os registos estruturados são um tipo de dados de registo organizados num formato específico. Utilizam um esquema predefinido para estruturar os dados de registo de uma forma que facilita a pesquisa, filtragem e análise. Ao contrário dos registos não estruturados, que consistem em texto de forma livre, os registos estruturados têm um formato consistente que as máquinas podem analisar e analisar.

Os registos estruturados do Azure Firewall fornecem uma vista mais detalhada dos eventos de firewall. Incluem informações como endereços IP de origem e de destino, protocolos, números de porta e ações tomadas pela firewall. Também incluem mais metadados, como a hora do evento e o nome da instância Azure Firewall.

Atualmente, as seguintes categorias de registo de diagnósticos estão disponíveis para Azure Firewall:

  • Registo de regra de aplicação
  • Registo de regra de rede
  • Registo de proxy DNS

Estas categorias de registos utilizam o modo de diagnóstico do Azure. Neste modo, todos os dados de qualquer definição de diagnóstico são recolhidos na tabela AzureDiagnostics .

Com os registos estruturados, pode optar por utilizar Tabelas Específicas de Recursos em vez da tabela AzureDiagnostics existente. Caso sejam necessários ambos os conjuntos de registos, pelo menos duas definições de diagnóstico têm de ser criadas por firewall.

Modo específico do recurso

No modo específico do recurso, são criadas tabelas individuais na área de trabalho selecionada para cada categoria selecionada na definição de diagnóstico. Este método é recomendado, uma vez que:

  • Pode reduzir os custos globais de registo em até 80%.
  • torna muito mais fácil trabalhar com os dados em consultas de registo
  • facilita a deteção de esquemas e a respetiva estrutura
  • melhora o desempenho tanto na latência da ingestão como nos tempos de consulta
  • permite-lhe conceder direitos RBAC do Azure numa tabela específica

Estão agora disponíveis novas tabelas específicas de recursos na definição diagnóstico que lhe permite utilizar as seguintes categorias:

  • Registo de regras de rede – contém todos os dados de registo de Regras de Rede. Cada correspondência entre o plano de dados e a regra de rede cria uma entrada de registo com o pacote de plano de dados e os atributos da regra correspondente.
  • Registo de regras NAT – contém todos os dados de registo de eventos DNAT (Tradução de Endereços de Rede de Destino). Cada correspondência entre o plano de dados e a regra DNAT cria uma entrada de registo com o pacote do plano de dados e os atributos da regra correspondente.
  • Registo de regras de aplicação – contém todos os dados de registo de regras de aplicação. Cada correspondência entre o plano de dados e a regra de aplicação cria uma entrada de registo com o pacote de plano de dados e os atributos da regra correspondente.
  • Registo do Threat Intelligence – contém todos os eventos do Threat Intelligence.
  • Registo IDPS – contém todos os pacotes de planos de dados que foram correspondidos com uma ou mais assinaturas IDPS.
  • Registo de proxy DNS – contém todos os dados de registo de eventos do Proxy de DNS.
  • FQDN interno resolve o registo de falhas – contém todos os pedidos de resolução internos do FQDN da Firewall que resultaram em falhas.
  • Registo de agregação de regras de aplicação – contém dados de registo de regras de aplicação agregados para a Análise de Políticas.
  • Registo de agregação de regras de rede – contém dados de registo de regras de rede agregados para a Análise de Políticas.
  • Registo de agregação de regras NAT – contém dados de registo de regras NAT agregados para a Análise de Políticas.
  • Registo de fluxo superior (pré-visualização) – o registo Principais Fluxos (Fluxos De Gordura) mostra as principais ligações que estão a contribuir para o débito mais elevado através da firewall.
  • Rastreio de fluxo (pré-visualização) – contém informações de fluxo, sinalizadores e o período de tempo em que os fluxos foram registados. Pode ver informações de fluxo completas, como SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (fluxos).

Ativar registos estruturados

Para ativar Azure Firewall registos estruturados, primeiro tem de configurar uma área de trabalho do Log Analytics na sua subscrição do Azure. Esta área de trabalho é utilizada para armazenar os registos estruturados gerados pelo Azure Firewall.

Depois de configurar a área de trabalho do Log Analytics, pode ativar os registos estruturados no Azure Firewall ao navegar para a página Definições de diagnóstico da Firewall no portal do Azure. A partir daí, tem de selecionar a tabela Destino específico do recurso e selecionar o tipo de eventos que pretende registar.

Nota

Não existe nenhum requisito para ativar esta funcionalidade com um sinalizador de funcionalidade ou comandos Azure PowerShell.

Captura de ecrã da página Definições de diagnóstico.

Consultas de registo estruturado

Está disponível uma lista de consultas predefinidas no portal do Azure. Esta lista tem uma consulta de registo KQL (Linguagem de Pesquisa Kusto) predefinida para cada categoria e consulta associada que mostra todos os eventos de registo da firewall do Azure numa única vista.

Captura de ecrã a mostrar Azure Firewall consultas.

Livro do Azure Firewall

Azure Firewall Livro fornece uma tela flexível para Azure Firewall análise de dados. Pode utilizá-lo para criar relatórios visuais avançados no portal do Azure. Pode aceder a várias firewalls implementadas no Azure e combiná-las em experiências interativas unificadas.

Para implementar o novo livro que utiliza Azure Firewall Registos Estruturados, veja Livro do Azure Monitor para Azure Firewall.

Passos seguintes