Azure Yapılandırılmış Güvenlik Duvarı Günlükleri

  • Makale

Yapılandırılmış günlükler, belirli bir biçimde düzenlenmiş günlük verileri türüdür. Günlük verilerini aramayı, filtrelemeyi ve çözümlemeyi kolaylaştıracak şekilde yapılandırmak için önceden tanımlanmış bir şema kullanır. Serbest biçimli metinlerden oluşan yapılandırılmamış günlüklerden farklı olarak, yapılandırılmış günlükler makinelerin ayrıştırabileceği ve analiz edebildiği tutarlı bir biçime sahiptir.

Azure Güvenlik Duvarı yapılandırılmış günlükleri, güvenlik duvarı olaylarının daha ayrıntılı bir görünümünü sağlar. Bunlar kaynak ve hedef IP adresleri, protokoller, bağlantı noktası numaraları ve güvenlik duvarı tarafından gerçekleştirilen eylem gibi bilgileri içerir. Ayrıca olayın zamanı ve Azure Güvenlik Duvarı örneğinin adı gibi daha fazla meta veri içerir.

Şu anda Azure Güvenlik Duvarı için aşağıdaki tanılama günlüğü kategorileri kullanılabilir:

  • Uygulama kuralı günlüğü
  • Ağ kuralı günlüğü
  • DNS proxy günlüğü

Bu günlük kategorileri Azure tanılama modunu kullanır. Bu modda, herhangi bir tanılama ayarındaki tüm veriler AzureDiagnostics tablosunda toplanır.

Yapılandırılmış günlüklerle, mevcut AzureDiagnostics tablosu yerine Kaynağa Özgü Tabloları kullanmayı seçebilirsiniz. Her iki günlük kümesinin de gerekli olması durumunda güvenlik duvarı başına en az iki tanılama ayarı oluşturulması gerekir.

Kaynağa özgü mod

Kaynağa özgü modda, tanılama ayarında seçilen her kategori için seçilen çalışma alanında tek tek tablolar oluşturulur. Bu yöntem şu nedenle önerilir:

  • Genel günlüğe kaydetme maliyetlerini %80'e kadar azaltabilir.
  • günlük sorgularındaki verilerle çalışmayı çok daha kolay hale getirir
  • şemaları ve yapılarını bulmayı kolaylaştırır
  • hem alma gecikme süresi hem de sorgu sürelerinde performansı artırır
  • belirli bir tabloda Azure RBAC hakları vermenizi sağlar

Aşağıdaki kategorileri kullanmanıza olanak tanıyan Tanılama ayarında yeni kaynağa özgü tablolar kullanıma sunulmuştur:

  • Ağ kuralı günlüğü - Tüm Ağ Kuralı günlük verilerini içerir. Veri düzlemi ile ağ kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur.
  • NAT kural günlüğü - Tüm DNAT (Hedef Ağ Adresi Çevirisi) olay günlüğü verilerini içerir. Veri düzlemi ve DNAT kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girişi oluşturur.
  • Uygulama kuralı günlüğü - Tüm Uygulama kuralı günlük verilerini içerir. Veri düzlemi ile Uygulama kuralı arasındaki her eşleşme, veri düzlemi paketi ve eşleşen kuralın öznitelikleriyle bir günlük girdisi oluşturur.
  • Tehdit Bilgileri günlüğü - Tüm Tehdit Bilgileri olaylarını içerir.
  • IDPS günlüğü - Bir veya daha fazla IDPS imzasıyla eşleşen tüm veri düzlemi paketlerini içerir.
  • DNS proxy günlüğü - Tüm DNS Proxy olay günlüğü verilerini içerir.
  • İç FQDN hata günlüğünü çözme - Hatayla sonuçlanan tüm iç Güvenlik Duvarı FQDN çözümleme isteklerini içerir.
  • Uygulama kuralı toplama günlüğü - İlke Analizi için toplanan Uygulama kuralı günlük verilerini içerir.
  • Ağ kuralı toplama günlüğü - İlke Analizi için toplanan Ağ kuralı günlük verilerini içerir.
  • NAT kuralı toplama günlüğü - İlke Analizi için toplanan NAT kural günlüğü verilerini içerir.
  • Üst akış günlüğü (önizleme) - Üst Akışlar (Yağ Akışları) günlüğü, güvenlik duvarı üzerinden en yüksek aktarım hızına katkıda bulunan en yüksek bağlantıları gösterir.
  • Akış izleme (önizleme) - Akış bilgilerini, bayrakları ve akışların kaydedilildiği zaman aralığını içerir. SYN, SYN-ACK, FIN, FIN-ACK, RST, INVALID (akışlar) gibi tam akış bilgilerini görebilirsiniz.

Yapılandırılmış günlükleri etkinleştirme

Yapılandırılmış Azure Güvenlik Duvarı günlükleri etkinleştirmek için önce Azure aboneliğinizde bir Log Analytics çalışma alanı yapılandırmanız gerekir. Bu çalışma alanı, Azure Güvenlik Duvarı tarafından oluşturulan yapılandırılmış günlükleri depolamak için kullanılır.

Log Analytics çalışma alanını yapılandırdıktan sonra, Azure portal Güvenlik Duvarı'nın Tanılama ayarları sayfasına giderek Azure Güvenlik Duvarı yapılandırılmış günlükleri etkinleştirebilirsiniz. Buradan Kaynağa özgü hedef tabloyu seçmeniz ve günlüğe kaydetmek istediğiniz olay türünü seçmeniz gerekir.

Not

Bu özelliği özellik bayrağı veya Azure PowerShell komutlarıyla etkinleştirme gereksinimi yoktur.

Tanılama ayarları sayfasının ekran görüntüsü.

Yapılandırılmış günlük sorguları

önceden tanımlanmış sorguların listesi Azure portal kullanılabilir. Bu listede her kategori için önceden tanımlanmış bir KQL (Kusto Sorgu Dili) günlük sorgusu ve tüm Azure güvenlik duvarı günlük olaylarını tek görünümde gösteren birleştirilmiş sorgu vardır.

Azure Güvenlik Duvarı sorgularını gösteren ekran görüntüsü.

Azure Güvenlik Duvarı Çalışma Kitabı

Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure portal içinde zengin görsel raporlar oluşturmak için bunu kullanabilirsiniz. Azure genelinde dağıtılan birden çok güvenlik duvarına dokunabilir ve bunları birleşik etkileşimli deneyimlerde birleştirebilirsiniz.

Yapılandırılmış Günlükler Azure Güvenlik Duvarı kullanan yeni çalışma kitabını dağıtmak için bkz. Azure Güvenlik Duvarı için Azure İzleyici Çalışma Kitabı.

Sonraki adımlar