Azure Güvenlik Duvarı Çalışma Kitaplarını Kullanma

  • Makale

Azure Güvenlik Duvarı Çalışma Kitabı, Azure Güvenlik Duvarı veri analizi için esnek bir tuval sağlar. Azure portalında zengin görsel raporlar oluşturmak için bunu kullanabilirsiniz. Azure'da dağıtılan birden çok Güvenlik Duvarına dokunabilir ve bunları birleşik etkileşimli deneyimlerde birleştirebilirsiniz.

Azure Güvenlik Duvarı olaylar hakkında içgörüler elde edebilir, uygulamanız ve ağ kurallarınız hakkında bilgi edinebilir ve URL'ler, bağlantı noktaları ve adresler arasındaki güvenlik duvarı etkinliklerinin istatistiklerini görebilirsiniz. Azure Güvenlik Duvarı Çalışma Kitabı, günlüklerinizdeki bir sorunu araştırırken güvenlik duvarlarınızı ve kaynak gruplarınızı filtrelemenize ve kolay okunan veri kümeleriyle kategori başına dinamik olarak filtrelemenize olanak tanır.

Önkoşullar

Başlamadan önce Azure portalı aracılığıyla Azure Yapılandırılmış Güvenlik Duvarı Günlükleri'ni etkinleştirin.

Önemli

Aşağıdaki bölümlerin tümü yalnızca Güvenlik duvarı yapılandırılmış günlükleri için geçerlidir.

Eski günlükleri kullanmak istiyorsanız Azure portalını kullanarak tanılama günlüğünü etkinleştirebilirsiniz. Ardından Azure Güvenlik Duvarı için GitHub Çalışma Kitabı'na gidin ve sayfadaki yönergeleri izleyin.

Ayrıca Azure Güvenlik Duvarı için kullanılabilen tanılama günlüklerine ve ölçümlere genel bir bakış için Azure Güvenlik Duvarı günlüklerini ve ölçümleri okuyun.

Başlarken

Güvenlik duvarı yapılandırılmış günlüklerini ayarladıktan sonra, aşağıdaki adımları kullanarak eklenmiş Azure Güvenlik Duvarı çalışma kitaplarını kullanmaya hazır olursunuz:

  1. Portalda Azure Güvenlik Duvarı kaynağınıza gidin.

  2. İzleme'nin altında Çalışma Kitapları'nı seçin.

  3. Galeri'de yeni çalışma kitapları oluşturabilir veya mevcut Azure Güvenlik Duvarı çalışma kitabını burada gösterildiği gibi kullanabilirsiniz:

    Screenshot showing the firewall workbook gallery.

  4. Burada gösterildiği gibi bu çalışma kitabında kullanmak istediğiniz log analytics çalışma alanını ve bir veya daha fazla güvenlik duvarı adını seçin:

    Screenshot showing structured logs.

Çalışma kitabı bölümleri

Azure Güvenlik Duvarı çalışma kitabında her biri hizmetin farklı yönlerini ele alan yedi sekme vardır. Aşağıdaki bölümlerde her sekme açıklanmaktadır.

Genel Bakış

Genel bakış sekmesinde, çeşitli günlük kategorilerinden toplanan tüm güvenlik duvarı olayı türleriyle ilgili grafikler ve istatistikler gösterilir. Buna ağ kuralları, uygulama kuralları, DNS, Yetkisiz Erişim Algılama ve Önleme Sistemi (IDPS), Tehdit Bilgileri ve daha fazlası dahildir. Genel Bakış sekmesindeki kullanılabilir pencere öğeleri şunlardır:

  • Zamana göre olaylar: Zaman içindeki olay sıklığını görüntüler.
  • Zaman içinde güvenlik duvarına göre olaylar: Zaman içinde güvenlik duvarları arasında olay dağıtımlarını gösterir.
  • Olaylar, kategoriye göre: Olayları kategorilere ayırır ve sayar.
  • Zamana göre olay kategorileri: Zaman içindeki olay kategorilerini görüntüler.
  • Güvenlik duvarı trafiğinin ortalama aktarım hızı: Güvenlik duvarından geçen ortalama verileri gösterir.
  • SNAT Bağlantı Noktası Kullanımı: SNAT bağlantı noktalarının kullanımını görüntüler.
  • Ağ Kuralı İsabet sayısı (TOPLA): Ağ kuralı tetikleyicilerini sayar.
  • Uygulama Kuralı İsabet sayısı (TOPLA): Uygulama kuralı tetikleyicilerini sayar.

Azure Firewall Workbook overview

Uygulama kuralları

Uygulama kuralları sekmesi, Azure Güvenlik Duvarı ilkesindeki belirli uygulama kurallarınızla ilişkili Katman 7 ile ilgili olay istatistiklerini gösterir. Aşağıdaki pencere öğeleri Uygulama kuralları sekmesinde bulunur:

  • Uygulama Kuralı Kullanımı: Uygulama kurallarının kullanımını gösterir.
  • FQDN'nin fazla mesaisi reddedildi: Zaman içinde reddedilen Tam Etki Alanı Adlarını (FQDN) görüntüler.
  • Sayım tarafından FQDN'ler reddedildi: Sayımlar FQDN'leri reddetti.
  • İzin verilen FQDN'nin fazla mesaisi: zaman içinde izin verilen FQDN'leri görüntüler.
  • Sayıya göre izin verilen FQDN'ler: İzin verilen FQDN'leri sayar.
  • İzin Verilen Web Kategorileri fazla mesaisi: zaman içinde izin verilen web kategorilerini gösterir.
  • Sayıya göre izin verilen Web Kategorileri: İzin verilen web kategorilerini sayar.
  • Reddedilen Web Kategorileri fazla mesaisi: Zaman içinde reddedilen web kategorilerini görüntüler.
  • Sayıya göre Reddedilen Web Kategorileri: Reddedilen web kategorileri sayısı.

Screenshot showing the application rules tab.

Ağ kuralları

Ağ kuralları sekmesi, Azure Güvenlik Duvarı ilkesindeki belirli ağ kurallarınızla ilişkili Katman 4 ile ilgili olay istatistiklerini gösterir. Ağ kuralları sekmesinde aşağıdaki pencere öğeleri kullanılabilir:

  • Kural eylemleri: Kurallar tarafından yapılan eylemleri görüntüler.
  • Hedef bağlantı noktaları: Ağ trafiğinde hedeflenen bağlantı noktalarını gösterir.
  • DNAT eylemleri: Hedef Ağ Adresi Çevirisi (DNAT) eylemlerini görüntüler.
  • Coğrafi Konum: Ağ trafiğine dahil olan coğrafi konumları gösterir.
  • IP adreslerine göre kural eylemleri: IP adreslerine göre kategorilere ayrılmış kural eylemlerini görüntüler.
  • Kaynak IP'ye göre hedef bağlantı noktaları: Kaynak IP adreslerine göre kategorilere ayrılmış hedeflenen bağlantı noktalarını gösterir.
  • Zaman içinde DNAT'ler: DnaT eylemlerini zaman içinde görüntüler.
  • Zaman içinde Coğrafi Konum: Zaman içinde ağ trafiğine dahil olan coğrafi konumları gösterir.
  • Eylemler, zamana göre: Zaman içindeki ağ eylemlerini görüntüler.
  • Coğrafi Konum ile tüm IP adresleri olayları: COĞRAFI konuma göre kategorilere ayrılmış, IP adresleri içeren tüm olayları gösterir.

Screenshot showing network rules tab.

DNS proxy'si

bu sekme, Azure Güvenlik Duvarı bir DNS proxy'si olarak işlev görecek şekilde ayarladıysanız ve istemci sanal makinelerinden DNS sunucusuna dns istekleri için aracı görevi görecek şekilde ayarladıysanız geçerlidir. DNS Proxy sekmesi, kullanabileceğiniz çeşitli pencere öğeleri içerir:

  • Güvenlik Duvarı başına sayıya göre DNS Ara Sunucusu Trafiği: Her güvenlik duvarı için DNS proxy trafik sayısını görüntüler.
  • İstek Adına göre DNS Proxy sayısı: DNS proxy isteklerini istek adına göre sayar.
  • İstemci IP'lerine göre DNS Proxy İsteği sayısı: DNS proxy isteklerini istemci IP adresine göre sayar.
  • İstemci IP'lerine göre zaman içinde DNS Proxy İsteği: Zaman içinde DNS proxy isteklerini istemci IP'lerine göre kategorilere ayrılmış olarak görüntüler.
  • DNS Proxy Bilgileri: DNS ara sunucu kurulumunuzla ilgili günlük bilgilerini sağlar.

Screenshot showing the DNS proxy tab.

İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS)

IDPS günlük istatistikleri sekmesi, kötü amaçlı trafik olaylarının ve hizmet tarafından gerçekleştirdiği önleyici eylemlerin bir özetini sunar. IDPS sekmesinde, kullanabileceğiniz çeşitli pencere öğeleri bulacaksınız:

  • IDPS Eylem Sayısı: IDPS eylemlerini sayar.
  • IDPS Protokol Sayısı: IDPS tarafından algılanan protokolleri sayar.
  • IDPS SignatureID Sayısı: IDPS algılamalarını imza kimliğine göre sayar.
  • IDPS SourceIP Sayısı: IDPS algılamalarını kaynak IP adresine göre sayar.
  • Sayıya Göre Filtrelenmiş IDPS Eylemleri: Filtrelenmiş IDPS eylemlerini sayar.
  • Sayıya Göre Filtrelenmiş IDPS Protokolleri: Filtrelenen IDPS protokollerini sayar.
  • Sayıya göre filtrelenmiş IDPS signatureID'leri: Filtrelenmiş IDPS algılamalarını imza kimliğine göre sayar.
  • Filtrelenmiş SourceIP: IDPS tarafından algılanan filtrelenmiş kaynak IP'lerini görüntüler.
  • Zaman içindeki IDPS sayısını Azure Güvenlik Duvarı: Zaman içindeki Azure Güvenlik Duvarı IDPS sayısını gösterir.
  • Coğrafi Konum ile IDPS günlüklerini Azure Güvenlik Duvarı: Coğrafi konuma göre kategorilere ayrılmış Azure Güvenlik Duvarı IDPS günlükleri sağlar.

Screenshot showing the IDPS tab.

Tehdit Bilgileri (TI)

Bu sekme tehdit bilgileri etkinliklerine kapsamlı bir bakış açısı seçerek en yaygın tehditleri, eylemleri ve protokolleri öne çıkarın. Bu tehditlerle ilişkili ilk beş Tam Etki Alanı Adı (FQDN) ve IP adresinin çizgisini oluşturur ve zaman içindeki tehdit bilgileri algılamalarını gösterir. Ayrıca, kapsamlı analiz için Azure Güvenlik Duvarı Tehdit Bilgileri'nden ayrıntılı günlükler sağlanır. Tehdit Bilgileri sekmesinde kullanabileceğiniz çeşitli pencere öğeleri bulacaksınız:

  • Tehdit Intel Eylemleri Sayısı: Tehdit Bilgileri tarafından algılanan eylemleri sayar.
  • Tehdit Intel Protokolü Sayısı: Tehdit Bilgileri tarafından tanımlanan protokolleri sayar.
  • İlk 5 FQDN Sayısı: En sık kullanılan ilk beş Tam Etki Alanı Adını (FQDN) görüntüler.
  • İlk 5 IP Sayısı: En sık kullanılan ilk beş IP adresini gösterir.
  • Zaman içinde Azure Güvenlik Duvarı Tehdit Bilgileri: Zaman içinde Azure Güvenlik Duvarı Tehdit Bilgileri algılamalarını görüntüler.
  • Azure Güvenlik Duvarı Threat Intel: Azure Güvenlik Duvarı Tehdit Bilgileri'nden günlükler sağlar.

Screenshot showing the threat intelligence tab.

Sondajları

Araştırma bölümü, trafiğin başlatılması veya sonlandırılmasıyla ilişkili sanal makine adı ve ağ arabirimi adı gibi ek ayrıntılar sunarak araştırma ve sorun giderme işlemlerine olanak tanır. Ayrıca kaynak IP adresleri, erişmeye çalıştıkları Tam Etki Alanı Adları (FQDN) ve trafiğinizin coğrafi konum görünümü arasında bağıntılar oluşturur. Araştırma sekmesinde bulunan pencere öğeleri:

  • Sayıya Göre FQDN Trafiği: Trafiği Tam Etki Alanı Adlarına (FQDN' ler) göre sayar.
  • Kaynak IP Adresi sayısı: Kaynak IP adreslerinin oluşumlarını sayar.
  • Kaynak IP Adresi Kaynak Arama: Kaynak IP adresleriyle ilişkili kaynakları arar.
  • FQDN Arama günlükleri: FQDN aramalarından günlükler sağlar.
  • Coğrafi Konumlu Azure Güvenlik Duvarı Premium – IDPS: coğrafi konuma göre kategorilere ayrılmış Azure Güvenlik Duvarı İzinsiz Giriş Algılama ve Önleme Sistemi (IDPS) algılamalarını görüntüler.

Screenshot showing the investigation tab.

Sonraki adımlar