使用 Azure 防火牆活頁簿

  • 發行項

Azure 防火牆活頁簿提供用於 Azure 防火牆資料分析的彈性畫布。 您可以使用畫布在Azure 入口網站內建立豐富的視覺效果報告。 您可以深入了解多個部署在 Azure 上的防火牆,並將其結合成統一的互動式體驗。

您可深入了解 Azure 防火牆事件、了解應用程式和網路規則,並查看各項 URL、連接埠和位址的防火牆活動統計資料。 調查記錄中的問題時,Azure 防火牆活頁簿可讓您篩選防火牆和資源群組,並動態篩選各類別,以便輕鬆讀取資料集。

必要條件

開始之前,請透過 Azure 入口網站啟用 Azure 結構化防火牆記錄

重要

下列各節僅適用於防火牆結構化記錄。

如果您想要使用舊版記錄,可以使用 Azure 入口網站來啟用診斷記錄。 然後移至 Azure 防火牆的 GitHub 活頁簿,並遵循頁面上的指示。

亦請閱讀 Azure 防火牆記錄和計量,了解 Azure 防火牆的診斷記錄和計量概觀。

開始使用

設定防火牆結構化記錄之後,請使用下列步驟設定使用 Azure 防火牆內嵌活頁簿:

  1. 在 Azure 入口網站中,瀏覽至 Azure 防火牆資源。

  2. 在 [監視] 下,選取 [活頁簿]

  3. 在資源庫中,您可以建立新的活頁簿或使用現有的 Azure 防火牆活頁簿,如下所示:

    Screenshot showing the firewall workbook gallery.

  4. 選取記錄分析工作區,以及您想要在此活頁簿中使用的一或多個防火牆名稱,如下所示:

    Screenshot showing structured logs.

活頁簿區段

Azure 防火牆活頁簿有七個索引標籤,每個索引標籤處理不同的服務層面。 下列各節描述每一個索引標籤。

概觀

[概觀] 索引標籤展現彙整各種記錄類別的所有防火牆事件類型相關圖表和統計資料。 這包括網路規則、應用程式規則、DNS、入侵偵測與預防系統 (IDPS)、威脅情報等。 [概觀] 索引標籤中可用的小工具包括:

  • 事件,依時間:顯示一段時間的事件頻率。
  • 事件,依防火牆一段時間:顯示一段時間內防火牆上的事件分佈。
  • 事件,依類別:事件分類和計數。
  • 事件類別,依時間:顯示一段時間的事件類別。
  • 防火牆流量的平均輸送量:顯示通過防火牆的平均資料量。
  • SNAT 連接埠使用率:顯示 SNAT 連接埠的使用情況。
  • 網路規則叫用次數 (SUM):網路規則觸發程序計數。
  • 應用程式規則叫用次數 (SUM):應用程式規則觸發程序計數。

Azure Firewall Workbook overview

應用程式規則

[應用程式規則] 索引標籤顯示第 7 層相關事件統計資料,這些資料與 Azure 防火牆原則中的特定應用程式規則相互關聯。 下列小工具可在 [應用程式規則] 索引標籤中取得:

  • 應用程式規則使用方式:顯示應用程式規則的使用方式。
  • 一段時間內遭到拒絕的 FQDN:顯示一段時間內遭到拒絕的完整網域名稱 (FQDN)。
  • 依計數顯示遭到拒絕的 FQDN:遭到拒絕的 FQDN 計數。
  • 一段時間內允許的 FQDN:顯示一段時間內允許的 FQDN。
  • 依計數顯示允許的 FQDN:允許的 FQDN 計數。
  • 一段時間內允許的 Web 類別:顯示一段時間允許的 Web 類別。
  • 依計數顯示允許的 Web 類別:允許的 Web 類別計數。
  • 一段時間內遭到拒絕的 Web 類別:顯示一段時間內遭到拒絕的 Web 類別。
  • 依計數顯示遭到拒絕的 Web 類別:遭到拒絕的 Web 類別計數。

Screenshot showing the application rules tab.

網路規則

[網路規則] 索引標籤會顯示第 4 層相關事件統計資料,這些資料與 Azure 防火牆原則中的特定網路規則相互關聯。 下列小工具可在 [網路規則] 索引標籤中取得:

  • 規則動作:顯示規則所採取的動作。
  • 目標連接埠:顯示網路流量中的目標連接埠。
  • DNAT 動作:顯示目的地網路位址轉譯 (DNAT) 的動作。
  • 地理位置:顯示網路流量中涉及的地理位置。
  • 依 IP 位址顯示規則動作:顯示依 IP 位址分類的規則動作。
  • 依來源 IP 顯示目標連接埠:顯示依來源 IP 位址分類的目標連接埠。
  • 一段時間的 DNAT:顯示一段時間內的 DNAT 動作。
  • 一段時間的地理位置:顯示一段時間內網路流量所涉及的地理位置。
  • 依時間顯示動作:顯示一段時間內的網路動作。
  • 所有具有地理位置的 IP 位址事件:顯示所有涉及 IP 位址的事件,依地理位置分類。

Screenshot showing network rules tab.

DNS Proxy

此索引標籤只有在您設定 Azure 防火牆作為 DNS Proxy 運作時適用,DNS Proxy 是用作 DNS 要求從用戶端虛擬機到 DNS 伺服器的中繼。 [DNS Proxy] 索引標籤包含各種可用的小工具:

  • 依每個防火牆計數顯示 DNS Proxy 流量:顯示每個防火牆的 DNS Proxy 流量計數。
  • 依要求名稱顯示 DNS Proxy 計數:依要求名稱顯示 DNS Proxy 要求計數。
  • 依用戶端 IP 顯示 DNS Proxy 要求計數:依用戶端 IP位址顯示 DNS Proxy 要求計數。
  • 依用戶端 IP 顯示一段時間的 DNS Proxy 要求:顯示一段時間的 DNS Proxy 要求,並依用戶端 IP 分類。
  • DNS Proxy 資訊:提供與 DNS Proxy 設定相關的記錄資訊。

Screenshot showing the DNS proxy tab.

入侵偵測和防護系統 (IDPS)

[IDPS 記錄統計資料] 索引標籤提供惡意流量事件摘要,以及服務所執行的預防性動作。 在 [IDPS] 索引標籤中,您會發現各種可以使用的小工具:

  • IDPS 動作計數:IDPS 動作計數。
  • IDPS 通訊協定計數:計算 IDPS 偵測到的通訊協定數目。
  • IDPS 簽章識別碼計數:依簽章識別碼計算 IDPS 偵測數目。
  • IDPS 來源 IP 計數:依來源 IP 位址顯示 IDPS 偵測計數。
  • 依計數顯示篩選的 IDPS 動作:經過篩選的 IDPS 動作計數。
  • 依計數顯示篩選的 IDPS 通訊協定:經過篩選的 IDPS 通訊協定計數。
  • 依計數顯示篩選的 IDPS 簽章識別碼:依簽章識別碼顯示經過篩選的 IDPS 偵測計數。
  • 篩選的來源 IP:顯示 IDPS 偵測到的已篩選來源 IP。
  • 一段時間的 Azure 防火牆 IDPS 計數:顯示一段時間的 Azure 防火牆 IDPS 計數。
  • 具有地理位置的 Azure 防火牆 IDPS 記錄:提供 Azure 防火牆 IDPS 記錄,依地理位置分類。

Screenshot showing the IDPS tab.

威脅情報 (TI)

此索引標籤提供威脅情報活動的完整觀點,著重於最普遍的威脅、動作和通訊協定。 其中描述與這些威脅相關聯的前五大完整網域名稱 (FQDN) 和 IP 位址,顯示一段時間內的威脅情報偵測。 此外,也提供來自 Azure 防火牆威脅情報的詳細記錄,以進行全面分析。 在 [威脅情報] 索引標籤內,您可以找到各種可以使用的小工具:

  • 威脅情報動作計數:計算威脅情報偵測到的動作數目。
  • 威脅情報通訊協定計數:計算威脅情報所識別的通訊協定數目。
  • 前 5 大 FQDN 計數:顯示前五名最常見的完整網域名稱 (FQDN)。
  • 前 5 大 IP 計數:顯示前五名最常見的 IP 位址。
  • 一段時間的 Azure 防火牆威脅情報:顯示一段時間內的 Azure 防火牆威脅情報偵測。
  • Azure 防火牆威脅情報:提供來自 Azure 防火牆威脅情報的記錄。

Screenshot showing the threat intelligence tab.

調查

調查區段可讓您進行探索和疑難排解,並提供其他詳細資料,例如虛擬機器名稱和起始或終止流量相關聯的網路介面名稱。 它也會在來源 IP 位址、嘗試存取的完整網域名稱 (FQDN) 以及流量的地理位置檢視之間建立相互關聯。 [調查] 索引標籤中可用的小工具:

  • 依計數顯示 FQDN 流量:依完整網域名稱 (FQDN) 顯示流量計數。
  • 來源 IP 位址計數:計算來源 IP 位址的出現次數。
  • 來源 IP 位址資源查閱:查閱與來源 IP 位址相關聯的資源。
  • FQDN 查閱記錄:提供來自 FQDN 查閱的記錄。
  • 具有地理位置的 Azure 防火牆進階–IDPS:顯示 Azure 防火牆的入侵偵測與預防系統 - (IDPS) - 偵測,依地理位置分類。

Screenshot showing the investigation tab.

下一步