Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I filtri basati su intelligence sulle minacce possono essere configurati per il criterio firewall di Azure per avvisare o rifiutare il traffico da/verso domini e indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. Intelligent Security Graph supporta Microsoft Threat Intelligence ed è usato da più servizi, tra cui Microsoft Defender per il cloud.
Se è stato configurato il filtro basato sull'intelligence sulle minacce, le regole associate vengono elaborate prima delle regole NAT, delle regole di rete o delle regole dell'applicazione.
Modalità di intelligence sulle minacce
È possibile configurare l'intelligence sulle minacce in una delle tre modalità descritte nella tabella seguente. Per impostazione predefinita, il filtro basato sull'intelligence sulle minacce è abilitato in modalità di avviso.
| Modalità | Descrizione |
|---|---|
Off |
La funzionalità di intelligence sulle minacce non è abilitata per il firewall. |
Alert only |
Verranno ricevuti avvisi con attendibilità elevata per il traffico che attraversa il firewall da/verso domini e indirizzi IP dannosi noti. |
Alert and deny |
Il traffico viene bloccato e si riceveranno avvisi con attendibilità elevata quando viene rilevato il traffico che tenta attraversare il firewall da/verso domini e indirizzi IP dannosi noti. |
Nota
La modalità di intelligence sulle minacce viene ereditata dai criteri padre ai criteri figlio. Un criterio figlio deve essere configurato con la stessa modalità o con una modalità più restrittiva rispetto al criterio padre.
Elenco di indirizzi consentiti
L'intelligence sulle minacce potrebbe attivare falsi positivi e bloccare il traffico che è in realtà è valido. È possibile configurare un elenco di indirizzi IP consentiti in modo che l'intelligence sulle minacce non filtri indirizzi, intervalli o subnet specificati dall'utente.
È possibile aggiornare l'elenco di elementi consentiti con più voci contemporaneamente caricando un file CSV. Il file CSV può contenere solo indirizzi IP e intervalli. Il file non può contenere intestazioni.
Nota
L'elenco di indirizzi consentiti della modalità di intelligence sulle minacce viene ereditato dai criteri padre ai criteri figlio. Qualsiasi indirizzo IP o intervallo aggiunto a un criterio padre verrà applicato anche per tutti i criteri figlio.
Registri
L'estratto del log seguente mostra una regola attivata per il traffico in uscita verso un sito dannoso:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Test
Test in uscita: gli avvisi del traffico in uscita dovrebbero essere un evento raro, poiché indicano che l'ambiente è stato compromesso. Per testare il funzionamento degli avvisi in uscita, è stato creato un nome di dominio completo di test che attiva un avviso. Usare
testmaliciousdomain.eastus.cloudapp.azure.comper i test in uscita.Test in ingresso: gli avvisi sul traffico in ingresso vengono in genere visualizzati se le regole DNAT sono configurate sul firewall. Questo vale anche se sono consentite solo origini specifiche nella regola DNAT e il traffico viene negato negli altri casi. Il firewall di Azure non invia avvisi su tutti gli scanner di porta noti, ma solo su quelli che sono anche notoriamente coinvolti in attività dannose.
Passaggi successivi
- Esaminare il Microsoft Security Intelligence Report