Использовать рабочие тетради брандмауэра Azure

Книга отчетов Azure Firewall предоставляет гибкий инструмент для анализа данных Брандмауэра Azure. Используйте его для создания расширенных визуальных отчетов на портале Azure. Вы можете подключиться к нескольким брандмауэрам, развернутым в Azure, и объединить их возможности в едином интерактивном взаимодействии.

Вы можете получить аналитические сведения о событиях брандмауэра Azure, узнать о правилах приложения и сети и просмотреть статистику действий брандмауэра по URL-адресам, портам и адресам. Рабочая книга Azure Firewall позволяет фильтровать ваши брандмауэры и группы ресурсов, а также динамически фильтровать по категориям с использованием простых для понимания наборов данных для анализа проблем в ваших журналах.

Предпосылки

Перед началом работы включите журналы структурированного брандмауэра Azure на портале Azure.

Это важно

Все приведенные ниже разделы допустимы только для структурированных журналов брандмауэра.

Если вы хотите использовать устаревшие журналы, можно включить ведение журнала диагностики с помощью портала Azure. Затем перейдите в учебник GitHub для брандмауэра Azure и следуйте указаниям на странице.

Кроме того, ознакомьтесь с журналами и метриками брандмауэра Azure для обзора журналов диагностики и метрик, доступных для брандмауэра Azure.

Начало работы

После настройки структурированных журналов брандмауэра используйте встроенные рабочие книги Azure Firewall, выполнив следующие шаги.

  1. На портале перейдите к ресурсу брандмауэра Azure.

  2. В разделе Мониторингвыберите Рабочие книги.

  3. В галерее можно создать новые рабочие книги или использовать существующую рабочую книгу брандмауэра Azure, как показано на следующем рисунке.

    Снимок экрана галереи рабочих книг брандмауэра.

  4. Выберите рабочую область Log Analytics и одно или несколько имен брандмауэров, которые вы хотите использовать в этой книге, как показано на следующем рисунке:

    Снимок экрана, показывающий выбор рабочей области и брандмауэра Azure в рабочей книге.

Разделы рабочей тетради

Книга брандмауэра Azure содержит семь вкладок, каждая из которых посвящена отдельным аспектам службы. В следующих разделах описана каждая вкладка.

Обзор

На вкладке обзора показаны графики и статистические данные, связанные со всеми типами событий брандмауэра, агрегированными из различных категорий ведения журнала. Эта агрегирование включает в себя сетевые правила, правила приложения, DNS, систему обнаружения и предотвращения вторжений (IDPS), аналитику угроз и многое другое. Доступные мини-приложения на вкладке "Обзор" включают:

  • События по времени: отображает частоту событий с течением времени.
  • События по брандмауэру с течением времени: показывает распределение событий между брандмауэрами с течением времени.
  • События по категориям: классифицирует и подсчитывает события.
  • Категории событий по времени: отображаются категории событий с течением времени.
  • Средняя пропускная способность трафика брандмауэра: отображает средние данные, проходящие через брандмауэр.
  • Использование портов SNAT: отображает использование портов SNAT.
  • Количество срабатываний сетевых правил (SUM): подсчитывает срабатывания сетевых правил.
  • Число срабатываний правила приложения (SUM): подсчитывает число срабатываний правила приложения.

Снимок экрана, показывающий вкладку обзора рабочей книги Azure Firewall.

Правила применения

На вкладке "Правила приложения " показана статистика связанных событий уровня 7, связанная с определенными правилами приложения в политике брандмауэра Azure. На вкладке правил приложений доступны следующие мини-приложения:

  • Использование правил приложения: показывает использование правил приложения.
  • Запрещенные полные доменные имена с течением времени: с течением времени отображаются запрещенные полные доменные имена (FQDN).
  • Количество отклоненных полных доменных имен: Считает отклоненные полные доменные имена.
  • Разрешенные полные доменные имена с течением времени: отображаются разрешенные полные доменные имена с течением времени.
  • Разрешенные полные доменные имена по количеству: количество разрешенных полных доменных имен.
  • Разрешенные веб-категории со временем: показываются разрешенные веб-категории на протяжении времени.
  • Разрешенные веб-категории по количеству: число разрешенных веб-категорий.
  • Запрещенные веб-категории со временем: показывает запрещенные веб-категории с течением времени.
  • Количество отказов по веб-категориям: Считает количество отклоненных веб-категорий.

Снимок экрана: вкладка правил приложения.

Правила сети

На вкладке "Правила сети " показана статистика связанных событий уровня 4, связанная с определенными правилами сети в политике брандмауэра Azure. На вкладке "Правила сети " доступны следующие мини-приложения:

  • Действия правила: отображает действия, выполняемые правилами.
  • Целевые порты: отображаются целевые порты в сетевом трафике.
  • Действия DNAT: отображает действия преобразования сетевых адресов назначения (DNAT).
  • GeoLocation: показывает географические расположения, участвующие в сетевом трафике.
  • Действия правил по IP-адресам: отображает действия правила, классифицированные по IP-адресам.
  • Целевые порты по исходному IP-адресу: показаны целевые порты, классифицированные по исходным IP-адресам.
  • DNAT с течением времени: отображает действия DNAT во времени.
  • Геолокация с течением времени: показывает географические расположения, участвующие в сетевом трафике с течением времени.
  • Действия по времени: отображает сетевые действия с течением времени.
  • Все события IP-адресов с помощью GeoLocation: отображаются все события, связанные с IP-адресами, классифицируются по географическому расположению.

Снимок экрана: вкладка

DNS-прокси

Эта вкладка актуальна, если вы настроили брандмауэр Azure для работы в качестве DNS-прокси, выступая в качестве посредника для DNS-запросов от клиентских виртуальных машин к DNS-серверу. Вкладка "Прокси-сервер DNS" включает различные мини-приложения, которые можно использовать:

  • Dns-прокси-трафик по количеству на брандмауэр: отображает количество прокси-трафика DNS для каждого брандмауэра.
  • Число DNS-прокси по имени запроса: учитывает запросы DNS-прокси по имени запроса.
  • Число запросов прокси-сервера DNS по IP-адресу клиента: учитывает запросы DNS-прокси по IP-адресу клиента.
  • Запрос DNS-прокси с течением времени по IP-адресу клиента: отображает запросы dns-прокси со временем, классифицируются по IP-адресу клиента.
  • Сведения о прокси-сервере DNS. Предоставляет сведения о журнале, связанные с настройкой прокси-сервера DNS.

Снимок экрана: вкладка DNS-прокси.

Система обнаружения и предотвращения вторжений (IDPS)

Вкладка статистики журнала IDPS содержит сводку о событиях вредоносного трафика и действиях по профилактике, выполняемых службой. Вкладка IDPS включает следующие мини-приложения:

  • Количество действий IDPS: подсчитывает действия IDPS.
  • Число протоколов IDPS: количество протоколов, обнаруженных системой IDPS.
  • Число SignatureID в IDPS: количество обнаружений IDPS по идентификатору подписи.
  • Число обнаружений IDPS по IP-адресу источника: подсчитывает количество обнаружений IDPS по исходному IP-адресу.
  • Отфильтрованные действия IDPS по количеству: количества отфильтрованных действий IDPS.
  • Отфильтрованные протоколы IDPS по количеству: подсчитывает отфильтрованные протоколы IDPS.
  • Отфильтрованные идентификаторы подписей IDPS по количеству: считает отфильтрованные обнаружения IDPS по идентификатору подписи.
  • Отфильтрованный исходный IP: отображает отфильтрованные IP-адреса источника, обнаруженные системой выявления и предотвращения вторжений.
  • Количество систем обнаружения и предотвращения вторжений (IDPS) в брандмауэре Azure с течением времени: показывает количество систем IDPS в брандмауэре Azure с течением времени.
  • Журналы IDPS брандмауэра Azure с помощью GeoLocation: предоставляет журналы IDPS брандмауэра Azure, классифицируемые по географическому расположению.

Снимок экрана: вкладка IDPS.

Аналитика угроз (TI)

Эта вкладка предоставляет комплексное представление действий аналитики угроз, подчеркивая наиболее распространенные угрозы, действия и протоколы. В нем перечислены пять лучших полных доменных имен (FQDN) и IP-адреса, связанные с этими угрозами, и отображаются обнаружения угроз на основе анализа информации с течением времени. Вы также можете анализировать подробные журналы из аналитики угроз брандмауэра Azure. Вкладка "Аналитика угроз" включает следующие мини-приложения:

  • Число действий, обнаруженных разведкой угроз: количество действий, зафиксированных системой разведки угроз.
  • Число протоколов Intel: количество протоколов, определенных аналитикой угроз.
  • Топ-5 FQDN: отображает пять наиболее частых полностью определенных доменных имен (FQDN).
  • Первые 5 IP-адресов: показывает пять наиболее частых IP-адресов.
  • Интеллектуальный анализ угроз брандмауэра Azure во времени: отображает обнаружения этих угроз в течение времени.
  • Анализ угроз Брандмауэра Azure: предоставляет журналы анализа угроз брандмауэра Azure.

Снимок экрана: вкладка

Исследования

В этом разделе описано, как изучить и устранить неполадки. Он предоставляет дополнительные сведения, такие как имя виртуальной машины и имя сетевого интерфейса, связанное с запуском или завершением трафика. Он также устанавливает корреляции между исходными IP-адресами и полными доменными именами (FQDN), к которым они пытаются получить доступ, а также географическое представление вашего трафика. Вкладка "Исследование" содержит следующие мини-приложения:

  • Трафик по FQDN по количеству: Подсчет трафика по полностью квалифицированным доменным именам (FQDN).
  • Число исходных IP-адресов: подсчитывает вхождения исходных IP-адресов.
  • Поиск ресурсов исходного IP-адреса: поиск ресурсов, связанных с исходными IP-адресами.
  • Журналы поиска FQDN: предоставляют журналы обращений к FQDN.
  • Брандмауэр Azure уровня "Премиум" с географическим расположением — idPS: отображаются обнаружения системы обнаружения вторжений и предотвращения вторжений (IDPS) брандмауэра Azure, классифицированные по географическому расположению.

Снимок экрана: вкладка

Дальнейшие действия