Поделиться через

Работа с рабочими тетрадями Azure Firewall

  • Статья

Книга отчетов Azure Firewall предоставляет гибкий инструмент для анализа данных Брандмауэра Azure. Она позволяет создавать многофункциональные визуальные отчеты на портале Azure. Вы можете подключиться к нескольким брандмауэрам, развернутым в Azure, и объединить их возможности в едином интерактивном взаимодействии.

Вы можете получить аналитические сведения о событиях брандмауэра Azure, узнать о правилах приложения и сети и просмотреть статистику действий брандмауэра по URL-адресам, портам и адресам. Рабочая книга Azure Firewall позволяет фильтровать ваши брандмауэры и группы ресурсов, а также динамически фильтровать по категориям с удобочитаемыми наборами данных при выявлении проблемы в ваших журналах.

Предпосылки

Перед началом работы включите журналы структурированного брандмауэра Azure на портале Azure.

Это важно

Все приведенные ниже разделы допустимы только для структурированных журналов брандмауэра.

Если вы хотите использовать устаревшие журналы, можно включить ведение журнала диагностики с помощью портала Azure. Затем перейдите в учебник GitHub для брандмауэра Azure и следуйте указаниям на странице.

Кроме того, ознакомьтесь с журналами и метриками брандмауэра Azure для обзора журналов диагностики и метрик, доступных для брандмауэра Azure.

Начало работы

После настройки структурированных журналов брандмауэра, вы готовы использовать встроенные рабочие книги Azure Firewall, следуя следующим шагам.

  1. На портале перейдите к ресурсу брандмауэра Azure.

  2. В разделе Мониторингвыберите Рабочие книги.

  3. В Галерее можно создать новые рабочие книги или использовать существующую рабочую книгу брандмауэра Azure, как показано здесь.

    Снимок экрана галереи рабочих книг брандмауэра.

  4. Выберите рабочую область Log Analytics и одно или несколько имен брандмауэров, которые вы хотите использовать в этой рабочей книге, как показано здесь:

    Снимок экрана: структурированные журналы.

Разделы рабочей тетради

Книга брандмауэра Azure содержит семь вкладок, каждая из которых посвящена отдельным аспектам службы. В следующих разделах описана каждая вкладка.

Обзор

На вкладке обзора показаны графы и статистические данные, связанные со всеми типами событий брандмауэра, агрегированных из различных категорий ведения журнала. К ним относятся сетевые правила, правила приложения, DNS, система обнаружения вторжений и предотвращения вторжений (IDPS), аналитика угроз и многое другое. Доступные мини-приложения на вкладке "Обзор":

  • События по времени: отображает частоту событий с течением времени.
  • События по брандмауэру с течением времени: показывает распределение событий между брандмауэрами с течением времени.
  • События по категориям: классифицирует и подсчитывает события.
  • Категории событий по времени: отображаются категории событий с течением времени.
  • Средняя пропускная способность трафика брандмауэра: отображает средние данные, проходящие через брандмауэр.
  • Использование портов SNAT: отображает использование портов SNAT.
  • Количество срабатываний сетевых правил (SUM): подсчитывает срабатывания сетевых правил.
  • Число срабатываний правила приложения (SUM): подсчитывает число срабатываний правила приложения.

Обзор рабочей книги брандмауэра Azure

Правила применения

На вкладке "Правила приложения" показана статистика связанных событий уровня 7, связанная с определенными правилами приложения в политике брандмауэра Azure. На вкладке правил приложений доступны следующие мини-приложения:

  • Использование правил приложения: показывает использование правил приложения.
  • Запрещенные полные доменные имена со временем: отображает запрещенные полные доменные имена (FQDN) с течением времени.
  • Количество отклоненных полных доменных имен: Подсчет отклоненных полных доменных имен.
  • Разрешенные полностью определенные доменные имена за период времени: отображает разрешенные полностью определенные доменные имена с течением времени.
  • Разрешенные полные доменные имена по количеству: количество разрешенных полных доменных имен.
  • Разрешенные веб-категории со временем: показываются разрешенные веб-категории на протяжении времени.
  • Разрешенные веб-категории по количеству: число разрешенных веб-категорий.
  • Запрещенные веб-категории со временем: показывает запрещенные веб-категории с течением времени.
  • Количество отказов по веб-категориям: Считает количество отклоненных веб-категорий.

Снимок экрана: вкладка правил приложения.

Правила сети

На вкладке "Правила сети" показана статистика связанных событий уровня 4, связанная с определенными правилами сети в политике брандмауэра Azure. На вкладке "Правила сети" доступны следующие мини-приложения:

  • Действия правила: отображает действия, выполняемые правилами.
  • Целевые порты: отображаются целевые порты в сетевом трафике.
  • Действия DNAT: отображает действия преобразования сетевых адресов назначения (DNAT).
  • GeoLocation: показывает географические расположения, участвующие в сетевом трафике.
  • Действия правил по IP-адресам: отображает действия правила, классифицированные по IP-адресам.
  • Целевые порты по исходному IP-адресу: показаны целевые порты, классифицированные по исходным IP-адресам.
  • DNAT с течением времени: отображает действия DNAT с течением времени.
  • Геолокация с течением времени: показывает географические расположения, участвующие в сетевом трафике с течением времени.
  • Действия по времени: отображает сетевые действия с течением времени.
  • Все события IP-адресов с помощью GeoLocation: отображаются все события, связанные с IP-адресами, классифицируются по географическому расположению.

Снимок экрана: вкладка

DNS-прокси

Эта вкладка актуальна, если вы настроили брандмауэр Azure для работы в качестве DNS-прокси, выступая в качестве посредника для DNS-запросов с клиентских виртуальных машин на DNS-сервер. Вкладка "Прокси-сервер DNS" включает различные мини-приложения, которые можно использовать:

  • Dns-прокси-трафик по количеству на брандмауэр: отображает количество прокси-трафика DNS для каждого брандмауэра.
  • Число DNS-прокси по имени запроса: учитывает запросы DNS-прокси по имени запроса.
  • Число запросов прокси-сервера DNS по IP-адресу клиента: учитывает запросы DNS-прокси по IP-адресу клиента.
  • Запрос DNS-прокси с течением времени по IP-адресу клиента: отображает запросы dns-прокси со временем, классифицируются по IP-адресу клиента.
  • Сведения о прокси-сервере DNS. Предоставляет сведения о журнале, связанные с настройкой прокси-сервера DNS.

Снимок экрана: вкладка DNS-прокси.

Система обнаружения и предотвращения вторжений (IDPS)

На вкладке статистики журнала IDPS содержится сводка событий вредоносного трафика и профилактических действий, выполняемых службой. На вкладке IDPS вы найдете различные мини-приложения, которые можно использовать:

  • Количество действий IDPS: подсчитывает действия IDPS.
  • Число протоколов IDPS: количество протоколов, обнаруженных системой IDPS.
  • Число SignatureID в IDPS: количество обнаружений IDPS по идентификатору подписи.
  • Число обнаружений IDPS по IP-адресу источника: подсчитывает количество обнаружений IDPS по исходному IP-адресу.
  • Отфильтрованные действия IDPS по количеству: количества отфильтрованных действий IDPS.
  • Отфильтрованные протоколы IDPS по количеству: подсчитывает отфильтрованные протоколы IDPS.
  • Отфильтрованные идентификаторы подписей IDPS по количеству: считает отфильтрованные обнаружения IDPS по идентификатору подписи.
  • Отфильтрованный исходный IP: отображает отфильтрованные IP-адреса источника, обнаруженные системой выявления и предотвращения вторжений.
  • Количество систем обнаружения и предотвращения вторжений (IDPS) в брандмауэре Azure с течением времени: показывает количество систем IDPS в брандмауэре Azure с течением времени.
  • Журналы IDPS брандмауэра Azure с помощью GeoLocation: предоставляет журналы IDPS брандмауэра Azure, классифицируемые по географическому расположению.

Снимок экрана: вкладка IDPS.

Аналитика угроз (TI)

На этой вкладке представлено подробное представление о мероприятиях по анализу угроз, в центре внимания - наиболее распространенные угрозы, действия и протоколы. Он определяет пять основных полных доменных имен (FQDN) и IP-адресов, связанных с этими угрозами, демонстрируя обнаружение угроз в динамике. Кроме того, подробные журналы из аналитики угроз брандмауэра Azure предоставляются для комплексного анализа. На вкладке "Аналитика угроз" вы найдете различные мини-приложения, которые можно использовать:

  • Число действий, обнаруженных разведкой угроз: количество действий, зафиксированных системой разведки угроз.
  • Число протоколов Intel: количество протоколов, определенных аналитикой угроз.
  • Количество первых 5 полностью определенных доменных имен: отображает пять наиболее частых полностью определенных доменных имен (FQDN).
  • Первые 5 IP-адресов: показывает пять наиболее частых IP-адресов.
  • Интеллектуальный анализ угроз брандмауэра Azure во времени: отображает обнаружения этих угроз в течение времени.
  • Анализ угроз Брандмауэра Azure: предоставляет журналы анализа угроз брандмауэра Azure.

Снимок экрана: вкладка

Исследования

В разделе "Исследование" можно изучить и устранить неполадки, предлагая дополнительные сведения, такие как имя виртуальной машины и имя сетевого интерфейса, связанные с запуском или завершением трафика. Он также устанавливает корреляции между исходными IP-адресами, полными доменными именами (FQDN), к которым они пытаются получить доступ, а также с географическим представлением вашего трафика. Мини-приложения, доступные на вкладке "Исследование":

  • Трафик по полным доменным именам (FQDN) по количеству: подсчитывает трафик по полным доменным именам (FQDN).
  • Число исходных IP-адресов: подсчитывает вхождения исходных IP-адресов.
  • Поиск ресурсов исходного IP-адреса: поиск ресурсов, связанных с исходными IP-адресами.
  • Журналы поиска FQDN: предоставляют журналы обращений к FQDN.
  • Брандмауэр Azure Premium с географическим расположением — IDPS: отображает систему обнаружения и предотвращения вторжений брандмауэра Azure ( IDPS) — обнаружения, классифицированные по географическому расположению.

Снимок экрана: вкладка

Дальнейшие действия