Az Azure Firewall fenyegetésintelligencia-alapú szűrése
Engedélyezheti a fenyegetésintelligencia-alapú szűrést a tűzfal számára az ismert rosszindulatú IP-címek, teljes tartománynevek és URL-címek felé irányuló forgalom riasztásához és letiltásához. Az IP-címek, tartományok és URL-címek a Microsoft Threat Intelligence hírcsatornából származnak, amely több forrást is tartalmaz, köztük a Microsoft Cyber Security csapatát is.
Az Intelligent Security Graph a Microsoft fenyegetésintelligencia-funkcióit használja, és több szolgáltatást is használ, beleértve a Felhőhöz készült Microsoft Defender.
Ha engedélyezte a fenyegetésintelligencia-alapú szűrést, a tűzfal feldolgozza a kapcsolódó szabályokat a NAT-szabályok, hálózati szabályok vagy alkalmazásszabályok előtt.
Amikor egy szabály aktiválódik, dönthet úgy, hogy csak naplóz egy riasztást, vagy választhat riasztási és megtagadási módot.
Alapértelmezés szerint a fenyegetésintelligencia-alapú szűrés riasztási módban van. Nem kapcsolhatja ki ezt a funkciót, és nem módosíthatja a módot, amíg el nem érhető a portál felülete a régióban.
Megadhatja az engedélyezési listákat, hogy a fenyegetésfelderítés ne szűrje a felsorolt teljes tartománynevekre, IP-címekre, tartományokra vagy alhálózatokra vonatkozó forgalmat.
Kötegművelet esetén feltölthet egy CSV-fájlt az IP-címek, a tartományok és az alhálózatok listájával.
Naplók
Az alábbi naplórészlet egy aktivált szabályt mutat be:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Tesztelés
Kimenő tesztelés – A kimenő forgalmi riasztások ritkán fordulnak elő, mivel ez azt jelenti, hogy a környezet sérült. A kimenő riasztások teszteléséhez létezik egy olyan teljes tartománynév, amely riasztást aktivál. Használja
testmaliciousdomain.eastus.cloudapp.azure.coma kimenő tesztekhez.A tesztek előkészítéséhez és annak biztosításához, hogy ne kapjon DNS-feloldási hibát, konfigurálja a következő elemeket:
- Adjon hozzá egy próbarekordot a tesztszámítógép gazdagépfájljához. Windows rendszerű számítógépen például hozzáadhatja
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.comaC:\Windows\System32\drivers\etc\hostsfájlt. - Győződjön meg arról, hogy a tesztelt HTTP/S-kérés alkalmazásszabályt használ, nem hálózati szabályt.
- Adjon hozzá egy próbarekordot a tesztszámítógép gazdagépfájljához. Windows rendszerű számítógépen például hozzáadhatja
Bejövő tesztelés – A bejövő forgalomra vonatkozó riasztások várhatók, ha a tűzfal DNST-szabályokat konfigurált. Riasztások akkor is megjelennek, ha a tűzfal csak bizonyos forrásokat engedélyez a DNAT-szabályban, és a forgalom egyébként le van tagadva. Az Azure Firewall nem riasztást küld az összes ismert portolvasóról; csak olyan szkennereken, amelyek rosszindulatú tevékenységet is folytatnak.
Következő lépések
- Az Azure Firewall veszélyforrások elleni védelmének felfedezése
- Tekintse meg az Azure Firewall Log Analytics-mintáit
- Megtudhatja, hogyan helyezhet üzembe és konfigurálhat Azure Firewallt
- A Microsoft biztonságiintelligencia-jelentésének áttekintése