Shromažďování protokolů brány firewall pomocí agenta Azure Monitoru

  • Článek

Brána Windows Firewall je aplikace systému Microsoft Windows, která filtruje informace přicházející do systému z internetu a blokuje potenciálně škodlivé programy. Protokoly brány Windows Firewall se generují v klientských i serverových operačních systémech. Tyto protokoly poskytují cenné informace o síťovém provozu, včetně zahozených paketů a úspěšných připojení. Parsování souborů protokolu brány Windows Firewall je možné provádět pomocí metod, jako je předávání událostí Windows (WEF) nebo předávání protokolů do produktu SIEM, jako je Azure Sentinel. Můžete ho zapnout nebo vypnout pomocí následujícího postupu v jakémkoli systému Windows:

  1. Vyberte Start a pak otevřete Nastavení.
  2. V části Aktualizace a zabezpečení vyberte Zabezpečení Windows, bránu firewall a ochranu sítě.
  3. Vyberte profil sítě: doména, privátní nebo veřejná.
  4. V části Brána firewall v programu Microsoft Defender přepněte nastavení na Zapnuto nebo Vypnuto.

Požadavky

K dokončení tohoto postupu potřebujete:

  • Pracovní prostor služby Log Analytics, kde máte alespoň práva přispěvatele.
  • Koncový bod shromažďování dat.
  • Oprávnění k vytváření objektů pravidla shromažďování dat v pracovním prostoru
  • Virtuální počítač, škálovací sada virtuálních počítačů nebo místní počítač s podporou arc, na kterém běží brána firewall.

Přidejte tabulku brány firewall do pracovního prostoru služby Log Analytics

Na rozdíl od jiných tabulek vytvořených ve výchozím nastavení v aplikaci LAW je nutné tabulku brány Windows Firewall vytvořit ručně. Vyhledejte řešení zabezpečení a audit a vytvořte ho. Viz snímek obrazovky níže. Pokud tabulka není k dispozici, zobrazí se chyba nasazení DCR s oznámením, že tabulka není v law. Schéma pro tabulku brány firewall, která se vytvoří, se nachází tady: Schéma brány Windows Firewall

Snímek obrazovky, který ukazuje, jak přidat řešení zabezpečení a auditu

Vtvořte pravidlo shromažďování dat pro shromažďování protokolů brány firewall

Pravidlo shromažďování dat definuje:

  • Které zdrojové soubory protokolu agent Azure Monitor vyhledá nové události.
  • Jak Azure Monitor transformuje události během příjmu dat.
  • Cílový pracovní prostor a tabulka služby Log Analytics, do které Azure Monitor odesílá data.

Můžete definovat pravidlo shromažďování dat pro odesílání dat z více počítačů do pracovních prostorů služby Log Analytics, včetně pracovního prostoru v jiné oblasti nebo tenantovi. Vytvořte pravidlo shromažďování dat ve stejné oblasti jako pracovní prostor Analytics.

Poznámka:

Pokud chcete odesílat data mezi tenanty, musíte nejprve povolit Azure Lighthouse.

Vytvoření pravidla shromažďování dat na webu Azure Portal:

  1. V nabídce Monitorování vyberte Pravidla shromažďování dat.

  2. Výběrem možnosti Vytvořit vytvoříte nové pravidlo a přidružení shromažďování dat.

    Snímek obrazovky znázorňující tlačítko Vytvořit na obrazovce Pravidla shromažďování dat

  3. Zadejte název pravidla a zadejte předplatné, skupinu prostředků, oblast a typ platformy:

    • Oblast určuje, kde se bude řadič domény vytvářet. Virtuální počítače a jejich přidružení můžou být v libovolném předplatném nebo skupině prostředků v tenantovi.
    • Typ platformy určuje typ prostředků, na které se toto pravidlo může použít. Možnost Vlastní umožňuje pro typy Windows i Linux. -Koncový bod shromažďování dat vyberte dříve vytvořený koncový bod shromažďování dat.

    Snímek obrazovky, který znázorňuje kartu Základy na obrazovce Pravidla shromažďování dat

  4. On the Resources tab: Select + Add resources and associate resources with the data collection rule. Prostředky můžou být Virtual Machines, Virtual Machine Scale Sets a Azure Arc pro servery. Azure Portal nainstaluje agenta Služby Azure Monitor na prostředky, které ho ještě nemají nainstalované.

Důležité

Portál umožňuje spravovanou identitu přiřazenou systémem na cílových prostředcích spolu s existujícími identitami přiřazenými uživatelem, pokud existují. Pokud v požadavku nezadáte identitu přiřazenou uživatelem, počítač místo toho použije identitu přiřazenou systémem. Pokud potřebujete izolaci sítě pomocí privátních propojení, vyberte existující koncové body ze stejné oblasti pro příslušné prostředky nebo vytvořte nový koncový bod.

  1. Na kartě Shromáždit a doručit vyberte Přidat zdroj dat a přidejte zdroj dat a nastavte cíl.

  2. Vyberte protokoly brány firewall.

    Snímek obrazovky znázorňující formulář webu Azure Portal pro výběr protokolů brány firewall v pravidle shromažďování dat

  3. Na kartě Cíl přidejte cíl zdroje dat.

    Snímek obrazovky znázorňující formulář webu Azure Portal pro přidání zdroje dat do pravidla shromažďování dat

  4. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte podrobnosti pravidla shromažďování dat a přidružení k sadě virtuálních počítačů.

  5. Výběrem možnosti Vytvořit vytvořte pravidlo shromažďování dat.

Poznámka:

Po vytvoření pravidla shromažďování dat může trvat až 5 minut, než se data odesílají do cílů.

Ukázkové dotazy na protokoly

Spočítejte položky protokolu brány firewall podle adresy URL hostitele www.contoso.com.

WindowsFirewall 
| take 10

Snímek obrazovky znázorňující výsledky dotazu protokolu brány firewall

Odstraňování potíží

Při řešení potíží s kolekcí protokolů brány firewall postupujte následovně.

Spuštění poradce při potížích s agentem služby Azure Monitor

K otestování konfigurace a sdílení protokolů s Microsoftem použijte poradce při potížích s agentem služby Azure Monitor.

Zkontrolujte, jestli se nepřijaly nějaké protokoly brány firewall.

Začněte tím, že zkontrolujete, jestli se pro protokoly brány firewall shromáždily nějaké záznamy spuštěním následujícího dotazu v Log Analytics. Pokud dotaz nevrací záznamy, zkontrolujte případné příčiny v dalších částech. Tento dotaz hledá položky za poslední dva dny, ale můžete je upravit pro jiný časový rozsah.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Ověřte, že se vytvářejí protokoly brány firewall.

Podívejte se na časová razítka souborů protokolu a otevřete nejnovější, abyste viděli, že v souborech protokolu jsou k dispozici nejnovější časová razítka. Výchozí umístění souborů protokolu brány firewall je C:\windows\system32\logfiles\firewall\pfirewall.log.

Snímek obrazovky znázorňující protokoly brány firewall na místním disku

Pokud chcete protokolování zapnout, postupujte takto.

  1. gpedit {follow the picture}
  2. Netsh advfirewall>nastavte protokolování allprofiles allowedconnections enableions
  3. Netsh advfirewall>nastavil protokol allprofiles droppedconnections enable

Snímek obrazovky, který znázorňuje všechny kroky pro zapnutí protokolování

Další kroky

Přečtěte si další informace: