Filtrování na základě analýzy hrozeb na základě služby Azure Firewall
Filtrování na základě analýzy hrozeb můžete pro bránu firewall povolit tak, aby upozorňovala a odepíral provoz ze známých škodlivých IP adres, plně kvalifikovaných názvů domén a adres URL. IP adresy, domény a adresy URL pocházejí z informačního kanálu Microsoft Threat Intelligence, který zahrnuje více zdrojů, včetně týmu Microsoft Cyber Security. Intelligent Security Graph využívá analýzu hrozeb Microsoftu a využívá více služeb, včetně Microsoft Defenderu pro cloud.
Pokud jste povolili filtrování na základě analýzy hrozeb, brána firewall zpracuje přidružená pravidla před jakýmkoli z pravidel překladu adres (NAT), pravidel sítě nebo pravidel aplikace.
Když se pravidlo aktivuje, můžete se rozhodnout, že chcete jenom zaznamenat upozornění, nebo můžete zvolit režim upozornění a zamítnutí.
Ve výchozím nastavení je filtrování na základě analýzy hrozeb v režimu upozornění. Tuto funkci nemůžete vypnout ani změnit režim, dokud nebude rozhraní portálu dostupné ve vaší oblasti.
Seznamy povolených adres můžete definovat, aby analýza hrozeb nefiltrovala provoz do žádného z uvedených plně kvalifikovaných názvů domén, IP adres, rozsahů nebo podsítí.
V případě dávkové operace můžete nahrát soubor CSV se seznamem IP adres, rozsahů a podsítí.
Protokoly
Následující výňatek protokolu ukazuje aktivované pravidlo:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testování
Odchozí testování – Upozornění odchozího provozu by měla být výjimečným výskytem, protože to znamená, že vaše prostředí je ohrožené. Aby bylo testování odchozích upozornění funkční, existuje testovací plně kvalifikovaný název domény, který aktivuje výstrahu. Používá se
testmaliciousdomain.eastus.cloudapp.azure.compro odchozí testy.Pokud se chcete připravit na testy a zajistit, že se nezobrazí chyba překladu DNS, nakonfigurujte následující položky:
- Do souboru hostitelů na testovacím počítači přidejte fiktivní záznam. Například na počítači se systémem Windows můžete do
C:\Windows\System32\drivers\etc\hostssouboru přidat1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com. - Ujistěte se, že testovaný požadavek HTTP/S je povolený pomocí pravidla aplikace, nikoli síťového pravidla.
- Do souboru hostitelů na testovacím počítači přidejte fiktivní záznam. Například na počítači se systémem Windows můžete do
Příchozí testování – Pokud má brána firewall nakonfigurovaná pravidla DNAT, můžete očekávat, že se budou zobrazovat upozornění na příchozí provoz. Upozornění se zobrazí i v případě, že brána firewall povoluje pouze konkrétní zdroje v pravidle DNAT a provoz je jinak odepřen. Azure Firewall na všechny známé skenery portů nezapozoruje. pouze na skenerech, které se také podílejí na škodlivých aktivitách.