Utilisation de classeurs Pare-feu Azure

Le classeur Pare-feu Azure constitue un canevas flexible pour l’analyse de données du Pare-feu Azure. Il permet de créer des rapports visuels enrichis au sein du Portail Azure. Vous pouvez exploiter plusieurs pare-feu déployés à travers l’écosystème Azure et les combiner dans des expériences interactives unifiées.

Vous pouvez en tirer des insights sur les événements Pare-feu Azure, en savoir plus sur vos règles d’application et de réseau et voir les statistiques des activités de pare-feu à travers plusieurs URL, ports et adresses. Le classeur Pare-feu Azure vous permet de filtrer vos pare-feu et groupes de ressources, y compris dynamiquement et par catégorie avec des jeux de données faciles à lire lorsque vous examinez un problème dans vos journaux.

Prérequis

Avant de commencer, activez les journaux du pare-feu structuré Azure via le Portail Azure.

Important

Toutes les sections suivantes sont valides uniquement pour les journaux structurés par le pare-feu.

Si vous souhaitez utiliser des journaux hérités, vous pouvez activer la journalisation des diagnostics à l’aide de la Portail Azure. Accédez ensuite au classeur GitHub pour Pare-feu Azure et suivez les instructions de la page.

Consultez également Journaux et métriques du Pare-feu Azure pour une vue d’ensemble des journaux de diagnostic et des métriques disponibles pour le Pare-feu Azure.

Démarrage

Une fois que vous avez configuré les journaux structurés par le pare-feu, vous êtes tous configurés pour utiliser les classeurs incorporés Pare-feu Azure en procédant comme suit :

  1. Dans le portail, accédez à votre ressource Pare-feu Azure.

  2. Sous Surveillance, sélectionnez Classeurs.

  3. Dans la galerie, vous pouvez créer des classeurs ou utiliser le classeur Pare-feu Azure existant, comme indiqué ici :

    Screenshot showing the firewall workbook gallery.

  4. Sélectionnez l’espace de travail Log Analytics et un ou plusieurs noms de pare-feu que vous souhaitez utiliser dans ce classeur, comme indiqué ici :

    Screenshot showing structured logs.

Sections du classeur

Le classeur Pare-feu Azure comporte sept onglets, chacun traitant des aspects distincts du service. Les sections suivantes décrivent chaque onglet.

Vue d’ensemble

L’onglet Vue d’ensemble présente des graphiques et des statistiques liés à tous les types d’événements de pare-feu agrégés à partir de différentes catégories de journalisation. Cela inclut les règles réseau, les règles d’application, dns, détection d’intrusion et système de prévention (IDPS), le renseignement sur les menaces, etc. Les widgets disponibles dans l’onglet Vue d’ensemble sont les suivants :

  • Événements, par heure : affiche la fréquence des événements au fil du temps.
  • Événements, par pare-feu au fil du temps : affiche la distribution des événements entre les pare-feu au fil du temps.
  • Événements, par catégorie : catégorise et compte les événements.
  • Catégories d’événements, par heure : affiche les catégories d’événements au fil du temps.
  • Débit moyen du trafic de pare-feu : affiche les données moyennes qui transitent par le pare-feu.
  • Utilisation du port SNAT : affiche l’utilisation des ports SNAT.
  • Nombre d’accès à la règle réseau (SOMME) : compte les déclencheurs de règle réseau.
  • Nombre d’accès aux règles d’application (SOMME) : compte les déclencheurs de règle d’application.

Azure Firewall Workbook overview

Règles d’application

L’onglet Règles d’application affiche les statistiques d’événements liés à la couche 7 corrélées à vos règles d’application spécifiques dans Pare-feu Azure stratégie. Les widgets suivants sont disponibles sous l’onglet Règles d’application :

  • Utilisation des règles d’application : affiche l’utilisation des règles d’application.
  • Heures supplémentaires du nom de domaine complet refusé : affiche les noms de domaine complets (FQDN) refusés au fil du temps.
  • Nom de domaine complet refusé par nombre : nombre de noms de domaine complets refusés.
  • Heures supplémentaires du nom de domaine complet autorisé : affiche les noms de domaine complets autorisés au fil du temps.
  • Nombre de noms de domaine complet autorisés : nombre de noms de domaine complets autorisés.
  • Heures supplémentaires des catégories web autorisées : affiche les catégories web autorisées au fil du temps.
  • Catégories web autorisées par nombre : compte les catégories web autorisées.
  • Heures supplémentaires des catégories web refusées : affiche les catégories web refusées au fil du temps.
  • Catégories web refusées par nombre : nombre de catégories web refusées.

Screenshot showing the application rules tab.

Règles de réseau

L’onglet Règles réseau affiche les statistiques des événements liés à la couche 4 corrélées à vos règles réseau spécifiques dans Pare-feu Azure stratégie. Les widgets suivants sont disponibles sous l’onglet Règles réseau :

  • Actions de règle : affiche les actions effectuées par les règles.
  • Ports cibles : affiche les ports ciblés dans le trafic réseau.
  • Actions DNAT : affiche les actions de la traduction d’adresses réseau de destination (DNAT).
  • Géolocalisation : affiche les emplacements géographiques impliqués dans le trafic réseau.
  • Actions de règle, par adresses IP : affiche les actions de règle classées par adresses IP.
  • Ports cibles, par adresse IP source : affiche les ports ciblés classés par adresses IP sources.
  • DNAT’ed au fil du temps : affiche les actions DNAT au fil du temps.
  • Géolocalisation au fil du temps : affiche les emplacements géographiques impliqués dans le trafic réseau au fil du temps.
  • Actions, par temps : affiche les actions réseau au fil du temps.
  • Tous les événements d’adresses IP avec geoLocation : affiche tous les événements impliquant des adresses IP, classés par emplacement géographique.

Screenshot showing network rules tab.

Proxy DNS

Cet onglet est pertinent si vous avez configuré Pare-feu Azure fonctionner en tant que proxy DNS, servant d’intermédiaire pour les requêtes DNS des machines virtuelles clientes vers un serveur DNS. L’onglet Proxy DNS comprend différents widgets que vous pouvez utiliser :

  • Trafic proxy DNS par nombre par pare-feu : affiche le nombre de trafic du proxy DNS pour chaque pare-feu.
  • Nombre de proxys DNS par nom de requête : compte les demandes de proxy DNS par nom de demande.
  • Nombre de demandes de proxy DNS par adresse IP du client : compte les demandes de proxy DNS par adresse IP du client.
  • Demande de proxy DNS au fil du temps par adresse IP du client : affiche les demandes de proxy DNS au fil du temps, classées par adresse IP cliente.
  • Informations sur le proxy DNS : fournit des informations de journal relatives à votre configuration du proxy DNS.

Screenshot showing the DNS proxy tab.

Système de détection et de prévention des intrusions (IDPS)

L’onglet Statistiques du journal IDPS fournit un résumé des événements de trafic malveillant et les actions préventives entreprises par le service. Dans l’onglet IDPS, vous trouverez différents widgets que vous pouvez utiliser :

  • Nombre d’actions IDPS : compte les actions IDPS.
  • Nombre de protocoles IDPS : compte les protocoles détectés par IDPS.
  • Nombre IDPS SignatureID : compte les détections IDPS par ID de signature.
  • Nombre IDPS SourceIP : compte les détections IDPS par adresse IP source.
  • Actions IDPS filtrées par nombre : nombre d’actions IDPS filtrées.
  • Protocoles IDPS filtrés par nombre : nombre de protocoles IDPS filtrés.
  • IDPS filtré par nombre : nombre de détections IDPS filtrées par IDPS par ID de signature.
  • SourceIP filtrée : affiche les adresses IP sources filtrées détectées par IDPS.
  • Pare-feu Azure nombre d’IDPS au fil du temps : affiche Pare-feu Azure nombre d’IDPS au fil du temps.
  • Pare-feu Azure journaux IDPS avec GeoLocation : fournit Pare-feu Azure journaux IDPS, classés par emplacement géographique.

Screenshot showing the IDPS tab.

Threat Intelligence (TI)

Cet onglet offre une perspective approfondie sur les activités de renseignement sur les menaces, en mettant en évidence les menaces, les actions et les protocoles les plus répandus. Il délimite les cinq principaux noms de domaine complets (FQDN) et les adresses IP associées à ces menaces, présentant des détections de renseignement sur les menaces au fil du temps. En outre, les journaux détaillés de Pare-feu Azure’intelligence sur les menaces sont fournis pour une analyse complète. Dans l’onglet Threat Intelligence, vous trouverez différents widgets que vous pouvez utiliser :

  • Nombre d’actions Intel contre les menaces : compte les actions détectées par Threat Intelligence.
  • Nombre de protocoles Intel contre les menaces : compte les protocoles identifiés par Threat Intelligence.
  • Nombre de noms de domaine complets top 5 : affiche les cinq noms de domaine complets les plus fréquents les plus fréquents.
  • Nombre d’adresses IP principales : affiche les cinq premières adresses IP les plus fréquentes.
  • Pare-feu Azure Threat Intel au fil du temps : affiche Pare-feu Azure détections de renseignement sur les menaces au fil du temps.
  • Pare-feu Azure Threat Intel : fournit des journaux d’activité à partir du renseignement sur les menaces de Pare-feu Azure.

Screenshot showing the threat intelligence tab.

Enquêtes

La section Investigation active l’exploration et la résolution des problèmes, offrant des détails supplémentaires tels que le nom de la machine virtuelle et le nom de l’interface réseau associés à l’initiation ou à l’arrêt du trafic. Il établit également des corrélations entre les adresses IP sources, les noms de domaine complets (FQDN) qu’ils tentent d’accéder ainsi qu’une vue géographique de votre trafic. Widgets disponibles sous l’onglet Investigation :

  • Trafic de nom de domaine complet par nombre : compte le trafic par noms de domaine complets (FQDN).
  • Nombre d’adresses IP sources : compte les occurrences d’adresses IP sources.
  • Recherche de ressources d’adresse IP source : recherche les ressources associées aux adresses IP sources.
  • Journaux de recherche FQDN : fournit des journaux d’activité à partir de recherches FQDN.
  • Pare-feu Azure Premium avec emplacement géographique – IDPS : affiche le système de détection et de prévention des intrusions de Pare-feu Azure ( IDPS) – détections, classées par emplacement géographique.

Screenshot showing the investigation tab.

Étapes suivantes