Usando pastas de trabalho do Firewall do Azure

A Pasta de Trabalho do Firewall do Azure fornece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-lo para criar relatórios visuais avançados no portal do Azure. Você pode aproveitar vários Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.

Você pode obter informações sobre eventos do Firewall do Azure, aprender sobre suas regras de aplicativo e rede e ver estatísticas de atividades de firewall em URLs, portas e endereços. A Pasta de Trabalho do Firewall do Azure permite filtrar seus firewalls e grupos de recursos e filtrar dinamicamente por categoria com conjuntos de dados fáceis de ler ao investigar um problema em seus logs.

Pré-requisitos

Antes de começar, habilite os Logs do Firewall Estruturado do Azure por meio do portal do Azure.

Importante

Todas as seções a seguir são válidas apenas para logs estruturados do Firewall.

Se quiser usar logs herdados, você pode habilitar o log de diagnóstico usando o portal do Azure. Em seguida, vá para a pasta de trabalho do GitHub para o Firewall do Azure e siga as instruções na página.

Além disso, leia os logs e métricas do Firewall do Azure para obter uma visão geral dos logs e métricas de diagnóstico disponíveis para o Firewall do Azure.

Introdução

Depois de configurar os logs estruturados do Firewall, você estará pronto para usar as pastas de trabalho incorporadas do Firewall do Azure usando as seguintes etapas:

  1. No portal, navegue até o recurso do Firewall do Azure.

  2. Em Monitoramento, selecione Pastas de trabalho.

  3. Na Galeria, você pode criar novas pastas de trabalho ou usar a pasta de trabalho existente do Firewall do Azure, conforme mostrado aqui:

    Screenshot showing the firewall workbook gallery.

  4. Selecione o espaço de trabalho de análise de log e um ou mais nomes de firewall que você deseja usar nesta pasta de trabalho, conforme mostrado aqui:

    Screenshot showing structured logs.

Seções da pasta de trabalho

A pasta de trabalho do Firewall do Azure tem sete guias, cada uma abordando aspetos distintos do serviço. As seções a seguir descrevem cada guia.

Descrição geral

A guia Visão geral mostra gráficos e estatísticas relacionados a todos os tipos de eventos de firewall agregados de várias categorias de registro. Isso inclui regras de rede, regras de aplicativo, DNS, IDPS (Intrusion Detection and Prevention System), Threat Intelligence e muito mais. Os widgets disponíveis na guia Visão geral incluem:

  • Eventos, por tempo: Exibe a frequência dos eventos ao longo do tempo.
  • Eventos, por firewall ao longo do tempo: mostra a distribuição de eventos entre firewalls ao longo do tempo.
  • Eventos, por categoria: Categoriza e conta eventos.
  • Categorias de eventos, por tempo: Exibe categorias de eventos ao longo do tempo.
  • Taxa de transferência média do tráfego do firewall: mostra a média de dados que passam pelo firewall.
  • Utilização da porta SNAT: Exibe o uso de portas SNAT.
  • Contagem de acertos da regra de rede (SOMA): conta os gatilhos da regra de rede.
  • Contagem de acertos da regra de aplicativo (SOMA): conta os gatilhos da regra de aplicativo.

Azure Firewall Workbook overview

Regras de aplicação

A guia Regras de aplicativo mostra estatísticas de eventos relacionados à Camada 7 correlacionadas com suas regras de aplicativo específicas na política de Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras do aplicativo:

  • Uso da regra de aplicativo: mostra o uso de regras de aplicativo.
  • Horas extras do FQDN negadas: Exibe FQDNs (Nomes de Domínio Totalmente Qualificados) negados ao longo do tempo.
  • FQDNs negados por contagem: Condes negados FQDNs.
  • Horas extras do FQDN permitidas: Exibe FQDNs permitidos ao longo do tempo.
  • FQDNs permitidos por contagem: Contagens permitidas FQDNs.
  • Horas extras de categorias da Web permitidas: mostra as categorias da Web permitidas ao longo do tempo.
  • Categorias da Web permitidas por contagem: Contagens de categorias da Web permitidas.
  • Horas extras de categorias da Web negadas: exibe categorias da Web negadas ao longo do tempo.
  • Categorias da Web negadas por contagem: Contagens de categorias da Web negadas.

Screenshot showing the application rules tab.

Regras de rede

A guia Regras de rede mostra estatísticas de eventos relacionados à Camada 4 correlacionadas com suas regras de rede específicas na política de Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras de rede:

  • Ações de regra: Exibe as ações executadas pelas regras.
  • Portas de destino: mostra as portas de destino no tráfego de rede.
  • Ações DNAT: Exibe ações de Conversão de Endereço de Rede de Destino (DNAT).
  • GeoLocation: Mostra localizações geográficas envolvidas no tráfego de rede.
  • Ações de regra, por endereços IP: Exibe ações de regra categorizadas por endereços IP.
  • Portas de destino, por IP de origem: mostra as portas de destino categorizadas por endereços IP de origem.
  • DNAT'ed ao longo do tempo: Exibe ações DNAT ao longo do tempo.
  • GeoLocalização ao longo do tempo: Mostra localizações geográficas envolvidas no tráfego de rede ao longo do tempo.
  • Ações, por tempo: Exibe as ações da rede ao longo do tempo.
  • Todos os eventos de endereços IP com GeoLocation: Mostra todos os eventos que envolvem endereços IP, categorizados por localização geográfica.

Screenshot showing network rules tab.

Proxy DNS

Esta guia é relevante se você configurou o Firewall do Azure para funcionar como um proxy DNS, servindo como intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS. A guia Proxy DNS inclui vários widgets que você pode usar:

  • Tráfego de proxy DNS por contagem por firewall: Exibe a contagem de tráfego de proxy DNS para cada firewall.
  • Contagem de proxy DNS por nome de solicitação: Conta solicitações de proxy DNS por nome de solicitação.
  • Contagem de solicitações de proxy DNS por IP do cliente: Conta as solicitações de proxy DNS pelo endereço IP do cliente.
  • Solicitação de proxy DNS ao longo do tempo por IP do cliente: Exibe solicitações de proxy DNS ao longo do tempo, categorizadas por IP do cliente.
  • Informações de proxy DNS: fornece informações de log relacionadas à configuração do proxy DNS.

Screenshot showing the DNS proxy tab.

Sistema de Deteção e Prevenção de Intrusões (IDPS)

A guia IDPS log statistics oferece um resumo de eventos de tráfego mal-intencionados e as ações preventivas realizadas pelo serviço. Na guia IDPS, você encontrará vários widgets que você pode usar:

  • Contagem de ações IDPS: Conta ações IDPS.
  • Contagem de Protocolo IDPS: Conta protocolos detetados por IDPS.
  • IDPS SignatureID Count: Conta as deteções de IDPS por ID de assinatura.
  • Contagem de IDPS SourceIP: Conta as deteções de IDPS por endereço IP de origem.
  • Ações de IDPS filtradas por contagem: conta ações de IDPS filtradas.
  • Protocolos IDPS filtrados por contagem: Conta protocolos IDPS filtrados.
  • IDs de assinatura de IDPS filtrados por contagem: conta deteções de IDPS filtradas por ID de assinatura.
  • Código-fonte filtradoIP: Exibe IPs de origem filtrados detetados pelo IDPS.
  • Contagem de IDPS do Firewall do Azure ao longo do tempo: mostra a contagem de IDPS do Firewall do Azure ao longo do tempo.
  • Logs IDPS do Firewall do Azure com GeoLocation: fornece logs IDPS do Firewall do Azure, categorizados por localização geográfica.

Screenshot showing the IDPS tab.

Inteligência de ameaças (TI)

Esta guia oferece uma perspetiva completa sobre as atividades de inteligência de ameaças, destacando as ameaças, ações e protocolos mais prevalentes. Ele delineia os cinco principais FQDNs (Nomes de Domínio Totalmente Qualificados) e endereços IP associados a essas ameaças, mostrando deteções de inteligência de ameaças ao longo do tempo. Além disso, os logs detalhados da Inteligência de Ameaças do Firewall do Azure são fornecidos para uma análise abrangente. Na guia Inteligência de ameaças, você encontrará vários widgets que você pode usar:

  • Threat Intel Actions Count: Conta as ações detetadas pelo Threat Intelligence.
  • Contagem de protocolos Intel de ameaças: conta protocolos identificados pelo Threat Intelligence.
  • Top 5 FQDN Count: Exibe os cinco principais FQDNs (Fully Qualified Domain Names) mais frequentes.
  • Top 5 IP Count: Mostra os cinco principais endereços IP mais frequentes.
  • Azure Firewall Threat Intel Over Time: Exibe as deteções do Azure Firewall Threat Intelligence ao longo do tempo.
  • Azure Firewall Threat Intel: Fornece logs da Inteligência de Ameaças do Firewall do Azure.

Screenshot showing the threat intelligence tab.

Exames complementares de diagnóstico

A seção de investigação permite a exploração e a solução de problemas, oferecendo detalhes adicionais, como o nome da máquina virtual e o nome da interface de rede associados ao início ou término do tráfego. Ele também estabelece correlações entre os endereços IP de origem, os FQDNs (Nomes de Domínio Totalmente Qualificados) que eles tentam acessar, bem como a visualização da localização geográfica do seu tráfego. Widgets disponíveis na guia Investigação:

  • Tráfego FQDN por Contagem: Conta o tráfego por FQDNs (Nomes de Domínio Totalmente Qualificados).
  • Contagem de endereços IP de origem: conta ocorrências de endereços IP de origem.
  • Pesquisa de Recursos de Endereço IP de Origem: Procura recursos associados a endereços IP de origem.
  • Logs de pesquisa de FQDN: fornece logs de pesquisas de FQDN.
  • Azure Firewall Premium com Localização Geográfica – IDPS: Exibe as deteções do Sistema de Deteção e Prevenção de Intrusões do Firewall do Azure - (IDPS), categorizadas por localização geográfica.

Screenshot showing the investigation tab.

Próximos passos