Använda Azure Firewall-arbetsböcker

Azure Firewall-arbetsboken ger en flexibel arbetsyta för dataanalys i Azure Firewall. Du kan använda den för att skapa omfattande visuella rapporter i Azure-portalen. Du kan utnyttja flera brandväggar som distribuerats i Azure och kombinera dem till enhetliga interaktiva upplevelser.

Du kan få insikter om Azure Firewall-händelser, lära dig mer om dina program- och nätverksregler och se statistik för brandväggsaktiviteter över URL:er, portar och adresser. Med Azure Firewall-arbetsboken kan du filtrera dina brandväggar och resursgrupper och dynamiskt filtrera per kategori med lättläst datamängder när du undersöker ett problem i loggarna.

Förutsättningar

Innan du börjar aktiverar du Azure Structured Firewall-loggar via Azure-portalen.

Viktigt!

Alla följande avsnitt är endast giltiga för brandväggsstrukturerade loggar.

Om du vill använda äldre loggar kan du aktivera diagnostikloggning med hjälp av Azure-portalen. Gå sedan till GitHub-arbetsbok för Azure Firewall och följ anvisningarna på sidan.

Läs även Loggar och mått för Azure Firewall för en översikt över diagnostikloggarna och måtten som är tillgängliga för Azure Firewall.

Kom igång

När du har konfigurerat brandväggsstrukturerade loggar är du redo att använda de inbäddade Arbetsböckerna i Azure Firewall med hjälp av följande steg:

  1. Gå till din Azure Firewall-resurs i portalen.

  2. Under Övervakning väljer du Arbetsböcker.

  3. I galleriet kan du skapa nya arbetsböcker eller använda den befintliga Azure Firewall-arbetsboken enligt följande:

    Screenshot showing the firewall workbook gallery.

  4. Välj log analytics-arbetsytan och ett eller flera brandväggsnamn som du vill använda i den här arbetsboken som du ser här:

    Screenshot showing structured logs.

Arbetsboksavsnitt

Azure Firewall-arbetsboken har sju flikar som var och en behandlar olika aspekter av tjänsten. I följande avsnitt beskrivs varje flik.

Översikt

Översiktsfliken visar diagram och statistik som rör alla typer av brandväggshändelser som sammanställts från olika loggningskategorier. Detta omfattar nätverksregler, programregler, DNS, intrångsidentifiering och förebyggande system (IDPS), hotinformation med mera. Bland de tillgängliga widgetarna på fliken Översikt finns:

  • Händelser, efter tid: Visar händelsefrekvens över tid.
  • Händelser efter brandvägg över tid: Visar händelsedistribution över brandväggar över tid.
  • Händelser efter kategori: Kategoriserar och räknar händelser.
  • Händelsekategorier efter tid: Visar händelsekategorier över tid.
  • Genomsnittligt dataflöde för brandväggstrafik: Visar genomsnittlig data som passerar genom brandväggen.
  • SNAT-portanvändning: Visar användning av SNAT-portar.
  • Antal nätverksregler (SUM): Räknar nätverksregelutlösare.
  • Antal träffar för programregel (SUM): Räknar utlösare för programregler.

Azure Firewall Workbook overview

Programregler

Fliken Programregler visar statistik för Layer 7-relaterade händelser som är korrelerad med dina specifika programregler i Azure Firewall-principen. Följande widgetar är tillgängliga på fliken Programregler:

  • Användning av programregel: Visar användning av programregler.
  • Nekad FQDN:s övertid: Visar nekade fullständigt kvalificerade domännamn (FQDN) över tid.
  • Nekad FQDN per antal: Antal nekade FQDN.
  • Tillåten FQDN-övertid: Visar tillåtna FQDN över tid.
  • Tillåtna FQDN:er efter antal: Antal tillåtna FQDN.
  • Tillåtna webbkategorier övertid: Visar tillåtna webbkategorier över tid.
  • Tillåtna webbkategorier efter antal: Antal tillåtna webbkategorier.
  • Nekad webbkategorier övertid: Visar nekade webbkategorier över tid.
  • Nekade webbkategorier efter antal: Antal nekade webbkategorier.

Screenshot showing the application rules tab.

Nätverksregler

Fliken Nätverksregler visar statistik för Layer 4-relaterade händelser som är korrelerad med dina specifika nätverksregler i Azure Firewall-principen. Följande widgetar är tillgängliga på fliken Nätverksregler:

  • Regelåtgärder: Visar åtgärder som vidtas av regler.
  • Målportar: Visar målportar i nätverkstrafik.
  • DNAT-åtgärder: Visar åtgärder för DNAT (Destination Network Address Translation).
  • GeoLocation: Visar geografiska platser som är involverade i nätverkstrafik.
  • Regelåtgärder efter IP-adresser: Visar regelåtgärder kategoriserade efter IP-adresser.
  • Målportar, efter käll-IP: Visar målportar kategoriserade efter källans IP-adresser.
  • DNAT'ed över tid: Visar DNAT-åtgärder över tid.
  • GeoLocation över tid: Visar geografiska platser som är involverade i nätverkstrafik över tid.
  • Åtgärder efter tid: Visar nätverksåtgärder över tid.
  • Alla IP-adresshändelser med GeoLocation: Visar alla händelser som involverar IP-adresser, kategoriserade efter geografisk plats.

Screenshot showing network rules tab.

DNS-proxy

Den här fliken är relevant om du har konfigurerat Azure Firewall för att fungera som en DNS-proxy som fungerar som mellanhand för DNS-begäranden från virtuella klientdatorer till en DNS-server. Fliken DNS-proxy innehåller olika widgetar som du kan använda:

  • DNS-proxytrafik per antal per brandvägg: Visar ANTALET DNS-proxytrafik för varje brandvägg.
  • DNS-proxyantal efter begäransnamn: Räknar DNS-proxybegäranden efter begäransnamn.
  • Antal DNS-proxybegäranden per klient-IP: Räknar DNS-proxybegäranden efter klientens IP-adress.
  • DNS-proxybegäran över tid efter klient-IP: Visar DNS-proxybegäranden över tid, kategoriserade efter klient-IP.
  • DNS-proxyinformation: Innehåller logginformation som rör konfigurationen av DNS-proxyn.

Screenshot showing the DNS proxy tab.

Intrångsidentifiering och skyddssystem (IDPS)

Fliken IDPS-loggstatistik innehåller en sammanfattning av skadliga trafikhändelser och de förebyggande åtgärder som utförs av tjänsten. På fliken IDPS hittar du olika widgetar som du kan använda:

  • Antal IDPS-åtgärder: Räknar IDPS-åtgärder.
  • Antal IDPS-protokoll: Räknar protokoll som identifierats av IDPS.
  • IDPS SignatureID Count: Räknar IDPS-identifieringar efter signatur-ID.
  • IDPS SourceIP Count: Räknar IDPS-identifieringar efter källans IP-adress.
  • Filtrerade IDPS-åtgärder efter antal: Antal filtrerade IDPS-åtgärder.
  • Filtrerade IDPS-protokoll efter antal: Antal filtrerade IDPS-protokoll.
  • Filtrerade IDPS-signaturer efter antal: Antal filtrerade IDPS-identifieringar efter signatur-ID.
  • Filtrerad käll-IP: Visar filtrerade käll-IP-adresser som identifierats av IDPS.
  • Azure Firewall IDPS-antal över tid: Visar antalet Azure Firewall-IDPS över tid.
  • Azure Firewall IDPS-loggar med GeoLocation: Tillhandahåller Azure Firewall IDPS-loggar, kategoriserade efter geografisk plats.

Screenshot showing the IDPS tab.

Hotinformation (TI)

På den här fliken får du ett gediget perspektiv på hotinformationsaktiviteter som fokuserar på de vanligaste hoten, åtgärderna och protokollen. Den beskriver de fem mest kvalificerade domännamnen (FQDN) och IP-adresser som är associerade med dessa hot, vilket visar hotinformationsidentifieringar över tid. Dessutom tillhandahålls detaljerade loggar från Hotinformation i Azure Firewall för omfattande analys. På fliken Hotinformation hittar du olika widgetar som du kan använda:

  • Antal hotinformationsåtgärder: Räknar åtgärder som identifierats av Hotinformation.
  • Threat Intel Protocol Count: Räknar protokoll som identifierats av Threat Intelligence.
  • Topp 5 FQDN Antal: Visar de fem vanligaste fullständigt kvalificerade domännamnen (FQDN).
  • Topp 5 IP-antal: Visar de fem vanligaste IP-adresserna.
  • Azure Firewall Threat Intel över tid: Visar identifieringar av Hotinformation i Azure Firewall över tid.
  • Azure Firewall Threat Intel: Tillhandahåller loggar från Hotinformation i Azure Firewall.

Screenshot showing the threat intelligence tab.

Utredningar

Undersökningsavsnittet möjliggör utforskning och felsökning och ger ytterligare information, till exempel namnet på den virtuella datorn och namnet på nätverksgränssnittet som är associerat med initiering eller avslutning av trafik. Den upprättar också korrelationer mellan käll-IP-adresser, de fullständigt kvalificerade domännamn (FQDN) som de försöker komma åt samt geografisk platsvy över din trafik. Widgetar som är tillgängliga på fliken Undersökning:

  • FQDN-trafik efter antal: Räknar trafik med fullständigt kvalificerade domännamn (FQDN).
  • Antal käll-IP-adresser: Räknar förekomster av käll-IP-adresser.
  • Resurssökning för käll-IP-adress: Söker efter resurser som är associerade med källans IP-adresser.
  • FQDN-uppslagsloggar: Tillhandahåller loggar från FQDN-sökningar.
  • Azure Firewall Premium med geoplats – IDPS: Visar Identifieringar av intrångsidentifiering och skydd i Azure Firewall – (IDPS) – kategoriserade efter geografisk plats.

Screenshot showing the investigation tab.

Nästa steg