Azure İzleyici Aracısı ile güvenlik duvarı günlükleri toplama

  • Makale

Windows Güvenlik Duvarı, sisteminize İnternet'ten gelen bilgileri filtreleyen ve zararlı olabilecek programları engelleyen bir Microsoft Windows uygulamasıdır. Windows Güvenlik Duvarı günlükleri hem istemci hem de sunucu işletim sistemlerinde oluşturulur. Bu günlükler, bırakılan paketler ve başarılı bağlantılar da dahil olmak üzere ağ trafiği hakkında değerli bilgiler sağlar. Windows Güvenlik Duvarı günlük dosyalarını ayrıştırma, Windows Olay İletme (WEF) veya günlükleri Azure Sentinel gibi bir SIEM ürününe iletme gibi yöntemler kullanılarak yapılabilir. Herhangi bir Windows sisteminde aşağıdaki adımları izleyerek bu özelliği açabilir veya kapatabilirsiniz:

  1. Başlat'ı seçin ve ardından Ayarlar'ı açın.
  2. Güncelleştir ve Güvenlik altında Windows Güvenliği, Güvenlik Duvarı ve ağ koruması'nı seçin.
  3. Bir ağ profili seçin: etki alanı, özel veya genel.
  4. Microsoft Defender Güvenlik Duvarı'nın altında ayarı Açık veya Kapalı olarak değiştirin.

Önkoşullar

Bu yordamı tamamlamak için şunları yapmanız gerekir:

Log Analytics Çalışma Alanına Güvenlik Duvarı tablosu ekleyin

LAW'da varsayılan olarak oluşturulan diğer tabloların aksine, Windows Güvenlik Duvarı tablosunun el ile oluşturulması gerekir. Güvenlik ve Denetim çözümünü arayın ve oluşturun. Aşağıdaki ekran görüntüsüne bakın. Tablo yoksa, tablonun LAW'da mevcut olmadığını belirten bir DCR dağıtım hatası alırsınız. Oluşturulan güvenlik duvarı tablosunun şeması burada bulunur: Windows Güvenlik Duvarı Şeması

Güvenlik ve denetim çözümünün nasıl ekleneceğini gösteren ekran görüntüsü.

Güvenlik duvarı günlükleri toplamak için veri toplama kuralı oluşturun

Veri toplama kuralı aşağıdakileri tanımlar:

  • Azure İzleyici Aracısı'nın yeni olayları taradığı kaynak günlük dosyaları.
  • Azure İzleyici'nin alma sırasında olayları dönüştürme şekli.
  • Azure İzleyici'nin verileri gönderdiği hedef Log Analytics çalışma alanı ve tablosu.

Farklı bir bölgedeki veya kiracıdaki çalışma alanı dahil olmak üzere birden çok makineden Log Analytics çalışma alanlarına veri göndermek için bir veri toplama kuralı tanımlayabilirsiniz. Veri toplama kuralını Analytics çalışma alanınızla aynı bölgede oluşturun.

Not

Kiracılar arasında veri göndermek için önce Azure Lighthouse'ı etkinleştirmeniz gerekir.

Azure portalında veri toplama kuralı oluşturmak için:

  1. İzleyici menüsünde Veri Toplama Kuralları'nı seçin.

  2. Yeni bir veri toplama kuralı ve ilişkilendirmeleri oluşturmak için Oluştur'u seçin.

    Veri Toplama Kuralları ekranında oluştur düğmesini gösteren ekran görüntüsü.

  3. Bir Kural adı girin ve Abonelik, Kaynak Grubu, Bölge ve Platform Türü belirtin:

    • Bölge , DCR'nin nerede oluşturulacağını belirtir. Sanal makineler ve bunların ilişkilendirmeleri kiracıdaki herhangi bir abonelikte veya kaynak grubunda olabilir.
    • Platform Türü , bu kuralın uygulanabileceği kaynak türünü belirtir. Özel seçeneği hem Windows hem de Linux türlerine izin verir. -Veri Toplama Bitiş Noktası , daha önce oluşturulmuş bir veri toplama bitiş noktasını seçin.

    Veri Toplama Kuralı ekranının Temel Bilgiler sekmesini gösteren ekran görüntüsü.

  4. Kaynaklar sekmesinde: + Kaynak ekle'yi seçin ve kaynakları veri toplama kuralıyla ilişkilendirin. Kaynaklar sunucular için Sanal Makineler, Sanal Makine Ölçek Kümeleri ve Azure Arc olabilir. Azure portalı, henüz yüklü olmayan kaynaklara Azure İzleyici Aracısı'nı yükler.

Önemli

Portal, varsa mevcut kullanıcı tarafından atanan kimliklerle birlikte hedef kaynaklarda sistem tarafından atanan yönetilen kimliği etkinleştirir. İstekte kullanıcı tarafından atanan kimliği belirtmediğiniz sürece, mevcut uygulamalar için makine varsayılan olarak sistem tarafından atanan kimliği kullanır. Özel bağlantıları kullanarak ağ yalıtımına ihtiyacınız varsa, ilgili kaynaklar için aynı bölgeden mevcut uç noktaları seçin veya yeni bir uç nokta oluşturun.

  1. Veri kaynağı eklemek ve hedef ayarlamak için Veri kaynağı ekle ve teslim etme sekmesinde Veri kaynağı ekle'yi seçin.

  2. Güvenlik Duvarı Günlükleri'ne tıklayın.

    Veri toplama kuralında güvenlik duvarı günlüklerini seçmeye ilişkin Azure portalı formunu gösteren ekran görüntüsü.

  3. Hedef sekmesinde, veri kaynağı için bir hedef ekleyin.

    Veri toplama kuralına veri kaynağı eklemeye ilişkin Azure portalı formunu gösteren ekran görüntüsü.

  4. Veri toplama kuralının ayrıntılarını ve sanal makine kümesiyle ilişkilendirmeyi gözden geçirmek için Gözden geçir + oluştur'u seçin.

  5. Veri toplama kuralını oluşturmak için Oluştur'u seçin.

Not

Veri toplama kuralını oluşturduktan sonra verilerin hedeflere gönderilmesi 5 dakika kadar sürebilir.

Örnek günlük sorguları

Güvenlik duvarı günlük girdilerini konak www.contoso.com URL'sine göre sayın.

WindowsFirewall 
| take 10

Güvenlik duvarı günlük sorgusunun sonuçlarını gösteren ekran görüntüsü.

Sorun giderme

Güvenlik duvarı günlüklerinin toplanmasıyla ilgili sorunları gidermek için aşağıdaki adımları kullanın.

Azure İzleyici Aracısı sorun gidericisini çalıştırma

Yapılandırmanızı test etmek ve günlüklerinizi Microsoft ile paylaşmak için Azure İzleyici Aracısı Sorun Gidericisi'ni kullanın.

Güvenlik duvarı günlüklerinin alındığını denetleyin

Log Analytics'te aşağıdaki sorguyu çalıştırarak güvenlik duvarı günlükleriniz için herhangi bir kaydın toplanıp toplanmadığını denetleyerek başlayın. Sorgu kayıtları döndürmezse, olası nedenler için diğer bölümleri denetleyin. Bu sorgu son iki gün içindeki girdileri arar, ancak başka bir zaman aralığı için değiştirebilirsiniz.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Güvenlik duvarı günlüklerinin oluşturulduğunu doğrulayın

Günlük dosyalarının zaman damgalarına bakın ve günlük dosyalarında en son zaman damgalarının mevcut olduğunu görmek için en son zaman damgalarını açın. Güvenlik duvarı günlük dosyalarının varsayılan konumu C:\windows\system32\logfiles\firewall\pfirewall.log'dir.

Yerel diskte güvenlik duvarı günlüklerini gösteren ekran görüntüsü.

Günlüğü açmak için şu adımları izleyin.

  1. gpedit {follow the picture}
  2. netsh advfirewall>set allprofiles logging allowedconnections enable
  3. netsh advfirewall>set allprofiles logging droppedconnections enable

Günlüğü açmanın tüm adımlarını gösteren ekran görüntüsü.

Sonraki adımlar

Aşağıdakiler hakkında daha fazla bilgi edinin: