Compartir a través de

Recopilación de registros de firewall con el agente de Azure Monitor

  • Artículo

El Firewall de Windows es una aplicación de Microsoft Windows que filtra la información que llega al sistema desde Internet y bloquea los programas potencialmente dañinos. Los registros de Firewall de Windows se generan en sistemas operativos cliente y servidor. Estos registros proporcionan información valiosa sobre el tráfico de red, incluyendo los paquetes eliminados y las conexiones exitosas. El análisis de archivos de registro del Firewall de Windows se puede realizar mediante métodos, como el reenvío de eventos de Windows (WEF) o el reenvío de registros a un producto SIEM, como Azure Sentinel. Actívelo o desactívelo siguiendo estos pasos en cualquier sistema Windows:

  1. Seleccione Inicio y, a continuación, abra Configuración.
  2. En Actualización y seguridad, seleccione Seguridad de Windows y Firewall y protección de red.
  3. Seleccione un perfil de red: dominio, privado o público.
  4. En Firewall de Microsoft Defender, cambie la configuración a Activado o Desactivado.

Requisitos previos

Para completar este procedimiento, necesita:

Adición de una tabla de firewall al área de trabajo de Log Analytics

A diferencia de otras tablas creadas de forma predeterminada en LAW, se debe crear manualmente la tabla Firewall de Windows. Busque la solución Security and Audit y créela. Ver la captura de pantalla siguiente. Si la tabla no estuviera presente, obtendrá un error de implementación de DCR indicando que la tabla no se encuentra presente en LAW. El esquema de la tabla de firewall que se crea se encuentra aquí: Esquema de Firewall de Windows

Captura de pantalla mostrando cómo agregar la solución Security and Audit.

Creación de una regla de recopilación de datos para recopilar registros de firewall

La regla de recopilación de datos define lo siguiente:

  • Qué archivos de registro de origen examina el agente de Azure Monitor para detectar nuevos eventos.
  • Cómo transforma Azure Monitor los eventos durante la ingesta.
  • El área de trabajo de Log Analytics de destino y la tabla a la que Azure Monitor envía los datos.

Puede definir una regla de recopilación de datos para enviar datos de varias máquinas a áreas de trabajo de Log Analytics, incluidas las de otra región o inquilino. Cree la regla de recopilación de datos en la misma región que el área de trabajo de Analytics.

Nota

Para enviar datos entre inquilinos, primero debe habilitar Azure Lighthouse.

Para crear la regla de recopilación de datos en Azure Portal:

  1. En el menú Supervisión, seleccione las Reglas de recopilación de datos.

  2. Haga clic en Crear para crear una nueva regla de recopilación de datos y asociaciones.

    Captura de pantalla que muestra el botón Crear en la pantalla Reglas de recopilación de datos.

  3. Introduzca un nombre a la regla y especifique una suscripción, un grupo de recursos, una región y un tipo de plataforma:

    • Región especifica dónde se creará la regla de recopilación de datos. Las máquinas virtuales y sus asociaciones pueden estar en cualquier suscripción o grupo de recursos del inquilino.
    • Tipo de plataforma especifica el tipo de recursos a los que se puede aplicar esta regla. La opción Personalizadopermite tipos de Windows y Linux. -Punto final de recopilación de datos: seleccione un punto de conexión de recopilación de datos creado anteriormente.

    Captura de pantalla que muestra la pestaña Básico de la pantalla Regla de recopilación de datos.

  4. En la pestaña Recursos: seleccione + Agregar recursos y asocie recursos con la regla de recopilación de datos. Los recursos pueden ser máquinas virtuales, conjuntos de escalado de máquinas virtuales y Azure Arc para servidores. Azure Portal instala el agente de Azure Monitor en recursos que no lo tengan ya instalado.

Importante

El portal habilita una identidad administrada asignada por el sistema en los recursos de destino, junto con las identidades asignadas por el usuario existentes, si existen. En el caso de las aplicaciones que ya existan, y a menos que se especifique la identidad asignada por el usuario en la solicitud, la máquina usa de manera predeterminada la identidad asignada por el sistema. Si necesita aislamiento de red mediante vínculos privados, seleccione los puntos de conexión de la misma región que los recursos respectivos o cree uno.

  1. En la pestaña Recopilar y entregar, haga clic en Agregar origen de datos para agregar un origen de datos y un conjunto de destino.

  2. Seleccione Registros de firewall.

    Captura de pantalla que muestra el formulario de Azure Portal para seleccionar registros de firewall en una regla de recopilación de datos.

  3. En la pestaña Destino, agregue un destino para el origen de datos.

    Captura de pantalla que muestra el formulario de Azure Portal para agregar un origen de datos a una regla de recopilación de datos.

  4. Seleccione Revisar y crear para revisar los detalles de la regla de recopilación de datos y la asociación con el conjunto de máquinas virtuales.

  5. Elija Crear para crear la regla de recopilación de datos.

Nota

Los datos pueden tardar hasta 5 minutos en enviarse a los destinos después de crear la regla de recopilación de datos.

Consultas de registros de ejemplo

Contar entradas de registro de firewall por dirección URL para el host www.contoso.com.

WindowsFirewall 
| take 10

Captura de pantalla que muestra los resultados de una consulta de registro de firewall.

Solución de problemas

Siga estos pasos para solucionar problemas de recopilación de registros de firewall.

Ejecución del solucionador de problemas del agente de Azure Monitor

Para probar la configuración y compartir registros con Microsoft, use el solucionador de problemas del agente de Azure Monitor.

Comprobar si se han recibido registros de firewall

Para empezar, compruebe si se han recopilado entradas de los registros de firewall mediante la ejecución de la siguiente consulta en Log Analytics. Si la consulta no devuelve ningún registro, compruebe el resto de secciones en busca de posibles causas. Esta consulta busca entradas de los últimos dos días, pero puede modificarla para otro intervalo de tiempo.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Comprobar que se están creando los registros de firewall

Examine las marcas de tiempo de los archivos de registro y abra el más reciente para ver si las marcas de tiempo más recientes están presentes en los archivos de registro. La ubicación predeterminada para los archivos de registro de firewall es C:\windows\system32\logfiles\firewall\pfirewall.log.

Captura de pantalla que muestra los registros de firewall en un disco local.

Para activar el registro, siga estos pasos.

  1. gpedit {follow the picture}​
  2. netsh advfirewall>set allprofiles logging allowedconnections enable​
  3. netsh advfirewall>set allprofiles logging droppedconnections enable​

Captura de pantalla que muestra todos los pasos para activar el registro.

Pasos siguientes

Más información sobre: