Configuratie van bedreigingsinformatie van Azure Firewall
Filteren op basis van bedreigingsinformatie kan worden geconfigureerd voor uw Azure Firewall-beleid om verkeer van en naar bekende schadelijke IP-adressen en domeinen te waarschuwen en te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed. Intelligent Security Graph maakt microsoft bedreigingsinformatie mogelijk en wordt gebruikt door meerdere services, waaronder Microsoft Defender voor Cloud.
Als u filteren op basis van bedreigingsinformatie hebt geconfigureerd, worden de bijbehorende regels verwerkt vóór een van de NAT-regels, netwerkregels of toepassingsregels.
Bedreigingsinformatiemodus
U kunt bedreigingsinformatie configureren in een van de drie modi die worden beschreven in de volgende tabel. Filteren op basis van bedreigingsinformatie is standaard ingeschakeld in de waarschuwingsmodus.
| Modus | Beschrijving |
|---|---|
Off |
De functie bedreigingsinformatie is niet ingeschakeld voor uw firewall. |
Alert only |
U ontvangt waarschuwingen met hoge betrouwbaarheid voor verkeer via uw firewall naar of van bekende schadelijke IP-adressen en domeinen. |
Alert and deny |
Verkeer wordt geblokkeerd en u ontvangt waarschuwingen met een hoge betrouwbaarheid wanneer verkeer wordt gedetecteerd dat u via uw firewall naar of van bekende schadelijke IP-adressen en domeinen probeert te gaan. |
Notitie
De modus Bedreigingsinformatie wordt overgenomen van bovenliggend beleid naar onderliggend beleid. Een onderliggend beleid moet worden geconfigureerd met dezelfde of een strengere modus dan het bovenliggende beleid.
Acceptatielijstadressen
Bedreigingsinformatie kan fout-positieven activeren en verkeer blokkeren dat daadwerkelijk geldig is. U kunt een lijst met toegestane IP-adressen configureren, zodat bedreigingsinformatie geen van de adressen, bereiken of subnetten filtert die u opgeeft.
U kunt de acceptatielijst met meerdere vermeldingen tegelijk bijwerken door een CSV-bestand te uploaden. Het CSV-bestand mag alleen IP-adressen en bereiken bevatten. Het bestand mag geen koppen bevatten.
Notitie
Acceptatielijstadressen voor bedreigingsinformatie worden overgenomen van bovenliggend beleid naar onderliggend beleid. Elk IP-adres of -bereik dat is toegevoegd aan een bovenliggend beleid, is ook van toepassing op alle onderliggende beleidsregels.
Logboeken
In het volgende logboekfragment ziet u een geactiveerde regel voor uitgaand verkeer naar een schadelijke site:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testen
Uitgaande tests : waarschuwingen voor uitgaand verkeer moeten zelden voorkomen, omdat dit betekent dat uw omgeving is aangetast. Om te helpen bij het testen van uitgaande waarschuwingen, is er een FQDN-test gemaakt waarmee een waarschuwing wordt geactiveerd. Gebruik
testmaliciousdomain.eastus.cloudapp.azure.comdit voor uw uitgaande tests.Binnenkomende tests : u kunt verwachten dat er waarschuwingen worden weergegeven voor binnenkomend verkeer als DNAT-regels zijn geconfigureerd op de firewall. Dit geldt zelfs als alleen specifieke bronnen zijn toegestaan op de DNAT-regel en het verkeer anders wordt geweigerd. Azure Firewall waarschuwt niet voor alle bekende poortscanners; alleen op scanners die bekend zijn om zich ook bezig te houden met schadelijke activiteiten.