Filteren op basis van bedreigingsinformatie van Azure Firewall

U kunt filteren op basis van bedreigingsinformatie voor uw firewall inschakelen om verkeer van/naar bekende schadelijke IP-adressen, FQDN's en URL's te waarschuwen en te weigeren. De IP-adressen, domeinen en URL's zijn afkomstig uit de Microsoft Threat Intelligence-feed, waaronder meerdere bronnen, waaronder het Microsoft Cyber Security-team. Intelligent Security Graph maakt microsoft bedreigingsinformatie mogelijk en maakt gebruik van meerdere services, waaronder Microsoft Defender voor Cloud.

Als u filteren op basis van bedreigingsinformatie hebt ingeschakeld, verwerkt de firewall de bijbehorende regels vóór een van de NAT-regels, netwerkregels of toepassingsregels.

Wanneer een regel wordt geactiveerd, kunt u ervoor kiezen om alleen een waarschuwing te registreren of kunt u de waarschuwings- en weigeringsmodus kiezen.

Filteren op basis van bedreigingsinformatie bevindt zich standaard in de waarschuwingsmodus. U kunt deze functie niet uitschakelen of de modus wijzigen totdat de portalinterface beschikbaar is in uw regio.

U kunt acceptatielijsten definiëren, zodat bedreigingsinformatie geen verkeer filtert op een van de vermelde FQDN's, IP-adressen, bereiken of subnetten.

Voor een batchbewerking kunt u een CSV-bestand uploaden met een lijst met IP-adressen, bereiken en subnetten.

Logboeken

In het volgende logboekfragment ziet u een geactiveerde regel:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testen

• Uitgaande tests : waarschuwingen voor uitgaand verkeer moeten zelden voorkomen, omdat uw omgeving is aangetast. Om te helpen bij het testen van uitgaande waarschuwingen, bestaat er een FQDN-test waarmee een waarschuwing wordt geactiveerd. Gebruik testmaliciousdomain.eastus.cloudapp.azure.com dit voor uw uitgaande tests.

  Als u zich wilt voorbereiden op uw tests en ervoor wilt zorgen dat u geen DNS-omzettingsfout krijgt, configureert u de volgende items:

  • Voeg een dummyrecord toe aan het hosts-bestand op uw testcomputer. Op een computer met Windows kunt u bijvoorbeeld toevoegen 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com aan het C:\Windows\System32\drivers\etc\hosts bestand.
  • Zorg ervoor dat de geteste HTTP/S-aanvraag is toegestaan met behulp van een toepassingsregel, niet met een netwerkregel.

• Inkomende tests : u kunt verwachten dat er waarschuwingen worden weergegeven voor binnenkomend verkeer als de firewall DNAT-regels heeft geconfigureerd. U ziet waarschuwingen, zelfs als de firewall alleen specifieke bronnen toestaat op de DNAT-regel en het verkeer anders wordt geweigerd. Azure Firewall waarschuwt niet voor alle bekende poortscanners; alleen op scanners die ook schadelijke activiteiten uitvoeren.

Volgende stappen

• Bedreigingsbeveiliging van Azure Firewall verkennen
• Voorbeelden van Azure Firewall Log Analytics bekijken
• Meer informatie over het implementeren en configureren van een Azure Firewall
• Het Microsoft Security Intelligence-rapport bekijken