Coletar logs de firewall com o Agente do Azure Monitor

O Firewall do Windows é um aplicativo do Microsoft Windows que filtra informações que chegam da Internet para o sistema e bloqueia programas potencialmente prejudiciais. Os logs do Firewall do Windows são gerados em sistemas operacionais cliente e servidor. Esses logs fornecem informações valiosas sobre o tráfego de rede, incluindo pacotes removidos e conexões bem-sucedidas. A análise de arquivos de log do Firewall do Windows pode ser feita com métodos como o WEF (Encaminhamento de Eventos do Windows) ou o encaminhamento de logs para um produto de SIEM como o Azure Sentinel. Você pode ativá-los ou desativá-los seguindo estas etapas em qualquer sistema Windows:

1. Selecione Iniciar e, em seguida, abra Configurações.
2. Em Atualização e Segurança, selecione Segurança do Windows, Firewall e proteção de rede.
3. Selecione um perfil de rede: domínio, privado ou público.
4. Em Firewall do Microsoft Defender, alterne a configuração para Ativado ou Desativado.

Pré-requisitos

Para concluir este procedimento, você precisa de:

• Workspace do Log Analytics em que você tem pelo menos direitos de colaborador.
• Ponto de extremidade da coleta de dados.
• Permissões para criar objetos de Regra de Coleta de Dados no workspace.
• Uma máquina virtual, um conjunto de dimensionamento de máquinas virtuais ou um computador local habilitado para Arc que está executando o firewall.

Adicionar a tabela de firewall ao workspace do Log Analytics

Ao contrário de outras tabelas que são criadas por padrão no LAW, a tabela de Firewall do Windows precisa ser criada manualmente. Procure a solução de Segurança e Auditoria e crie-a. Confira a captura de tela abaixo. Se a tabela não estiver presente, você receberá um erro de implantação do DCR informando que a tabela não está presente no LAW. O esquema da tabela de firewall que é criada se encontra aqui: Esquema de Firewall do Windows

Criar uma regra coleta de dados para coletar logs de firewall

A regra de coleta de dados define:

• Em quais arquivos de log de origem o Agente do Azure Monitor verificará se há novos eventos.
• Como o Azure Monitor transforma eventos durante a ingestão.
• O workspace do Log Analytics de destino e a tabela para a qual o Azure Monitor envia os dados.

Você pode definir uma regra de coleta de dados para enviar dados de vários computadores para um workspace do Log Analytics, incluindo um workspace em uma região ou locatário diferente. Criar a regra de coleta de dados na mesma região do workspace do Log Analytics.

Observação

Para enviar dados entre locatários, primeiro você deve habilitar o Azure Lighthouse.

Para criar a regra de coleta de dados no portal do Azure:

1. No menu Monitor no portal do Azure, selecione Regras de Coleta de Dados.

2. Selecione Criar para criar uma nova regra de coleta de dados e associações.

   

3. Insira o Nome da regra e especifique uma Assinatura, um Grupo de recursos e uma Região e um Tipo de Plataforma:

   • Região especifica onde a DCR será criada. As máquinas virtuais e as associações podem estar em qualquer assinatura ou grupo de recursos no locatário.
   • Tipo de plataforma especifica o tipo de recursos aos quais esta regra pode se aplicar. A opção Personalizado permite os tipos Windows e Linux. -Ponto de Extremidade de Coleta de dados selecione um ponto de extremidade de coleta de dados criado anteriormente.

   

4. Na guia Recursos: selecione + Adicionar recursos e associe recursos com a regra de coleta de dados. Os recursos podem ser Máquinas Virtuais, Conjuntos de Dimensionamento de Máquinas Virtuais e Azure Arc para servidores. O portal do Azure instala o Agente do Azure Monitor em recursos que ainda não o instalaram.

Importante

O portal permite a identidade gerenciada atribuída pelo sistema nos recursos de destino, juntamente com as identidades atribuídas pelo usuário existentes, se houver. Para os aplicativos existentes, a menos que você especifique a identidade atribuída pelo usuário na solicitação, o computador assumirá como padrão o uso da identidade atribuída pelo sistema. Se você precisar de isolamento de rede usando links privados, selecione pontos de extremidade existentes na mesma região para os respectivos recursos ou crie um novo ponto de extremidade.

1. Na guia Coletar e entregar, selecione Adicionar fonte de dados para adicionar uma fonte de dados e definir um destino.

2. Selecione Logs de Firewall.

   

3. Na guia Destino, adicione um destino para a fonte de dados.

   

4. Selecione Examinar + criar para examinar os detalhes da regra de coleta de dados e a associação com o conjunto de máquinas virtuais.

5. Selecione Criar para criar a regra de coleta de dados.

Observação

Pode levar até 5 minutos para que os dados sejam enviados aos destinos depois que você cria a regra de coleta de dados.

Consultas de log de amostra

Conte as entradas de log de firewall por URL para o host www.contoso.com.

WindowsFirewall 
| take 10

Solucionar problemas

Use as etapas a seguir para solucionar problemas da coleta de logs de firewall.

Executar a solução de problemas do Agente do Azure Monitor

Para testar sua configuração e compartilhar os logs com a Microsoft, use a solução de problemas do agente do Azure Monitor.

Verificar se algum log de firewall foi recebido

Comece verificando se algum registro foi coletado para seus logs de firewall executando a consulta a seguir no Log Analytics. Se a consulta não retornar registros, verifique as outras seções quanto a possíveis causas. Essa consulta procura por entradas nos últimos dois dias, mas é possível modificar para outro intervalo de tempo.

WindowsFirewall
| where TimeGenerated > ago(48h)
| order by TimeGenerated desc

Certifique-se que logs de firewall estão sendo criados

Examine os carimbos de data/hora dos arquivos de log e abra o mais recente para ver se os carimbos de data/hora mais recentes estão presentes nos arquivos de log. A localização padrão dos arquivos de log do firewall é C:\windows\system32\logfiles\firewall\pfirewall.log.

Para ativar o log, siga estas etapas.

1. gpedit {siga a imagem}
2. netsh advfirewall>set allprofiles logging allowedconnections enable​
3. netsh advfirewall>set allprofiles logging droppedconnections enable​

Próximas etapas

Saiba mais sobre:

• Agente do Azure Monitor.
• Regras de coleta de dados.
• Pontos de extremidade de coleta de dados