Usando pastas de trabalho do Firewall do Azure
A Pasta de Trabalho do Firewall do Azure oferece uma tela flexível para análise de dados do Firewall do Azure. Você pode usá-la para criar relatórios visuais avançados dentro do portal do Azure. Você pode explorar vário Firewalls implantados no Azure e combiná-los em experiências interativas unificadas.
Você pode obter informações sobre Firewall do Azure eventos, saber mais sobre suas regras de aplicativo e rede e ver estatísticas para atividades de firewall em URLs, portas e endereços. Firewall do Azure Workbook permite filtrar seus firewalls e grupos de recursos e filtrar dinamicamente por categoria com conjuntos de dados fáceis de ler ao investigar um problema em seus logs.
Pré-requisitos
Antes de começar, habilite os Logs de Firewall Estruturado do Azure por meio do portal do Azure.
Importante
Todas as seções a seguir são válidas apenas para logs estruturados do Firewall.
Se você quiser usar logs herdados, poderá habilitar o log de diagnóstico usando o portal do Azure. Em seguida, vá para a Pasta de Trabalho do GitHub para o Firewall do Azure e siga as instruções na página.
Além disso, leia métricas e logs do Firewall do Azure para obter uma visão geral dos logs e métricas de diagnóstico disponíveis para o Firewall do Azure.
Introdução
Depois de configurar os logs estruturados do Firewall, você estará pronto para usar as pastas de trabalho incorporadas do Firewall do Azure usando as seguintes etapas:
No portal, navegue até o recurso Firewall do Azure.
Em Monitoramento, selecione Pastas de Trabalho.
Na Galeria, você pode criar novas pastas de trabalho ou usar a pasta de trabalho existente do Firewall do Azure, conforme mostrado aqui:
Selecione o espaço de trabalho de análise de log e um ou mais nomes de firewall que você deseja usar nesta pasta de trabalho, conforme mostrado aqui:
Seções da pasta de trabalho
A pasta de trabalho do Firewall do Azure tem sete guias, cada uma abordando aspectos distintos do serviço. As seções a seguir descrevem cada guia.
Visão geral
A guia Visão geral mostra gráficos e estatísticas relacionados a todos os tipos de eventos de firewall agregados de várias categorias de log. Isso inclui regras de rede, regras de aplicativos, DNS, Sistema de Detecção e Prevenção de Intrusões (IDPS), Inteligência de Ameaças e muito mais. Os widgets disponíveis na guia Visão geral incluem:
- Eventos, por tempo: Exibe a frequência do evento ao longo do tempo.
- Eventos, por firewall ao longo do tempo: mostra a distribuição de eventos entre firewalls ao longo do tempo.
- Eventos, por categoria: Categoriza e conta eventos.
- Categorias de eventos, por tempo: exibe categorias de eventos ao longo do tempo.
- Taxa de transferência média do tráfego de firewall: mostra a média de dados que passam pelo firewall.
- Utilização da porta SNAT: Exibe o uso das portas SNAT.
- Contagem de acertos de regra de rede (SOMA): conta gatilhos de regra de rede.
- Contagem de acertos da regra de aplicativo (SOMA): conta os gatilhos da regra de aplicativo.
Regras de aplicativo
A guia Regras de aplicativo mostra estatísticas de eventos relacionados à Camada 7 correlacionadas com suas regras de aplicativo específicas na política do Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras do aplicativo:
- Uso da regra de aplicativo: mostra o uso de regras de aplicativo.
- Horas extras do FQDN negadas: exibe FQDNs (Nomes de Domínio Totalmente Qualificados) negados ao longo do tempo.
- FQDN's negados por contagem: Contagens negadas FQDNs.
- Horas extras do FQDN permitido: Exibe FQDNs permitidos ao longo do tempo.
- FQDNs permitidos por contagem: Contagens FQDNs permitidos.
- Horas extras de categorias da Web permitidas: mostra as categorias da Web permitidas ao longo do tempo.
- Categorias da Web permitidas por contagem: Contagens de categorias da Web permitidas.
- Horas extras de categorias da Web negadas: exibe categorias da Web negadas ao longo do tempo.
- Categorias da Web negadas por contagem: Contagens de categorias da Web negadas.
Regras de rede
A guia Regras de rede mostra as estatísticas de eventos relacionados à Camada 4 correlacionadas com suas regras de rede específicas na política do Firewall do Azure. Os seguintes widgets estão disponíveis na guia Regras de rede:
- Ações de regra: exibe as ações executadas pelas regras.
- Portas de destino: mostra as portas de destino no tráfego de rede.
- Ações DNAT: Exibe ações de Conversão de Endereço de Rede de Destino (DNAT).
- Geolocalização: mostra as localizações geográficas envolvidas no tráfego de rede.
- Ações de regra, por endereços IP: exibe ações de regra categorizadas por endereços IP.
- Portas de destino, por IP de origem: mostra as portas de destino categorizadas por endereços IP de origem.
- DNAT'ed ao longo do tempo: Exibe ações DNAT ao longo do tempo.
- Geolocalização ao longo do tempo: mostra as localizações geográficas envolvidas no tráfego de rede ao longo do tempo.
- Ações, por tempo: exibe ações de rede ao longo do tempo.
- Todos os eventos de endereços IP com GeoLocation: Mostra todos os eventos envolvendo endereços IP, categorizados por localização geográfica.
Proxy DNS
Essa guia será relevante se você configurou o Firewall do Azure para funcionar como um proxy DNS, servindo como um intermediário para solicitações DNS de máquinas virtuais cliente para um servidor DNS. A guia Proxy DNS inclui vários widgets que você pode usar:
- Tráfego de proxy DNS por contagem por firewall: exibe a contagem de tráfego de proxy DNS para cada firewall.
- Contagem de proxy DNS por nome de solicitação: conta solicitações de proxy DNS por nome de solicitação.
- Contagem de solicitações de proxy DNS por IP do cliente: conta as solicitações de proxy DNS por endereço IP do cliente.
- Solicitação de proxy DNS ao longo do tempo por IP do cliente: exibe solicitações de proxy DNS ao longo do tempo, categorizadas por IP do cliente.
- Informações de proxy DNS: fornece informações de log relacionadas à configuração do proxy DNS.
Sistema de Detecção e Prevenção de Intrusões (IDPS)
A guia Estatísticas de log do IDPS oferece um resumo de eventos de tráfego mal-intencionados e as ações preventivas realizadas pelo serviço. Na guia IDPS, você encontrará vários widgets que podem ser usados:
- Contagem de ações IDPS: conta ações IDPS.
- Contagem de protocolos IDPS: conta protocolos detectados pelo IDPS.
- IDPS SignatureID Count: conta as detecções de IDPS por ID de assinatura.
- IDPS SourceIP Count: conta as detecções de IDPS por endereço IP de origem.
- Ações de IDPS filtradas por contagem: conta as ações de IDPS filtradas.
- Protocolos IDPS filtrados por contagem: conta protocolos IDPS filtrados.
- IDPS filtrado SignatureIDs por contagem: conta as detecções de IDPS filtradas por ID de assinatura.
- Filtered SourceIP: Exibe IPs de origem filtrados detectados pelo IDPS.
- Contagem de IDPS do Firewall do Azure ao longo do tempo: mostra a contagem de IDPS do Firewall do Azure ao longo do tempo.
- Logs IDPS do Firewall do Azure com Localização Geográfica: fornece logs IDPS do Firewall do Azure, categorizados por localização geográfica.
TI (Inteligência Contra Ameaças)
Esta guia oferece uma perspectiva completa sobre as atividades de inteligência de ameaças, destacando as ameaças, ações e protocolos mais prevalentes. Ele delineia os cinco principais FQDNs (Nomes de Domínio Totalmente Qualificados) e endereços IP associados a essas ameaças, mostrando as detecções de inteligência de ameaças ao longo do tempo. Além disso, logs detalhados da Inteligência de Ameaças do Firewall do Azure são fornecidos para uma análise abrangente. Na guia Inteligência de Ameaças, você encontrará vários widgets que podem ser usados:
- Contagem de ações da Intel de ameaças: conta as ações detectadas pelo Threat Intelligence.
- Contagem de protocolos Intel de ameaças: conta os protocolos identificados pelo Threat Intelligence.
- Top 5 FQDN Count: Exibe os cinco principais FQDNs (Fully Qualified Domain Names) mais frequentes.
- Top 5 IP Count: Mostra os cinco endereços IP mais frequentes.
- Azure Firewall Threat Intel Over Time: exibe as detecções do Azure Firewall Threat Intelligence ao longo do tempo.
- Azure Firewall Threat Intel: fornece logs da Inteligência de Ameaças do Firewall do Azure.
Investigações
A seção de investigação permite a exploração e a solução de problemas, oferecendo detalhes adicionais, como o nome da máquina virtual e o nome da interface de rede associados ao início ou ao término do tráfego. Ele também estabelece correlações entre os endereços IP de origem, os FQDNs (Nomes de Domínio Totalmente Qualificados) que eles tentam acessar, bem como a visualização da localização geográfica do seu tráfego. Widgets disponíveis na guia Investigação:
- Tráfego FQDN por contagem: conta o tráfego por FQDNs (nomes de domínio totalmente qualificados).
- Contagem de endereços IP de origem: conta ocorrências de endereços IP de origem.
- Pesquisa de Recursos de Endereço IP de Origem: Procura recursos associados a endereços IP de origem.
- Logs de pesquisa de FQDN: fornece logs de pesquisas de FQDN.
- Azure Firewall Premium com Localização Geográfica – IDPS: exibe as detecções do Sistema de Detecção e Prevenção de Intrusões (IDPS) do Firewall do Azure, categorizadas por localização geográfica.
Próximas etapas
- Saiba mais sobre o Diagnóstico de Firewall do Azure