Configuração de inteligência de ameaças do Firewall do Azure
A filtragem baseada em inteligência de ameaças pode ser configurada para sua política de Firewall do Azure para alertar e negar tráfego de e para domínios e endereços IP mal-intencionados conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. O Gráfico de Segurança Inteligente alimenta a inteligência de ameaças da Microsoft e é usado por vários serviços, incluindo o Microsoft Defender for Cloud.
Se você configurou a filtragem baseada em inteligência de ameaças, as regras associadas serão processadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicativo.
Modo de inteligência de ameaças
Você pode configurar a inteligência de ameaças em um dos três modos descritos na tabela a seguir. Por padrão, a filtragem baseada em inteligência de ameaças é ativada no modo de alerta.
| Modo | Description |
|---|---|
Off |
O recurso de inteligência de ameaças não está habilitado para seu firewall. |
Alert only |
Você receberá alertas de alta confiança para o tráfego que passa pelo firewall de ou para endereços IP e domínios mal-intencionados conhecidos. |
Alert and deny |
O tráfego é bloqueado e você receberá alertas de alta confiança quando o tráfego for detetado tentando passar pelo firewall de ou para endereços IP e domínios mal-intencionados conhecidos. |
Nota
O modo de inteligência de ameaças é herdado das políticas pai para as políticas filhas. Uma política filho deve ser configurada com o mesmo modo ou um modo mais rigoroso do que a política pai.
Endereços da lista de permissões
A inteligência de ameaças pode desencadear falsos positivos e bloquear o tráfego que realmente é válido. Você pode configurar uma lista de endereços IP permitidos para que a inteligência de ameaças não filtre nenhum dos endereços, intervalos ou sub-redes especificados.
Você pode atualizar a lista de permissões com várias entradas de uma só vez carregando um arquivo CSV. O arquivo CSV só pode conter endereços IP e intervalos. O ficheiro não pode conter cabeçalhos.
Nota
Os endereços da lista de permissões de inteligência de ameaças são herdados de políticas pai para políticas filhas. Qualquer endereço IP ou intervalo adicionado a uma política pai também se aplicará a todas as políticas filhas.
Registos
O seguinte trecho de log mostra uma regra acionada para o tráfego de saída para um site mal-intencionado:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testar
Teste de saída - Os alertas de tráfego de saída devem ser uma ocorrência rara, pois significa que seu ambiente foi comprometido. Para ajudar a testar que os alertas de saída estão funcionando, foi criado um FQDN de teste que dispara um alerta. Use
testmaliciousdomain.eastus.cloudapp.azure.compara seus testes de saída.Teste de entrada - Você pode esperar ver alertas sobre o tráfego de entrada se as regras DNAT estiverem configuradas no firewall. Isso é verdade mesmo se apenas fontes específicas forem permitidas na regra DNAT e o tráfego for negado. O Firewall do Azure não alerta em todos os scanners de porta conhecidos; apenas em scanners que são conhecidos por também se envolverem em atividades maliciosas.
Próximos passos
- Analise o relatório de inteligência de segurança da Microsoft