Partilhar via


Filtragem baseada em inteligência de ameaças do Firewall do Azure

Você pode habilitar a filtragem baseada em inteligência de ameaças para que seu firewall alerte e negue tráfego de/para endereços IP mal-intencionados, FQDNs e URLs conhecidos. Os endereços IP, domínios e URLs são provenientes do feed de Inteligência de Ameaças da Microsoft, que inclui várias fontes, incluindo a equipe de Segurança Cibernética da Microsoft. O Intelligent Security Graph alimenta a inteligência de ameaças da Microsoft e usa vários serviços, incluindo o Microsoft Defender for Cloud.

Inteligência de ameaças de firewall

Se tiver ativado a filtragem baseada em informações sobre ameaças, a firewall processa as regras associadas antes de qualquer uma das regras NAT, regras de rede ou regras de aplicação.

Quando uma regra é acionada, você pode optar por apenas registrar um alerta ou pode escolher o modo de alerta e negação.

Por padrão, a filtragem baseada em inteligência de ameaças está no modo de alerta. Não é possível desativar esse recurso ou alterar o modo até que a interface do portal esteja disponível na sua região.

Você pode definir listas de permissões para que a inteligência de ameaças não filtre o tráfego para nenhum dos FQDNs, endereços IP, intervalos ou sub-redes listados.

Para uma operação em lote, você pode carregar um arquivo CSV com uma lista de endereços IP, intervalos e sub-redes.

Interface do portal de filtragem baseada em inteligência de ameaças

Registos

O seguinte trecho de log mostra uma regra acionada:

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

Testar

  • Teste de saída - Os alertas de tráfego de saída devem ser uma ocorrência rara, pois significa que seu ambiente está comprometido. Para ajudar a testar se os alertas de saída estão funcionando, existe um FQDN de teste que dispara um alerta. Use testmaliciousdomain.eastus.cloudapp.azure.com para seus testes de saída.

    Para se preparar para os testes e garantir que você não obtenha uma falha de resolução de DNS, configure os seguintes itens:

    • Adicione um registro fictício ao arquivo hosts em seu computador de teste. Por exemplo, num computador com o C:\Windows\System32\drivers\etc\hosts Windows, pode adicionar 1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com ao ficheiro.
    • Certifique-se de que a solicitação HTTP/S testada seja permitida usando uma regra de aplicativo, não uma regra de rede.
  • Teste de entrada - Você pode esperar ver alertas sobre o tráfego de entrada se o firewall tiver regras DNAT configuradas. Você verá alertas mesmo se o firewall permitir apenas fontes específicas na regra DNAT e o tráfego for negado. O Firewall do Azure não alerta em todos os scanners de porta conhecidos; apenas em scanners que também se envolvem em atividades maliciosas.

Próximos passos