Konfiguration av hotinformation i Azure Firewall
Hotinformationsbaserad filtrering kan konfigureras för din Azure Firewall-princip för att avisera och neka trafik från och till kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. Intelligent Security Graph driver Microsofts hotinformation och används av flera tjänster, inklusive Microsoft Defender för molnet.
Om du har konfigurerat hotinformationsbaserad filtrering bearbetas de associerade reglerna före någon av NAT-reglerna, nätverksregler eller programregler.
Hotinformationsläge
Du kan konfigurera hotinformation i något av de tre lägena som beskrivs i följande tabell. Som standard aktiveras hotinformationsbaserad filtrering i aviseringsläge.
| Läge | beskrivning |
|---|---|
Off |
Funktionen hotinformation är inte aktiverad för brandväggen. |
Alert only |
Du får aviseringar med hög konfidens för trafik som går genom brandväggen till eller från kända skadliga IP-adresser och domäner. |
Alert and deny |
Trafiken blockeras och du får aviseringar med hög säkerhet när trafik identifieras när du försöker gå igenom brandväggen till eller från kända skadliga IP-adresser och domäner. |
Kommentar
Hotinformationsläget ärvs från överordnade principer till underordnade principer. En underordnad princip måste konfigureras med samma eller striktare läge än den överordnade principen.
Tillåtlisteadresser
Hotinformation kan utlösa falska positiva identifieringar och blockera trafik som faktiskt är giltig. Du kan konfigurera en lista över tillåtna IP-adresser så att hotinformation inte filtrerar någon av de adresser, intervall eller undernät som du anger.
Du kan uppdatera listan med flera poster samtidigt genom att ladda upp en CSV-fil. CSV-filen kan bara innehålla IP-adresser och intervall. Filen får inte innehålla rubriker.
Kommentar
Tillåtna adresser för hotinformation ärvs från överordnade principer till underordnade principer. Alla IP-adresser eller intervall som läggs till i en överordnad princip gäller även för alla underordnade principer.
Loggar
Följande loggutdrag visar en utlöst regel för utgående trafik till en skadlig webbplats:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testning
Utgående testning – Utgående trafikaviseringar bör vara sällsynta, eftersom det innebär att din miljö har komprometterats. För att hjälpa till att testa utgående aviseringar fungerar har ett test-FQDN skapats som utlöser en avisering. Använd
testmaliciousdomain.eastus.cloudapp.azure.comför dina utgående tester.Inkommande testning – Du kan förvänta dig att se aviseringar om inkommande trafik om DNAT-regler har konfigurerats i brandväggen. Detta gäller även om endast specifika källor tillåts i DNAT-regeln och trafiken annars nekas. Azure Firewall varnar inte för alla kända portskannrar. endast på skannrar som är kända för att också ägna sig åt skadlig aktivitet.