Azure 防火牆威脅情報設定
可為您的 Azure 防火牆原則設定以威脅情報為基礎的篩選,以警示和拒絕來自和前往已知惡意 IP 位址和網域的流量。 IP 位址和網域來自 Microsoft 威脅情報摘要。 Intelligent Security Graph 支援 Microsoft 威脅情報的運作,且適用於雲端的 Microsoft Defender 等多項服務皆有使用。
如果您已設定以威脅情報為基礎的篩選,則會先處理相關聯的規則,再處理任何 NAT 規則、網路規則或應用程式規則。
威脅情報模式
您可以在下表所述的三種模式的其中之一,設定威脅情報。 根據預設,威脅情報型篩選會在警示模式中啟用。
| [模式] | 描述 |
|---|---|
Off |
您的防火牆未啟用威脅情報功能。 |
Alert only |
對於通過防火牆的流量,或來自已知惡意 IP 位址及網域的流量,您會收到高信賴度警示。 |
Alert and deny |
當偵測到流量嘗試通過防火牆或來自已知惡意 IP 位址及網域時,便會封鎖流量,且您會收到高信賴度警示。 |
注意
威脅情報模式會從父原則繼承至子原則。 子原則必須設定與父原則相同或更嚴格的模式。
允許清單位址
威脅情報可能會觸發誤判為真,並封鎖實際有效的流量。 您可以設定允許的 IP 位址清單,讓威脅情報不會篩選您指定的任何位址、範圍或子網路。
您可以藉由上傳 CSV 檔案,一次使用多個項目來更新允許清單。 CSV 檔案只能包含 IP 位址和範圍。 檔案不能包含標題。
注意
威脅情報允許清單位址是從父原則繼承至子原則。 新增至父原則的任何 IP 位址或範圍也適用於所有子原則。
記錄
下列記錄摘錄顯示惡意網站輸出流量的觸發規則:
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
測試
輸出測試:輸出流量警示極為罕見,因為這表示環境已遭入侵。 已建立可觸發警示的測試 FQDN,以協助測試輸出警示能否正常運作。 針對輸出測試使用
testmaliciousdomain.eastus.cloudapp.azure.com。輸入測試:如果防火牆中已設定 DNAT 規則,則應該會看到連入流量的警示。 即使 DNAT 規則僅允許特定來源也一樣,流量還是會被拒絕。 Azure 防火牆不會對所有已知的埠掃描器發出警示,僅對已知也會參與惡意活動的掃描器發出警示。