使用 Azure 防火墙工作簿

Azure 防火墙工作簿为 Azure 防火墙数据分析提供了一个灵活的画布。 该画布可用于在 Azure 门户中创建丰富的视觉对象报表。 你可以利用跨 Azure 部署的多个防火墙,并将其组合成统一的交互式体验。

可以深入了解 Azure 防火墙事件,了解应用程序和网络规则,并查看跨 URL、端口和地址的防火墙活动统计信息。 借助 Azure 防火墙工作簿,可以筛选防火墙和资源组,并且可以按类别进行动态地筛选,以便在调查日志中的问题时,数据集易于读取。

先决条件

在开始之前,请通过 Azure 门户启用 Azure 结构化防火墙日志

重要

以下所有部分仅适用于防火墙结构化日志。

若要使用旧日志,可以使用 Azure 门户启用诊断日志记录。 然后转到 Azure 防火墙 GitHub 工作簿,并按照页面上的说明进行操作。

另请参阅 Azure 防火墙日志和指标,以获取关于可用于 Azure 防火墙的诊断日志和指标的概述。

开始使用

设置了防火墙结构化日志后,即可按照以下步骤使用 Azure 防火墙嵌入式工作簿:

  1. 在门户中,导航到你的 Azure 防火墙资源。

  2. 在“监视”下,选择“工作簿”。

  3. 在库中,可以创建新工作簿或使用现有的 Azure 防火墙工作簿,如下所示:

    Screenshot showing the firewall workbook gallery.

  4. 选择 Log Analytics 工作区以及想要在此工作簿中使用的一个或多个防火墙名称,如下所示:

    Screenshot showing structured logs.

工作簿的各个部分

Azure 防火墙工作簿有七个选项卡,每个选项卡都涉及服务的不同方面。 以下部分说明了每个选项卡。

概述

“概述”选项卡展示了与从各种日志记录类别聚合的所有类型的防火墙事件相关的图形和统计信息。 这包括网络规则、应用程序规则、DNS、入侵检测和防护系统 (IDPS)、威胁情报等。 “概述”选项卡中的可用小组件包括:

  • 事件,按时间:显示一段时间内的事件频率。
  • 事件,按防火墙,随时间推移:显示一段时间内跨防火墙的事件分布。
  • 事件,按类别:将事件分类并为其计数。
  • 事件类别,按时间:显示随时间推移的事件类别。
  • 防火墙流量的平均吞吐量:显示通过防火墙传递的平均数据。
  • SNAT 端口利用率:显示 SNAT 端口的使用情况。
  • 网络规则命中次数 (SUM):对网络规则触发器进行计数。
  • 应用程序规则命中次数 (SUM):对应用程序规则触发器进行计数。

Azure Firewall Workbook overview

应用程序规则

“应用程序规则”选项卡显示与 Azure 防火墙策略中特定应用程序规则相关的第 7 层相关事件统计信息。 “应用程序规则”选项卡中提供了以下小组件:

  • 应用程序规则使用情况:显示应用程序规则的使用情况。
  • 随时间推移被拒绝的 FQDN:显示一段时间内被拒绝的完全限定的域名 (FQDN)。
  • 被拒绝的 FQDN,按计数:对被拒绝的 FQDN 进行计数。
  • 随时间推移允许的 FQDN:显示一段时间内允许的 FQDN。
  • 允许的 FQDN,按计数:对允许的 FQDN 进行计数。
  • 随时间推移允许的 Web 类别:显示一段时间内允许的 Web 类别。
  • 允许的 Web 类别,按计数:对允许的 Web 类别进行计数。
  • 随时间推移被拒绝的 Web 类别:显示一段时间内被拒绝的 Web 类别。
  • 被拒绝的 Web 类别,按计数:对被拒绝的 Web 类别进行计数。

Screenshot showing the application rules tab.

网络规则

“网络规则”选项卡显示与 Azure 防火墙策略中特定网络规则相关的第 4 层相关事件统计信息。 “网络规则”选项卡中提供了以下小组件:

  • 规则操作:显示规则执行的操作。
  • 目标端口:显示网络流量中的目标端口。
  • DNAT 操作:显示目标网络地址转换 (DNAT) 的操作。
  • GeoLocation:显示网络流量中涉及的地理位置。
  • 规则操作,按 IP 地址:显示按 IP 地址分类的规则操作。
  • 目标端口,按源 IP:显示按源 IP 地址分类的目标端口。
  • 随时间推移的 DNAT:显示随时间推移的 DNAT 操作。
  • 随时间推移的 GeoLocation:显示随时间推移网络流量中涉及的地理位置。
  • 操作,按时间:显示一段时间内的网络操作。
  • 所有 IP 地址事件与 GeoLocation:显示涉及 IP 地址的所有事件,按地理位置分类。

Screenshot showing network rules tab.

DNS 代理

如果你已将 Azure 防火墙设置为充当 DNS 代理,充当从客户端虚拟机到 DNS 服务器的 DNS 请求的中介,则此选项卡是相关的。 “DNS 代理”选项卡包含各种你可以使用的小组件:

  • DNS 代理流量,按每个防火墙计数:显示每个防火墙的 DNS 代理流量计数。
  • DNS 代理计数,按请求名称:按请求名称对 DNS 代理请求进行计数。
  • DNS 代理请求计数,按客户端 IP:按客户端 IP 地址对 DNS 代理请求进行计数。
  • 随时间推移的 DNS 代理请求,按客户端 IP:按客户端 IP 分类显示随时间推移的 DNS 代理请求。
  • DNS 代理信息:提供与 DNS 代理设置相关的日志信息。

Screenshot showing the DNS proxy tab.

入侵检测和防护系统 (IDPS)

IDPS 日志统计信息选项卡提供恶意流量事件的摘要以及服务采取的预防措施。 在 IDPS 选项卡中,你将找到各种可以使用的小组件:

  • IDPS 操作计数:对 IDPS 操作进行计数。
  • IDPS 协议计数:对 IDPS 检测到的协议进行计数。
  • IDPS SignatureID 计数:按签名 ID 对 IDPS 检测进行计数。
  • IDPS SourceIP 计数:按源 IP 地址对 IDPS 检测进行计数。
  • 筛选的 IDPS 操作,按计数:对筛选的 IDPS 操作进行计数。
  • 筛选的 IDPS 协议,按计数:对筛选的 IDPS 协议进行计数。
  • 筛选的 IDPS SignatureID,按计数:按签名 ID 对筛选的 IDPS 检测进行计数。
  • 筛选的 SourceIP:显示 IDPS 检测到的筛选源 IP。
  • Azure 防火墙 IDPS 计数,随时间推移:显示一段时间内的 Azure 防火墙 IDPS 计数。
  • Azure 防火墙 IDPS 日志与 GeoLocation:提供按地理位置分类的 Azure 防火墙 IDPS 日志。

Screenshot showing the IDPS tab.

威胁情报(TI)

此选项卡提供对威胁情报活动的全面视角,聚焦最普遍的威胁、操作和协议。 它划分了前五个完全限定的域名 (FQDN) 和与这些威胁关联的 IP 地址,并展示随时间推移的威胁情报检测。 此外,还提供了 Azure 防火墙威胁情报的详细日志,用于全面分析。 在“威胁情报”选项卡中,你将找到各种可以使用的小组件:

  • 威胁情报操作计数:对威胁情报检测到的操作进行计数。
  • 威胁情报协议计数:对威胁情报标识的协议进行计数。
  • 前 5 个 FQDN 计数:显示前五个最常见的完全限定的域名 (FQDN)。
  • 前 5 个 IP 计数:显示前五个最常见的 IP 地址。
  • Azure 防火墙威胁情报,随时间推移:显示一段时间内的 Azure 防火墙威胁情报检测。
  • Azure 防火墙威胁情报:提供来自 Azure 防火墙威胁情报的日志。

Screenshot showing the threat intelligence tab.

调查

“调查”部分支持浏览和故障排除,并提供其他详细信息,例如与启动或终止流量相关的虚拟机名称和网络接口名称。 它还会在源 IP 地址、它们尝试访问的完全限定的域名 (FQDN) 以及流量的地理位置视图之间建立关联。 “调查”选项卡中提供的小组件:

  • FQDN 流量,按计数:按完全限定的域名 (FQDN) 对流量进行计数。
  • 源 IP 地址计数:对源 IP 地址的出现次数进行计数。
  • 源 IP 地址资源查找:查找与源 IP 地址关联的资源。
  • FQDN 查找日志:提供来自 FQDN 查找的日志。
  • Azure 防火墙高级版地理位置 - IDPS:显示 Azure 防火墙的入侵检测和防护系统 (IDPS) 检测,按地理位置分类。

Screenshot showing the investigation tab.

后续步骤