基于 Azure 防火墙威胁智能的筛选

可以为防火墙启用基于威胁情报的筛选，以提醒和拒绝来自/到达已知恶意 IP 地址、FQDN 和 URL 的流量。 IP 地址、域和 URL 来自 Microsoft 威胁情报源，其中包括多个来源，包括 Azure 网络安全团队。 Intelligent Security Graph 为 Azure 威胁情报提供支持，并使用多种服务，其中包括 Microsoft Defender for Cloud。

如果已启用基于威胁情报的筛选，则防火墙将在任何 NAT 规则、网络规则或应用程序规则之前处理相关规则。

规则触发时，可以选择仅记录警报，也可选择警报和拒绝模式。

默认情况下，基于威胁情报的筛选处于警报模式。 门户界面在你所在的区域中推出之前，你无法关闭此功能或更改模式。

可以定义允许列表，以便威胁情报不会筛选掉发往任何列出的 FQDN、IP 地址、范围或子网的流量。

要执行批处理操作，可以上传包含 IP 地址、范围和子网列表的 CSV 文件。

日志

以下日志摘录显示了一个触发的规则：

{
    "category": "AzureFirewallNetworkRule",
    "time": "2018-04-16T23:45:04.8295030Z",
    "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
    "operationName": "AzureFirewallThreatIntelLog",
    "properties": {
         "msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
    }
}

测试

• 出站测试 - 出站流量警报应该比较罕见，因为这意味着环境已遭到入侵。 为了帮助测试出站警报是否正常工作，存在触发警报的测试 FQDN。 将 testmaliciousdomain.chinaeast.cloudapp.chinacloudapi.cn 用于出站测试。

  要准备测试并确保不会出现 DNS 解析失败，请配置以下各项：

  • 将虚拟记录添加到测试计算机上的主机文件。 例如，在运行 Windows 的计算机上，可以将 1.2.3.4 testmaliciousdomain.chinaeast.cloudapp.chinacloudapi.cn 添加到 C:\Windows\System32\drivers\etc\hosts 文件。
  • 确保使用应用程序规则（而不是网络规则）允许测试的 HTTP/S 请求。

• 入站测试 - 如果在防火墙上配置了 DNAT 规则，则预计可以看到传入流量的警报。 即使防火墙仅允许 DNAT 规则上的特定源，并且流量被拒绝，你也会看到警报。 Azure 防火墙不会在所有已知的端口扫描仪上发出警报；仅在也会参与恶意活动的扫描仪上发出警报。

后续步骤

• 请参阅 Azure 防火墙 Log Analytics 示例
• 了解如何部署和配置 Azure 防火墙
• 查看 Microsoft 安全智能报告