共用方式為

使用 Azure Firewall 工作簿

Azure Firewall工作簿为Azure Firewall数据分析提供了灵活的画布。 使用它在Azure门户中创建丰富的视觉报表。 可以访问在 Azure 中部署的多个防火墙,并将它们合并为统一的交互体验。

可以深入了解Azure Firewall事件、了解应用程序和网络规则,以及跨 URL、端口和地址查看防火墙活动的统计信息。 Azure Firewall工作簿允许筛选防火墙和资源组,并在调查日志中的问题时使用易于阅读的数据集动态筛选每个类别。

先决条件

在开始之前,请通过 Azure 门户启用Azure结构化防火墙日志

重要

以下所有部分仅适用于防火墙结构化日志。

若要使用旧日志,可以使用 Azure 门户启用 诊断日志记录。 然后转到 GitHub 上的 Azure Firewall 工作簿,然后按照页面上的说明进行操作。

此外,请阅读 Azure Firewall 日志和指标,了解可用于Azure Firewall的诊断日志和指标的概述。

开始

设置防火墙结构化日志后,请按照以下步骤使用Azure Firewall嵌入工作簿:

  1. 在门户中,转到 Azure 防火墙 资源。

  2. 监视下,选择工作簿

  3. 在画廊中,您可以创建新的工作簿,或使用现有的 Azure Firewall 工作簿,如下图所示:

    显示防火墙工作簿库的屏幕截图。

  4. 选择要在此工作簿中使用的Log Analytics工作区和一个或多个防火墙名称,如下图所示:

    Screenshot 显示工作簿中的工作区和Azure Firewall 选择。

工作簿的各个部分

Azure Firewall工作簿有七个选项卡,每个选项卡都涉及服务的不同方面。 以下各节介绍每个选项卡。

概述

“概述”选项卡显示与从各种日志记录类别聚合的所有类型的防火墙事件相关的图形和统计信息。 此聚合包括网络规则、应用程序规则、DNS、入侵检测和防护系统(IDPS)、威胁情报等。 在“概述”选项卡中,您可以找到以下可用的小组件:

  • 事件,按时间:显示一段时间内的事件频率。
  • 事件,按防火墙随时间推移分布:显示事件在一段时间内跨防火墙的分布情况。
  • 事件,按类别:分类和计数事件。
  • 事件类别,按时间:显示随时间推移的事件类别。
  • 防火墙流量的平均吞吐量:显示通过防火墙传递的平均数据。
  • SNAT 端口利用率:显示 SNAT 端口的使用情况。
  • 网络规则命中计数 (SUM):对网络规则触发器进行计数。
  • 应用规则命中计数(SUM):统计应用规则的触发次数。

Screenshot 显示 Azure Firewall 工作簿概述选项卡。

应用程序规则

Application 规则选项卡显示与Azure Firewall策略中特定应用程序规则相关的第 7 层相关事件统计信息。 以下小组件在应用程序 规则 选项卡中可用:

  • 应用程序规则用法:显示应用程序规则的使用情况。
  • 一段时间内被拒绝的 FQDN:显示随时间推移被拒绝的完全限定域名(FQDN)。
  • 被拒绝的 FQDN 数量:计数被拒绝的 FQDN。
  • 允许的 FQDN 随时间推移:显示一段时间内允许的 FQDN。
  • 允许的 FQDN 按计数:允许的 FQDN 计数。
  • 允许的 Web 类别随时间变化:显示随着时间推移允许的 Web 类别。
  • 允许的 Web 类别数(按计数列出):对允许的 Web 类别进行计数
  • 被拒绝的 Web 类别随时间变化:显示随时间变化的被拒绝 Web 类别。
  • 被拒绝的 Web 类别计数:统计被拒绝的 Web 类别数量。

显示应用程序规则选项卡的屏幕截图。

网络规则

Network 规则选项卡显示与Azure Firewall策略中特定网络规则相关的第 4 层相关事件统计信息。 网络规则 选项卡中可用以下控件:

  • 规则动作:显示由规则执行的动作。
  • 目标端口:显示网络流量中的目标端口。
  • DNAT动作:显示目标网络地址转换(DNAT)的动作。
  • GeoLocation:显示网络流量中涉及的地理位置。
  • 规则操作,按 IP 地址:显示按 IP 地址分类的规则操作。
  • 目标端口,按源 IP:显示按源 IP 地址分类的目标端口。
  • DNAT 操作随时间推移:显示 DNAT 操作的时间变化。
  • 地理位置随时间推移:显示一段时间内网络流量中涉及的地理位置。
  • 操作,按时间:显示随时间变化的网络操作。
  • 具有 GeoLocation 的所有 IP 地址事件:显示涉及 IP 地址的所有事件,按地理位置分类。

显示“网络规则”选项卡的屏幕截图。

DNS 代理

如果设置Azure Firewall充当 DNS 代理,充当从客户端虚拟机到 DNS 服务器的 DNS 请求的中介,则此选项卡是相关的。 “DNS 代理”选项卡提供了各种可供您使用的控件。

  • DNS 代理流量按每个防火墙计数:显示每个防火墙的 DNS 代理流量计数。
  • 按请求名称对 DNS 代理计数:按请求名称对 DNS 代理请求进行计数。
  • 客户端 IP 的 DNS 代理请求计数:按客户端 IP 地址对 DNS 代理请求进行计数。
  • 客户端 IP 随时间推移的 DNS 代理请求:按客户端 IP 分类显示 DNS 代理请求。
  • DNS 代理信息:提供与 DNS 代理设置相关的日志信息。

显示“DNS 代理”选项卡的屏幕截图。

入侵检测和防护系统 (IDPS)

IDPS 日志统计信息选项卡提供恶意流量事件的摘要以及服务采取的预防措施。 IDPS 选项卡包含以下控件:

  • IDPS 动作计数:计算 IDPS 动作计数。
  • IDPS 协议计数:对 IDPS 检测到的协议进行计数。
  • IDPS SignatureID 计数:按签名 ID 对 IDPS 检测进行计数
  • IDPS SourceIP 计数:按源 IP 地址对 IDPS 检测进行计数。
  • 按计数筛选的IDPS操作:计数筛选的IDPS操作。
  • 按数目筛选的 IDPS 协议:对 IDPS 协议按照数目进行筛选。
  • 按计数筛选的 IDPS 签名 ID:按签名 ID 筛选的 IDPS 检测计数。
  • 被筛选的源IP:显示 IDPS 检测到的被筛选源IP。
  • Azure Firewall IDPS 计数随时间推移:显示 Azure Firewall IDPS 计数随时间的变化。
  • Azure Firewall使用 GeoLocation 的 IDPS 日志:提供按地理位置分类的Azure Firewall IDPS 日志。

显示 IDPS 选项卡的屏幕截图。

威胁情报 (TI)

此选项卡提供威胁情报活动的综合视图,其中突出显示了最普遍的威胁、操作和协议。 其中列出了前五个完全限定的域名(FQDN)和与这些威胁关联的 IP 地址,并显示随时间推移的威胁情报检测。 还可以分析来自Azure Firewall威胁情报的详细日志。 “威胁情报”选项卡包含以下部件:

  • 威胁情报动作计数:统计由威胁情报检测到的动作。
  • 威胁情报协议计数:统计由威胁情报识别的协议。
  • 前 5 个 FQDN 统计:显示前五个最频繁的完全限定域名(FQDN)。
  • 前 5 个 IP 计数:显示前五个最常见的 IP 地址。
  • Azure Firewall威胁情报随时间变化:显示Azure Firewall的威胁情报检测随时间的变化。
  • Azure Firewall威胁情报:提供来自Azure Firewall威胁情报的日志。

显示威胁情报选项卡的屏幕截图。

调查

“调查”部分支持浏览和故障排除。 它提供额外的详细信息,例如与启动或终止流量关联的虚拟机名称和网络接口名称。 它还在源 IP 地址与它们尝试访问的完全限定域名(FQDN)之间建立关联,并提供对流量地理位置的视图。 “调查”选项卡包括以下小组件:

  • FQDN 流量按计数:按完全限定域名(FQDN)对流量进行计数。
  • 源 IP 地址计数:对源 IP 地址的出现次数进行计数。
  • 源 IP 地址资源查找:查找与源 IP 地址关联的资源。
  • FQDN 查找日志:提供来自 FQDN 查找的日志。
  • 高级Azure防火墙带有地理位置功能的入侵检测和防御系统(IDPS):按地理位置分类显示Azure防火墙的IDPS检测。

显示调查选项卡的屏幕截图。

后续步骤

  • Last updated on