다음을 통해 공유

Azure Firewall 통합 문서 사용하기

Azure Firewall 통합 문서는 Azure Firewall 데이터 분석을 위한 유연한 캔버스를 제공합니다. Azure Portal 내에서 다양한 시각적 보고서를 만드는 데 사용할 수 있습니다. Azure에 배포된 여러 방화벽을 탭하고 통합 대화형 환경으로 결합할 수 있습니다.

Azure Firewall 이벤트에 대한 인사이트를 얻고, 애플리케이션 및 네트워크 규칙에 대해 알아보고, URL, 포트 및 주소에서 방화벽 활동에 대한 통계를 볼 수 있습니다. Azure Firewall 통합 문서를 사용하면 방화벽 및 리소스 그룹을 필터링하고 로그에서 문제를 조사할 때 읽기 쉬운 데이터 집합을 사용하여 범주별로 동적으로 필터링할 수 있습니다.

필수 조건

시작하기 전에 Azure Portal을 통해 Azure 구조적 방화벽 로그를 사용하도록 설정합니다.

중요합니다

다음 섹션은 모두 방화벽 구조 로그에만 유효합니다.

레거시 로그를 사용하려는 경우 Azure Portal을 사용하여 진단 로깅 을 사용하도록 설정할 수 있습니다. 그런 다음 , Azure Firewall용 GitHub 통합 문서 로 이동하여 페이지의 지침을 따릅니다.

또한 Azure Firewall에 사용할 수 있는 진단 로그 및 메트릭 의 개요에 대한 Azure Firewall 로그 및 메트릭을 읽어보십시오.

시작하기

방화벽 구조화된 로그를 설정하면 다음 단계를 사용하여 Azure Firewall 포함된 통합 문서를 사용하도록 설정됩니다.

  1. 포털에서 Azure Firewall 리소스로 이동합니다.

  2. 모니터링에서 통합 문서를 선택합니다.

  3. 갤러리에서 다음과 같이 새 통합 문서를 만들거나 기존 Azure Firewall 통합 문서를 사용할 수 있습니다.

    방화벽 통합 문서 갤러리를 보여 주는 스크린샷

  4. 다음과 같이 이 통합 문서에서 사용할 로그 분석 작업 영역 및 하나 이상의 방화벽 이름을 선택합니다.

    구조적 로그를 보여 주는 스크린샷

워크북 섹션

Azure Firewall 통합 문서에는 서비스의 고유한 측면을 해결하는 7개의 탭이 있습니다. 다음 섹션에서는 각 탭에 대해 설명합니다.

개요

개요 탭에는 다양한 로깅 범주에서 집계된 모든 유형의 방화벽 이벤트와 관련된 그래프 및 통계가 표시됩니다. 여기에는 네트워크 규칙, 애플리케이션 규칙, DNS, IDPS(침입 탐지 및 방지 시스템), 위협 인텔리전스 등이 포함됩니다. 개요 탭에서 사용 가능한 위젯은 다음과 같습니다.

  • 이벤트, 시간별: 시간에 따른 이벤트 빈도를 표시합니다.
  • 시간에 따른 방화벽별 이벤트: 시간에 따른 방화벽 간 이벤트 배포를 표시합니다.
  • 이벤트, 범주별: 이벤트를 분류하고 계산합니다.
  • 이벤트 범주, 시간별: 시간에 따른 이벤트 범주를 표시합니다.
  • 방화벽 트래픽의 평균 처리량: 방화벽을 통과하는 평균 데이터를 표시합니다.
  • SNAT 포트 사용률: SNAT 포트의 사용량을 표시합니다.
  • SUM(네트워크 규칙 적중 횟수): 네트워크 규칙 트리거 수를 계산합니다.
  • SUM(애플리케이션 규칙 적중 횟수): 애플리케이션 규칙 트리거 수를 계산합니다.

Azure Firewall 통합 문서 개요

애플리케이션 규칙

애플리케이션 규칙 탭에는 Azure Firewall 정책의 특정 애플리케이션 규칙과 상관 관계가 있는 계층 7 관련 이벤트 통계가 표시됩니다. 애플리케이션 규칙 탭에서 사용할 수 있는 위젯은 다음과 같습니다.

  • 애플리케이션 규칙 사용: 애플리케이션 규칙의 사용을 보여 줍니다.
  • 시간 경과에 따라 거부된 FQDN: 시간 경과에 따라 거부된 FQDN(정규화된 도메인 이름)을 표시합니다.
  • 거부된 FQDN의 개수: 거부된 FQDN 수입니다.
  • 허용된 FQDN의 변화 추이: 시간이 지남에 따라 허용된 FQDN을 표시합니다.
  • 허용된 FQDN의 개수: 허용된 FQDN 수입니다.
  • 허용된 웹 범주 시간 경과: 시간이 지남에 따라 허용된 웹 범주를 표시합니다.
  • 허용된 웹 범주 수: 허용된 웹 범주 수입니다.
  • 시간 경과에 따른 거부된 웹 범주: 시간이 지남에 따라 거부된 웹 범주를 표시합니다.
  • 개수별 거부된 웹 범주: 거부된 웹 범주 수입니다.

애플리케이션 규칙 탭을 보여 주는 스크린샷

네트워크 규칙

네트워크 규칙 탭에는 Azure Firewall 정책의 특정 네트워크 규칙과 상관 관계가 있는 계층 4 관련 이벤트 통계가 표시됩니다. 네트워크 규칙 탭에서 사용할 수 있는 위젯은 다음과 같습니다.

  • 규칙 작업: 규칙에서 수행한 작업을 표시합니다.
  • 대상 포트: 네트워크 트래픽에서 대상 포트를 표시합니다.
  • DNAT 작업: DNAT(대상 네트워크 주소 변환)의 동작을 표시합니다.
  • 지리적 위치: 네트워크 트래픽과 관련된 지리적 위치를 표시합니다.
  • IP 주소별 규칙 작업: IP 주소로 분류된 규칙 동작을 표시합니다.
  • 원본 IP별 대상 포트: 원본 IP 주소로 분류된 대상 포트를 표시합니다.
  • 시간 흐름에 따른 DNAT 작업: DNAT 작업을 시간 흐름에 따라 표시합니다.
  • 시간에 따른 지리적 위치: 시간에 따른 네트워크 트래픽과 관련된 지리적 위치를 표시합니다.
  • 작업, 시간별: 시간에 따른 네트워크 작업을 표시합니다.
  • GeoLocation을 사용하여 모든 IP 주소 이벤트: 지리적 위치별로 분류된 IP 주소와 관련된 모든 이벤트를 표시합니다.

네트워크 규칙 탭을 보여 주는 스크린샷

DNS 프록시

이 탭은 클라이언트 가상 머신에서 DNS 서버로의 DNS 요청에 대한 중개자 역할을 하는 DNS 프록시로 작동하도록 Azure Firewall을 설정한 경우 관련이 있습니다. DNS 프록시 탭에는 사용할 수 있는 다양한 위젯이 포함되어 있습니다.

  • 방화벽당 개수별 DNS 프록시 트래픽: 각 방화벽에 대한 DNS 프록시 트래픽 수를 표시합니다.
  • 요청 이름별 DNS 프록시 수: 요청 이름으로 DNS 프록시 요청을 계산합니다.
  • 클라이언트 IP별 DNS 프록시 요청 수: 클라이언트 IP 주소별 DNS 프록시 요청 수를 계산합니다.
  • 클라이언트 IP별 시간에 따른 DNS 프록시 요청: 시간이 지남에 따라 클라이언트 IP로 분류된 DNS 프록시 요청을 표시합니다.
  • DNS 프록시 정보: DNS 프록시 설정과 관련된 로그 정보를 제공합니다.

DNS 프록시 탭을 보여 주는 스크린샷.

IDPS(침입 감지 및 방지 시스템)

IDPS 로그 통계 탭은 악의적인 트래픽 이벤트 및 서비스에서 수행하는 예방 작업에 대한 요약을 제공합니다. IDPS 탭에서 사용할 수 있는 다양한 위젯을 찾을 수 있습니다.

  • IDPS 작업 수: IDPS 작업 수를 계산합니다.
  • IDPS 프로토콜 수: IDPS에서 검색된 프로토콜 수를 계산합니다.
  • IDPS SignatureID 수: 서명 ID별로 IDPS 검색 수를 계산합니다.
  • IDPS SourceIP 수: 소스 IP 주소에 따라 IDPS 탐지 수를 계산합니다.
  • 개수별 필터링된 IDPS 작업: 필터링된 IDPS 작업의 개수입니다.
  • 개수별 필터링된 IDPS 프로토콜: 필터링된 IDPS 프로토콜 수를 계산합니다.
  • 개수별 필터링된 IDPS 서명 ID: 서명 ID별로 필터링된 IDPS 검색 수를 계산합니다.
  • 필터링된 SourceIP: IDPS에서 검색된 필터링된 원본 IP를 표시합니다.
  • 시간에 따른 Azure Firewall IDPS 수: 시간에 따른 Azure Firewall IDPS 수를 표시합니다.
  • GeoLocation을 사용하는 Azure Firewall IDPS 로그: 지리적 위치별로 분류된 Azure Firewall IDPS 로그를 제공합니다.

IDPS 탭을 보여 주는 스크린샷

TI(위협 인텔리전스)

이 탭은 위협 인텔리전스 활동에 대한 철저한 관점을 제공하여 가장 널리 퍼진 위협, 작업 및 프로토콜을 집중 조명합니다. 이러한 위협과 관련된 상위 5개의 FQDN(정규화된 도메인 이름) 및 IP 주소를 표시하여 시간에 따른 위협 인텔리전스 검색을 보여 줍니다. 또한 Azure Firewall의 위협 인텔리전스에 대한 자세한 로그는 포괄적인 분석을 위해 제공됩니다. 위협 인텔리전스 탭 내에서 사용할 수 있는 다양한 위젯을 찾을 수 있습니다.

  • 위협 인텔 작업 수: 위협 인텔리전스에서 감지된 작업 수를 계산합니다.
  • 위협 인텔 프로토콜 수: 위협 인텔리전스에서 식별된 프로토콜 수를 계산합니다.
  • 상위 5개 FQDN 수: FQDN(정규화된 도메인 이름) 상위 5개를 표시합니다.
  • 상위 5개 IP 수: 가장 자주 사용하는 상위 5개의 IP 주소를 표시합니다.
  • 시간에 따른 Azure Firewall 위협 인텔리전스: Azure Firewall 위협 인텔리전스 탐지를 시간 경과에 따라 표시합니다.
  • Azure Firewall Threat Intel: Azure Firewall의 위협 인텔리전스에서 로그를 제공합니다.

위협 인텔리전스 탭을 보여 주는 스크린샷.

조사

조사 섹션에서는 탐색 및 문제 해결을 가능하게 하며, 가상 머신 이름 및 트래픽 시작 또는 종료와 관련된 네트워크 인터페이스 이름과 같은 추가 세부 정보를 제공합니다. 또한 원본 IP 주소, 액세스하려는 FQDN(정규화된 도메인 이름) 및 트래픽의 지리적 위치 보기 간에 상관 관계를 설정합니다. 조사 탭에서 사용할 수 있는 위젯:

  • 개수별 FQDN 트래픽: FQDN(정규화된 도메인 이름)으로 트래픽을 계산합니다.
  • 원본 IP 주소 수: 원본 IP 주소의 발생 횟수를 계산합니다.
  • 원본 IP 주소 리소스 조회: 원본 IP 주소와 연결된 리소스를 조회합니다.
  • FQDN 조회 로그: FQDN 조회의 로그를 제공합니다.
  • 지리적 위치가 있는 Azure Firewall 프리미엄 – IDPS: 지리적 위치별로 분류된 Azure Firewall의 IDPS(침입 감지 및 방지 시스템) - 검색을 표시합니다.

조사 탭을 보여 주는 스크린샷.

다음 단계