방화벽에 대한 위협 인텔리전스 기반 필터링을 사용하도록 설정하여 알려진 악성 IP 주소, FQDN 및 URL에서 들어오고 나가는 트래픽을 경고하고 거부할 수 있습니다. IP 주소, 도메인 및 URL은 Microsoft Cyber Security 팀을 비롯한 여러 원본을 포함하는 Microsoft 위협 인텔리전스 피드에서 제공됩니다.
위협 인텔리전스 기반 필터링을 사용하도록 설정하면 Azure Firewall은 NAT, 네트워크 또는 애플리케이션 규칙을 적용하기 전에 위협 인텔리전스 규칙에 대한 트래픽을 평가합니다.
관리자는 위협 인텔리전스 규칙이 트리거될 때 경고 전용 모드 또는 경고 및 거부 모드에서 작동하도록 방화벽을 구성할 수 있습니다. 기본적으로 방화벽은 경고 전용 모드에서 작동합니다. 이 모드를 사용하지 않도록 설정하거나 경고 및 거부로 변경할 수 있습니다.
특정 FQDN, IP 주소, 범위 또는 서브넷을 위협 인텔리전스 필터링에서 제외하도록 허용 목록을 정의할 수 있습니다.
일괄 처리 작업의 경우 관리자는 IP 주소, 범위 및 서브넷이 포함된 CSV 파일을 업로드하여 허용 목록을 채울 수 있습니다.
Logs
다음 로그 발췌문에서는 트리거된 규칙을 보여줍니다.
{
"category": "AzureFirewallNetworkRule",
"time": "2018-04-16T23:45:04.8295030Z",
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/AZUREFIREWALLS/{resourceName}",
"operationName": "AzureFirewallThreatIntelLog",
"properties": {
"msg": "HTTP request from 10.0.0.5:54074 to somemaliciousdomain.com:80. Action: Alert. ThreatIntel: Bot Networks"
}
}
Testing
Outbound testing - Outbound traffic alerts should be a rare occurrence, as it means that your environment is compromised. 테스트 아웃바운드 경고가 작동하도록 돕기 위해 경고를 트리거하는 테스트 FQDN이 있습니다. 아웃바운드 테스트에
testmaliciousdomain.eastus.cloudapp.azure.com을 사용합니다.테스트를 준비하고 DNS 확인 실패를 방지하려면 다음 항목을 구성합니다.
- 테스트 컴퓨터의 호스트 파일에 더미 레코드를 추가합니다. 예를 들어, Windows를 실행하는 컴퓨터에서
1.2.3.4 testmaliciousdomain.eastus.cloudapp.azure.com을C:\Windows\System32\drivers\etc\hosts파일에 추가할 수 있습니다. - 테스트된 HTTP/S 요청이 네트워크 규칙이 아닌 애플리케이션 규칙을 사용하여 허용되는지 확인합니다.
- 테스트 컴퓨터의 호스트 파일에 더미 레코드를 추가합니다. 예를 들어, Windows를 실행하는 컴퓨터에서
Inbound testing - You can expect to see alerts on incoming traffic if the firewall has DNAT rules configured. 방화벽이 DNAT 규칙의 특정 원본만 허용하고 트래픽이 거부되는 경우에도 경고가 표시됩니다. Azure Firewall은 알려진 모든 포트 스캐너에 대해 경고하지 않습니다. 악의적인 작업에도 참여하는 것으로 알려진 스캐너에만 경고합니다.
Next steps
- Azure Firewall의 위협 방지 살펴보기
- Azure Firewall Log Analytics 샘플을 참조하세요.
- Azure Firewall을 배포 및 구성하는 방법에 대해 알아봅니다.
- Microsoft Security 인텔리전스 보고서 검토