はじめに
Azure Firewallではログの取得、分析を行えます。Sentinelを利用するのもありですが、ブックで分析を行うこともできます。ログの取得から分析まで確認していきたいと思います。
前提条件
ログを取得する環境は事前に作成されていることが前提です。
-
-
オンプレミス(VPN)からの通信をAzure Firewall 経由で制御する - 技術的な何か。
はじめに オンプレミスからAzure Firewall 経由でリソースと通信を行う方法を紹介したいと思います。 オンプレミスからのアクセスを制御するための方法になります。Azure Firewallを
level69.net
ログの取得
Firewallのログの取得は診断設定より行います。
今回はAzure Firewallのブックを設定し分析を行うために、ログの取得を行います。Firewall用のLog Analytics ワークスペースを別途作っておくとよいと思います。
ログの確認
ログはApplication rule log dataに保存されます。AllowやDenyなどいくつかの情報を取得することが出来ます。
また、DNS Proxyとして利用している場合にはそのlogも取得されます。
各種詳細は下記を参考してください。
-
-
Azure Firewall の監視 | Microsoft Learn
Azure Firewall を監視するには、ファイアウォール ログを使用できます。 また、アクティビティ ログを使用して、Azure Firewall リソースに対する操作を監査することもできます。
docs.microsoft.com
これでログが取得されていることを確認できました。しかし、これでは分析が行えません。
そこで利用するのがブックになります。
Azure Firewall ブック
Azure Firewallブックを利用することでFirewallのログ、メトリックを分析監視行うことが出来ます。これは用意されているものはないのでデプロイして利用する必要があります。
-
-
Azure Firewall ブックの使用 | Microsoft Learn
Azure Firewall ブックにより、Azure Firewall のデータ分析のための柔軟なキャンバスが提供され、Azure portal 内で高度な視覚的レポートを作成できます。
Azure Firewall ブックはgithubで公開されています。ここからデプロイすることが可能です。
-
-
Azure-Network-Security/Azure Firewall/Workbook - Azure Firewall Monitor Workbook at master · Azure/Azure-Network-Security · GitHub
Resources for improving Customer Experience with Azure Network Security - Azure-Network-Security/Azu ...
github.com
Deloyボタンをクリックするとブックを展開することが可能です。
必要事項を入力します。
- Diagnostics Workspace Name
- Diagnostics Workspace Subscription
- Diagnostics Workspace Resource Group
にワークスペースの情報を入力します。
それぞれワークスペースのプロパティで確認できます。
デプロイ後にブックを確認します。
ブック - 概要
ブックを開くと分析された情報の概要を表示できます。
Applicationのルール、もしくはネットワークのルールごとにログが分析されます。有効化していない機能は表示されません。ブックを編集すると非表示にすることも可能です。
DNS Proxyを有効化している場合にはその情報も分析され表示できます。
以上のように取得されたログの分析に非常に有効です。
まとめ
Azure Firewallのログの簡単な分析を行うにはAzure Firewall ブックを利用すると良いです。可視化できることで攻撃の有無や問題点の把握など様々な情報を取得できます。ただし、ブックから直接アラートを作成できないので見る専用ですがレポートを作成などに利用できると思います。