En este artículo, encontraremos el tráfico de flujo de red de Azure Firewall de entrada o salida desde la dirección IP de origen seleccionada mediante KQL Query mediante los siguientes tres escenarios.
Caso 1: consulta de KQL para encontrar los registros de red de Azure Firewall desde Seleccionar dirección IP de origen proyectando todas las propiedades de tiempo generado, dirección IP de origen, dirección IP de destino, acción: permitir o denegar, mensaje de flujo de red con protocolo y solicitud desde y hacia por utilizando tiene palabras clave. o también puede has_any() con valores separados por comas.
Consulta KQL:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP has "_add_source_ip_address_here"
Producción:
Caso 2: Consulta KQL para encontrar los registros de red de Azure Firewall desde la dirección IP de origen seleccionada que proyecta todas las propiedades de tiempo generado, dirección IP de origen, dirección IP de destino, acción: permitir o denegar, mensaje de flujo de red con protocolo y solicitud desde y hacia por usando “==” (Es igual al operador). (Dirección IP de origen exacta)
Consulta KQL:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP == "_add_source_ip_address_here"
Producción:
Caso 3: consulta de KQL para encontrar los registros de red de Azure Firewall desde Seleccionar dirección IP de origen proyectando todas las propiedades de tiempo generado, dirección IP de origen, dirección IP de destino, acción: permitir o denegar, mensaje de flujo de red con protocolo y solicitud desde y hacia por utilizando contiene palabras clave. (Si las coincidencias contienen alguna)
Consulta KQL:
AzureDiagnostics
| where TimeGenerated between(datetime("2022-01-05 00:00:00") .. datetime("2022-01-08 12:00:00"))
| where Category == "AzureFirewallNetworkRule"
| parse msg_s with Protocol " request from " SourceIP " to " Target ". Action: " Action
| project TimeGenerated, SourceIP, Target, Action, msg_s
| where SourceIP contains "_add_source_ip_address_here"
Producción:
Publicación traducida automáticamente
Artículo escrito por dey0btpch57lmvgz5mqhpaiqn337p09fd8yq1lw4 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA