استخدام Microsoft Sentinel مع جدار حماية تطبيقات الويب من Azure
يمكن أن يوفر جدار حماية تطبيقات الويب (WAF) من Azure، جنبًا إلى جنب مع Microsoft Sentinel، إدارة أحداث معلومات الأمان لموارد جدار حماية تطبيقات الويب. يوفر Microsoft Sentinel تحليلات الأمان باستخدام Log Analytics، والذي يسمح لك بتقسيم بيانات جدار حماية تطبيقات الويب وعرضها بسهولة. باستخدام Microsoft Sentinel، يمكنك الوصول إلى المصنفات المُنشأة مسبًقً وتعديلها لتناسب احتياجات مؤسستك على أكمل وجه. يمكن أن يعرض المصنف تحليلات لجدار حماية تطبيقات الويب على شبكة تسليم المحتوى (CDN) من Azure، وجدار حماية تطبيقات الويب على Azure Front Door، وجدار حماية تطبيقات الويب على بوابة التطبيق عبر العديد من الاشتراكات ومساحات العمل.
فئات تحليلات السجل لجدار حماية تطبيقات الويب
يتم تقسيم تحليلات السجل لجدار حماية تطبيقات الويب إلى الفئات التالية:
- جميع إجراءات جدار حماية تطبيقات الويب التي تم اتخاذها
- أهم 40 عنوانًا من عناوين URI للطلبات المحظورة
- أهم 50 مشغّل حدث،
- الرسائل على مدار وقت معين
- التفاصيل الكاملة للرسائل
- أحداث الهجوم بواسطة الرسائل
- أحداث الهجوم على مدار وقت معين
- عامل تصفية معرّف التعقب
- رسائل معرّف التعقب
- أهم 10 من عناوين IP المهاجِمة
- رسائل الهجوم لعناوين IP
أمثلة مصنفات جدار حماية تطبيقات الويب
تستعرض الأمثلة التالية لمصنفات جدار حماية تطبيقات الويب عينة بيانات:
تشغيل مصنف جدار حماية تطبيقات الويب
يعمل مصنف جدار حماية تطبيقات الويب لكلٍ من Azure Front Door وبوابة التطبيق وجدار حماية تطبيقات الويب لشبكة تسليم المحتوى. قبل توصيل البيانات من هذه الموارد، يجب تمكين تحليلات السجل على موردك.
لتمكين تحليلات السجل لكل مورد، انتقل إلى Azure Front Door الفردي أو بوابة التطبيق أو مورد شبكة تسليم المحتوى:
حدد إعدادات التشخيص.
حدد + Add diagnostic setting.
في صفحة إعداد التشخيص:
- اكتب اسمًا.
- حدد Send to Log Analytics.
- اختر مساحة عمل وجهة السجل.
- حدد أنواع السجلات التي تريد تحليلها:
- لبوابة التطبيق: "ApplicationGatewayAccessLog" و"ApplicationGatewayFirewallLog"
- Azure Front Door القياسي/المميز: 'FrontdoorAccessLog' و'FrontdoorFirewallLog'
- Azure Front Door الكلاسيكي: 'FrontdoorAccessLog' و'FrontdoorFirewallLog'
- لشبكة تسليم المحتوى: "AzureCdnAccessLog"
- حدد حفظ.
في الصفحة الرئيسية لـ Azure، اكتب Microsoft Sentinel في شريط البحث وحدد مورد Microsoft Sentinel.
حدد مساحة عمل نشطة بالفعل، أو أنشئ مساحة عمل جديدة.
في Microsoft Sentinel، ضمن إدارة المحتوى، حدد مركز المحتوى.
ابحث عن حل Azure Web Application Firewall وحدده.
في شريط الأدوات أعلى الصفحة، حدد تثبيت/تحديث.
في Microsoft Sentinel، على الجانب الأيسر ضمن Configuration، حدد Data Connectors.
ابحث عن Azure Web Application Firewall (WAF) وحدده. حدد فتح صفحة الموصل في أسفل اليمين.
اتبع الإرشادات الموجودة ضمن التكوين لكل مورد من موارد جدار حماية تطبيقات الويب تريد الحصول على بيانات تحليلية لسجلاته إذا لم تكن قد فعلت ذلك مسبقًا.
بمجرد الانتهاء من تكوين الموارد الفردية لجدار حماية تطبيقات الويب، حدد علامة التبويب الخطوات التالية. حدد أحد المصنفات الموصى بها. سيستخدم هذا المصنف جميع بيانات تحليل السجل التي تم تمكينها مسبقًا. يُفترض أن يوجد الآن مصنف جدار حماية تطبيقات الويب قيد العمل لمواردك الخاصة بجدار حماية تطبيقات الويب.
الكشف عن التهديدات والاستجابة لها تلقائيا
باستخدام سجلات WAF التي تم استيعابها في Sentinel، يمكنك استخدام قواعد تحليلات Sentinel للكشف تلقائيا عن الهجمات الأمنية وإنشاء حادث أمني والاستجابة تلقائيا للحوادث الأمنية باستخدام أدلة المبادئ. تعرف على المزيد استخدام أدلة المبادئ مع قواعد التشغيل التلقائي في Microsoft Sentinel.
يأتي Azure WAF أيضا مع قوالب قواعد الكشف عن Sentinel المضمنة لهجمات SQLi وXSS وLog4J. يمكن العثور على هذه القوالب ضمن علامة التبويب Analytics في قسم "قوالب القواعد" في Sentinel. يمكنك استخدام هذه القوالب أو تحديد القوالب الخاصة بك استنادا إلى سجلات WAF.
يمكن أن يساعدك قسم التنفيذ التلقائي في هذه القواعد على الاستجابة تلقائيا للحادث عن طريق تشغيل دليل المبادئ. يمكن العثور على مثال على دليل المبادئ هذا للرد على الهجوم في مستودع GitHub لأمان الشبكة هنا. ينشئ دليل المبادئ هذا تلقائيا قواعد مخصصة لنهج WAF لحظر عناوين IP المصدر للمهاجم كما تم اكتشافها بواسطة قواعد الكشف عن تحليلات WAF.