Détection et réponse automatisées pour Azure WAF avec Microsoft Sentinel

Les attaquants malveillants ciblent de plus en plus les applications Web en exploitant des vulnérabilités connues telles que l’injection SQL et le Cross-site scripting. La prévention de ces attaques dans le code de l’application pose un défi, nécessitant une maintenance, des correctifs et une surveillance rigoureux à plusieurs niveaux de la topologie de l’application. Une solution de pare-feu d’applications Web (WAF) peut réagir plus rapidement à une menace de sécurité en corrigeant de manière centralisée une vulnérabilité connue, au lieu de sécuriser chaque application Web individuelle. Le pare-feu d’applications web Azure (WAF) est un service cloud natif qui protège les applications web contre les techniques courantes de piratage web. Vous pouvez déployer ce service en quelques minutes pour obtenir une visibilité complète sur le trafic de l’application Web et bloquer les attaques Web malveillantes.

L’intégration d’Azure WAF à Microsoft Sentinel (une solution SIEM/SOAR native du cloud) pour la détection et la réponse automatisées aux menaces/incidents/alertes est un avantage supplémentaire et réduit l’intervention manuelle nécessaire à la mise à jour de la politique WAF.

Dans cet article, vous allez découvrir les modèles de détection WAF dans Sentinel, déployer un playbook et configurer la détection et la réponse dans Sentinel à l’aide de ces modèles et du playbook.

Conditions préalables

• Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
• Un déploiement Azure Front Door avec une stratégie WAF associée. Pour plus d’informations, consultez Démarrage rapide : Créer un Front Door Standard/Premium à l’aide d’un modèle ARM et Tutoriel : Créer une stratégie WAF sur Azure Front Door à l’aide du portail Azure.
• Azure Front Door configuré pour capturer les journaux d’activité dans un espace de travail Log Analytics. Pour plus d’informations, consultez Configurer les journaux d’activité d’Azure Front Door.

Déployer le playbook

Vous installez un playbook Sentinel nommé Block-IPAzureWAF à partir d’un modèle sur GitHub. Ce playbook s’exécute en réponse aux incidents WAF. L’objectif est de créer ou de modifier une règle personnalisée dans une stratégie WAF pour bloquer les demandes provenant d’une certaine adresse IP. Pour ce faire, utilisez l’API REST Azure.

Vous installez le playbook à partir d’un modèle sur GitHub.

1. Accédez au référentiel GitHub et sélectionnez Déployer sur Azure pour lancer le modèle.
2. Renseignez les paramètres requis. Vous pouvez obtenir votre ID Front Door à partir du portail Azure. L’ID Front Door est l’ID de ressource de la ressource Front Door.
3. Sélectionnez Vérifier + créer, puis Créer.

Autoriser la connexion API

Une connexion API nommée azuresentinel-Block-IPAzureWAF est créée dans le cadre de ce déploiement. Vous devez l’autoriser à l’aide de votre ID Azure pour permettre au playbook d’apporter des modifications à votre stratégie WAF.

1. Dans le portail Azure, sélectionnez la connexion à l’API azuresentinel-Block-IPAzureWAF .
2. Sélectionnez Modifier la connexion d’API.
3. Sous Nom d’affichage, tapez votre ID Azure.
4. Sélectionnez Autoriser.
5. Cliquez sur Enregistrer.

Configurer l’attribution du rôle Contributeur

Le playbook doit disposer des autorisations nécessaires pour interroger et modifier la stratégie WAF existante via l’API REST. Vous pouvez attribuer au playbook une identité managée attribuée par le système avec des autorisations de contributeur sur la ressource Front Door, ainsi que ses stratégies WAF associées. Vous ne pouvez attribuer des autorisations que si votre compte a reçu des rôles Propriétaire ou Administrateur de l’accès utilisateur à la ressource sous-jacente.

Cela peut être fait à l’aide de la section IAM de la ressource correspondante en ajoutant une nouvelle attribution de rôle à ce playbook.

1. Dans le portail Azure, sélectionnez la ressource Front Door.
2. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) .
3. Sélectionnez Attributions de rôles.
4. Sélectionnez Ajouter, puis Ajouter une attribution de rôle.
5. Sélectionnez Rôles d’administrateur privilégiés.
6. Sélectionnez Contributeur , puis Suivant.
7. Sélectionnez Sélectionner des membres.
8. Recherchez et sélectionnez Block-IPAzureWAF. Il peut y avoir plusieurs entrées pour ce playbook. Celui que vous avez récemment ajouté, généralement le dernier de la liste.
9. Sélectionnez Block-IPAzureWAF et sélectionnez Sélectionner.
10. Sélectionnez Vérifier + attribuer.

Répétez cette procédure pour la ressource de stratégie WAF.

Ajouter Microsoft Sentinel à votre espace de travail

1. Dans le portail Azure, recherchez, puis ouvrez Microsoft Sentinel.
2. Cliquez sur Créer.
3. Sélectionnez votre espace de travail, puis Ajouter.

Configurer l’attribution du rôle Contributeur d’application logique

Votre compte doit disposer d’autorisations de propriétaire sur tout groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel, et vous devez disposer du rôle Contributeur d’application logique sur tout groupe de ressources contenant des playbooks que vous souhaitez exécuter.

1. Dans le portail Azure, sélectionnez le groupe de ressources qui contient le playbook.
2. Dans le volet de gauche, sélectionnez Contrôle d’accès (IAM) .
3. Sélectionnez Attributions de rôles.
4. Sélectionnez Ajouter, puis Ajouter une attribution de rôle.
5. Sélectionnez l'option de recherche pour Logic App Contributor, puis sélectionnez-le, et enfin cliquez sur Suivant.
6. Sélectionnez Sélectionner des membres.
7. Recherchez votre compte et sélectionnez-le.
8. Sélectionnez Sélectionner.
9. Cliquez sur Suivant.
10. Sélectionnez Vérifier + attribuer.

Configurer la détection et la réponse

Il existe des modèles de requête de détection pour les attaques SQLi et XSS dans Sentinel pour Azure WAF. Vous pouvez télécharger ces modèles à partir du hub de contenu. À l’aide de ces modèles, vous pouvez créer des règles analytiques qui détectent des types spécifiques de modèles d’attaque dans les journaux WAF et en informer l’analyste de sécurité en créant un incident. La section d’automatisation de ces règles peut vous aider à répondre à cet incident en bloquant l’adresse IP source de l’attaquant sur la politique WAF, qui bloque ensuite les attaques ultérieures à partir de ces adresses IP sources. Microsoft s’efforce en permanence d’inclure davantage de modèles de détection pour davantage de scénarios de détection et de réponse.

Installer les modèles

1. À partir de Microsoft Sentinel, sous Configuration dans le volet gauche, sélectionnez Analyses.
2. En haut de la page, sélectionnez Plus de contenu dans le hub de contenu.
3. Recherchez Azure Web Application Firewall, sélectionnez-le, puis sélectionnez Installer.

Créer une règle analytique

1. À partir de Microsoft Sentinel, sous Configuration dans le volet gauche, sélectionnez Analyses.

2. Sélectionnez Modèles de règles. L’affichage des modèles peut prendre quelques minutes.

3. Sélectionnez le modèle WAF Front Door Premium - Détection SQLi.

4. Dans le volet droit, sélectionnez Créer une règle.

5. Acceptez tous les paramètres par défaut et passez à la réponse automatique. Vous pouvez modifier ces paramètres ultérieurement pour personnaliser la règle.

   Conseil / Astuce

   Si vous voyez une erreur dans la requête de règle, cela peut être dû au fait que vous n’avez pas de journaux d’activité WAF dans votre espace de travail. Vous pouvez générer certains journaux d’activité en envoyant le trafic de test à votre application web. Par exemple, vous pouvez simuler une attaque SQLi en envoyant une requête comme celle-ci : http://x.x.x.x/?text1=%27OR%27%27=%27. Remplacez-la x.x.x.x par l’URL de votre porte d’entrée.

6. Sur la page Réponse automatique , sélectionnez Ajouter.

7. Sur la page Créer une règle d’automatisation , tapez un nom pour la règle.

8. Sous Déclencheur, sélectionnez Lors de la création de l’alerte.

9. Sous Actions, sélectionnez Gérer les autorisations du playbook.

10. Sur la page Gérer les autorisations , sélectionnez votre groupe de ressources, puis sélectionnez Appliquer.

11. De retour sur la page Créer une règle d’Automation, sous Actions sélectionnez le playbook Block-IPAzureWAF dans la liste déroulante.

12. Sélectionnez Appliquer.

13. Sélectionnez Suivant : Vérifier + créer.

14. Cliquez sur Enregistrer.

Une fois que la règle analytique est créée avec les paramètres de règle d’automatisation respectifs, vous êtes maintenant prêt pour la détection et la réponse. Le flux d’événements suivant se produit lors d’une attaque :

• Azure WAF journalise le trafic lorsqu’un attaquant tente de cibler l’une des applications web qui se cachent derrière. Sentinel ingère ensuite ces journaux.
• La règle Analyse/Détection que vous avez configurée détecte le modèle de cette attaque et génère un incident pour en informer un analyste.
• La règle d’automatisation qui fait partie de la règle analytique déclenche le playbook respectif que vous avez configuré précédemment.
• Le playbook crée une règle personnalisée appelée SentinelBlockIP dans la stratégie WAF respective, qui inclut l’adresse IP source de l’attaquant.
• WAF bloque les tentatives d’attaque ultérieures et, si l’attaquant tente d’utiliser une autre adresse IP source, il ajoute l’adresse IP source correspondante à la règle de blocage.

Un point important est que, par défaut, Azure WAF bloque toutes les attaques web malveillantes à l’aide de l’ensemble de règles de base du moteur Azure WAF. Toutefois, cette configuration de détection et de réponse automatisée renforce encore la sécurité en modifiant ou en ajoutant de nouvelles règles de blocage personnalisées sur la stratégie Azure WAF pour les adresses IP sources respectives. Cela garantit que le trafic provenant de ces adresses IP sources est bloqué avant même d’atteindre l’ensemble de règles du moteur Azure WAF.

Contenu connexe

• Utilisation de Microsoft Sentinel avec le pare-feu d’applications web Azure