Automatikus észlelés és válasz az Azure WAF-hez a Microsoft Sentinellel

A rosszindulatú támadók egyre inkább webalkalmazásokat céloznak meg az olyan gyakran ismert biztonsági rések kihasználásával, mint az SQL-injektálás és a helyek közötti szkriptelés. Ezeknek a támadásoknak az alkalmazáskódban való megakadályozása kihívást jelent, amely szigorú karbantartást, javítást és monitorozást igényel az alkalmazástopológia több rétegében. A webalkalmazási tűzfal (WAF)-megoldások gyorsabban reagálhatnak a biztonsági fenyegetésekre, ha központilag kijavítanak egy ismert biztonsági rést az egyes webalkalmazások védelme helyett. Az Azure Web Application Firewall (WAF) egy natív felhőszolgáltatás, amely védi a webalkalmazásokat a gyakori web hackelési technikáktól. Ezt a szolgáltatást percek alatt üzembe helyezheti, hogy teljes betekintést nyerjen a webalkalmazások forgalmába, és letiltsa a rosszindulatú webes támadásokat.

Az Azure WAF és a Microsoft Sentinel (felhőalapú natív SIEM/SOAR-megoldás) integrálása a fenyegetésekre/incidensekre/riasztásokra való automatikus észleléshez és reagáláshoz további előnyt jelent, és csökkenti a WAF-szabályzat frissítéséhez szükséges manuális beavatkozást.

Ebben a cikkben megismerheti a WAF-észlelési sablonokat a Sentinelben, üzembe helyezhet egy forgatókönyvet, és konfigurálhatja az észlelést és a választ a Sentinelben ezekkel a sablonokkal és a forgatókönyvvel.

Előfeltételek

• Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
• Azure Front Door-üzembe helyezés egy társított WAF-szabályzattal. További információ : Rövid útmutató: Front Door Standard/Premium létrehozása ARM-sablonnal, oktatóanyag : WAF-szabályzat létrehozása az Azure Front Dooron az Azure Portal használatával.
• Egy Log Analytics-munkaterület naplóinak rögzítésére konfigurált Azure Front Door. További információ: Azure Front Door-naplók konfigurálása.

A forgatókönyv üzembe helyezése

Egy Block-IPAzureWAF nevű Sentinel-forgatókönyvet telepít egy GitHub-sablonból. Ez a forgatókönyv WAF-incidensekre reagálva fut. A cél egy egyéni szabály létrehozása vagy módosítása egy WAF-házirendben, hogy letiltsa a kéréseket egy bizonyos IP-címről. Ez az Azure REST API használatával történik.

A forgatókönyvet sablonból telepítheti a GitHubon.

1. Nyissa meg a GitHub-adattárat , és válassza az Üzembe helyezés az Azure-ban lehetőséget a sablon elindításához.
2. Adja meg a szükséges paramétereket. A Front Door-azonosítót az Azure Portalon szerezheti be. A Front Door-azonosító a Front Door-erőforrás erőforrás-azonosítója.
3. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

API-kapcsolat engedélyezése

Az üzembe helyezés részeként létrejön egy azuresentinel-Block-IPAzureWAF nevű API-kapcsolat. Ahhoz, hogy a forgatókönyv módosításokat hajthasson végre a WAF-szabályzaton, engedélyeznie kell azt az Azure-azonosítójával.

1. Az Azure Portalon válassza ki az azuresentinel-Block-IPAzureWAF API-kapcsolatot.
2. Válassza az API-kapcsolat szerkesztése lehetőséget.
3. A Megjelenítendő név mezőbe írja be az Azure-azonosítót.
4. Válassza az Engedélyezés lehetőséget.
5. Válassza a Mentés parancsot.

A közreműködői szerepkör-hozzárendelés konfigurálása

A forgatókönyvnek rendelkeznie kell a meglévő WAF-szabályzat REST API-n keresztüli lekérdezéséhez és módosításához szükséges engedélyekkel. A forgatókönyvhöz hozzárendelhet egy rendszer által hozzárendelt felügyelt identitást, amely közreműködői engedélyekkel rendelkezik a Front Door-erőforráson a hozzájuk tartozó WAF-szabályzatokkal együtt. Engedélyeket csak akkor rendelhet hozzá, ha a fiókjához tulajdonosi vagy felhasználói hozzáférés-Rendszergazda istrator szerepköröket rendelt a mögöttes erőforráshoz.

Ezt a megfelelő erőforrás IAM szakaszával teheti meg, ha hozzáad egy új szerepkör-hozzárendelést ehhez a forgatókönyvhöz.

1. Az Azure Portalon válassza ki a Front Door erőforrást.
2. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelések lehetőséget.
4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
5. Válassza ki a kiemelt rendszergazdai szerepköröket.
6. Válassza a Közreműködő, majd a Tovább gombot.
7. Válassza a Tagok kijelölése lehetőséget.
8. Keressen rá a Block-IPAzureWAF kifejezésre, és válassza ki. Ennek a forgatókönyvnek több bejegyzése is lehet. A legutóbb hozzáadott fájl általában az utolsó a listában.
9. Válassza a Block-IPAzureWAF lehetőséget, és válassza a Kiválasztás lehetőséget.
10. Válassza az Áttekintés + hozzárendelés lehetőséget.

Ismételje meg ezt az eljárást a WAF-házirend-erőforrás esetében.

A Microsoft Sentinel hozzáadása a munkaterülethez

1. Az Azure Portalon keresse meg, majd nyissa meg a Microsoft Sentinelt.
2. Select Create.
3. Jelölje ki a munkaterületet, majd válassza a Hozzáadás lehetőséget.

A Logikai alkalmazás közreműködői szerepkör-hozzárendelésének konfigurálása

A fiókjának tulajdonosi engedélyekkel kell rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és rendelkeznie kell a Logikai alkalmazás közreműködői szerepkörével minden olyan erőforráscsoporton, amely forgatókönyveket tartalmaz.

1. Az Azure Portalon válassza ki a forgatókönyvet tartalmazó erőforráscsoportot.
2. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelések lehetőséget.
4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
5. Válassza a logikai alkalmazás közreműködője keresését, jelölje ki, majd válassza a Tovább lehetőséget.
6. Válassza a Tagok kijelölése lehetőséget.
7. Keresse meg a fiókját, és válassza ki.
8. Válassza a Kiválasztás lehetőséget.
9. Válassza a Következő lehetőséget.
10. Válassza az Áttekintés + hozzárendelés lehetőséget.

Észlelés és válasz konfigurálása

Az Azure WAF-hez készült Sentinelben vannak észlelési lekérdezéssablonok az SQLi- és XSS-támadásokhoz. Ezeket a sablonokat a Content Hubról töltheti le. Ezen sablonok használatával elemzési szabályokat hozhat létre, amelyek a WAF-naplókban meghatározott típusú támadási mintákat észlelnek, és incidens létrehozásával további értesítést küldenek a biztonsági elemzőnek. A szabályok automatizálási szakasza segíthet az incidensre való reagálásban azáltal, hogy blokkolja a támadó forrás IP-címét a WAF-házirendben, amely ezután leállítja a későbbi támadásokat ezekről a forrás IP-címekről. A Microsoft folyamatosan dolgozik azon, hogy több észlelési sablont tartalmazzon a további észlelési és válaszforgatókönyvekhez.

A sablonok telepítése

1. A Microsoft Sentinel bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.
2. A lap tetején válassza a Tartalomközpont További tartalmak elemét.
3. Keresse meg az Azure Web Application Firewallot, jelölje ki, majd válassza a Telepítés lehetőséget.

Elemzési szabály létrehozása

1. A Microsoft Sentinel bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.

2. Válassza a Szabálysablonok lehetőséget. Eltarthat néhány percig, amíg a sablonok megjelennek.

3. Válassza ki a Front Door Premium WAF – SQLi Detection sablont .

4. A jobb oldali panelen válassza a Szabály létrehozása lehetőséget.

5. Fogadja el az összes alapértelmezett beállítást, és folytassa az automatizált válaszokkal. Ezeket a beállításokat később szerkesztheti a szabály testreszabásához.

   Tipp.

   Ha hibát lát a szabálylekérdezésben, annak az lehet az oka, hogy nem rendelkezik WAF-naplókkal a munkaterületen. Néhány naplót úgy hozhat létre, hogy tesztforgalmat küld a webalkalmazásnak. Például szimulálhat egy SQLi-támadást az alábbihoz hasonló kérés elküldésével: http://x.x.x.x/?text1=%27OR%27%27=%27. Cserélje le x.x.x.x a Front Door URL-címét.

6. Az Automatikus válasz lapon válassza az Új hozzáadása lehetőséget.

7. Az Új automatizálási szabály létrehozása lapon írja be a szabály nevét.

8. Az Eseményindító területen válassza a Riasztás létrehozásakor lehetőséget.

9. A Műveletek csoportban válassza a Forgatókönyv-engedélyek kezelése lehetőséget.

10. Az Engedélyek kezelése lapon válassza ki az erőforráscsoportot, és válassza az Alkalmaz lehetőséget.

11. Az Új automatizálási szabály létrehozása lap Műveletek területén válassza ki a Block-IPAzureWAF forgatókönyvet a legördülő listából.

12. Válassza az Alkalmaz lehetőséget.

13. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

14. Válassza a Mentés parancsot.

Miután létrehozta az elemzési szabályt a megfelelő Automation-szabálybeállításokkal, készen áll az észlelésre és a válaszra. A támadás során a következő eseményfolyam történik:

• Az Azure WAF naplózza a forgalmat, amikor egy támadó megkísérli megcélzni az egyik mögöttes webalkalmazást. Sentinel ezután betölti ezeket a naplókat.
• A konfigurált elemzési/észlelési szabály észleli a támadás mintáját, és incidenst hoz létre az elemző értesítéséhez.
• Az elemzési szabály részét képező automatizálási szabály aktiválja a korábban konfigurált forgatókönyvet.
• A forgatókönyv létrehoz egy SentinelBlockIP nevű egyéni szabályt a megfelelő WAF-szabályzatban, amely tartalmazza a támadó forrás IP-címét.
• A WAF blokkolja a későbbi támadási kísérleteket, és ha a támadó egy másik forrás IP-címet próbál használni, hozzáfűzi a megfelelő forrás IP-címet a blokkszabályhoz.

Fontos szempont, hogy az Azure WAF alapértelmezés szerint blokkolja a rosszindulatú webes támadásokat az Azure WAF-motor alapvető szabálykészletének segítségével. Ez az automatikus észlelési és válaszkonfiguráció azonban tovább növeli a biztonságot azáltal, hogy módosítja vagy új egyéni blokkszabályokat ad hozzá az Azure WAF-szabályzathoz a megfelelő forrás IP-címekhez. Ez biztosítja, hogy a forrás IP-címekről érkező forgalom le legyen tiltva, mielőtt az még az Azure WAF-motor szabálykészletébe ütközne.

Kapcsolódó tartalom

• A Microsoft Sentinel használata az Azure Web Application Firewall használatával