Automatikus észlelés és válasz az Azure WAF-hez a Microsoft Sentinellel
A rosszindulatú támadók egyre inkább webalkalmazásokat céloznak meg az olyan gyakran ismert biztonsági rések kihasználásával, mint az SQL-injektálás és a helyek közötti szkriptelés. Ezeknek a támadásoknak az alkalmazáskódban való megakadályozása kihívást jelent, amely szigorú karbantartást, javítást és monitorozást igényel az alkalmazástopológia több rétegében. A webalkalmazási tűzfal (WAF)-megoldások gyorsabban reagálhatnak a biztonsági fenyegetésekre, ha központilag kijavítanak egy ismert biztonsági rést az egyes webalkalmazások védelme helyett. Az Azure Web Application Firewall (WAF) egy natív felhőszolgáltatás, amely védi a webalkalmazásokat a gyakori web hackelési technikáktól. Ezt a szolgáltatást percek alatt üzembe helyezheti, hogy teljes betekintést nyerjen a webalkalmazások forgalmába, és letiltsa a rosszindulatú webes támadásokat.
Az Azure WAF és a Microsoft Sentinel (felhőalapú natív SIEM/SOAR-megoldás) integrálása a fenyegetésekre/incidensekre/riasztásokra való automatikus észleléshez és reagáláshoz további előnyt jelent, és csökkenti a WAF-szabályzat frissítéséhez szükséges manuális beavatkozást.
Ebben a cikkben megismerheti a WAF-észlelési sablonokat a Sentinelben, üzembe helyezhet egy forgatókönyvet, és konfigurálhatja az észlelést és a választ a Sentinelben ezekkel a sablonokkal és a forgatókönyvvel.
Előfeltételek
- Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- Azure Front Door-üzembe helyezés egy társított WAF-szabályzattal. További információ : Rövid útmutató: Front Door Standard/Premium létrehozása ARM-sablonnal, oktatóanyag : WAF-szabályzat létrehozása az Azure Front Dooron az Azure Portal használatával.
- Egy Log Analytics-munkaterület naplóinak rögzítésére konfigurált Azure Front Door. További információ: Azure Front Door-naplók konfigurálása.
A forgatókönyv üzembe helyezése
Egy Block-IPAzureWAF nevű Sentinel-forgatókönyvet telepít egy GitHub-sablonból. Ez a forgatókönyv WAF-incidensekre reagálva fut. A cél egy egyéni szabály létrehozása vagy módosítása egy WAF-házirendben, hogy letiltsa a kéréseket egy bizonyos IP-címről. Ez az Azure REST API használatával történik.
A forgatókönyvet sablonból telepítheti a GitHubon.
- Nyissa meg a GitHub-adattárat , és válassza az Üzembe helyezés az Azure-ban lehetőséget a sablon elindításához.
- Adja meg a szükséges paramétereket. A Front Door-azonosítót az Azure Portalon szerezheti be. A Front Door-azonosító a Front Door-erőforrás erőforrás-azonosítója.
- Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.
API-kapcsolat engedélyezése
Az üzembe helyezés részeként létrejön egy azuresentinel-Block-IPAzureWAF nevű API-kapcsolat. Ahhoz, hogy a forgatókönyv módosításokat hajthasson végre a WAF-szabályzaton, engedélyeznie kell azt az Azure-azonosítójával.
- Az Azure Portalon válassza ki az azuresentinel-Block-IPAzureWAF API-kapcsolatot.
- Válassza az API-kapcsolat szerkesztése lehetőséget.
- A Megjelenítendő név mezőbe írja be az Azure-azonosítót.
- Válassza az Engedélyezés lehetőséget.
- Válassza a Mentés parancsot.
A közreműködői szerepkör-hozzárendelés konfigurálása
A forgatókönyvnek rendelkeznie kell a meglévő WAF-szabályzat REST API-n keresztüli lekérdezéséhez és módosításához szükséges engedélyekkel. A forgatókönyvhöz hozzárendelhet egy rendszer által hozzárendelt felügyelt identitást, amely közreműködői engedélyekkel rendelkezik a Front Door-erőforráson a hozzájuk tartozó WAF-szabályzatokkal együtt. Engedélyeket csak akkor rendelhet hozzá, ha a fiókjához tulajdonosi vagy felhasználói hozzáférés-Rendszergazda istrator szerepköröket rendelt a mögöttes erőforráshoz.
Ezt a megfelelő erőforrás IAM szakaszával teheti meg, ha hozzáad egy új szerepkör-hozzárendelést ehhez a forgatókönyvhöz.
- Az Azure Portalon válassza ki a Front Door erőforrást.
- A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
- Válassza a Szerepkör-hozzárendelések lehetőséget.
- Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
- Válassza ki a kiemelt rendszergazdai szerepköröket.
- Válassza a Közreműködő, majd a Tovább gombot.
- Válassza a Tagok kijelölése lehetőséget.
- Keressen rá a Block-IPAzureWAF kifejezésre, és válassza ki. Ennek a forgatókönyvnek több bejegyzése is lehet. A legutóbb hozzáadott fájl általában az utolsó a listában.
- Válassza a Block-IPAzureWAF lehetőséget, és válassza a Kiválasztás lehetőséget.
- Válassza az Áttekintés + hozzárendelés lehetőséget.
Ismételje meg ezt az eljárást a WAF-házirend-erőforrás esetében.
A Microsoft Sentinel hozzáadása a munkaterülethez
- Az Azure Portalon keresse meg, majd nyissa meg a Microsoft Sentinelt.
- Select Create.
- Jelölje ki a munkaterületet, majd válassza a Hozzáadás lehetőséget.
A Logikai alkalmazás közreműködői szerepkör-hozzárendelésének konfigurálása
A fiókjának tulajdonosi engedélyekkel kell rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és rendelkeznie kell a Logikai alkalmazás közreműködői szerepkörével minden olyan erőforráscsoporton, amely forgatókönyveket tartalmaz.
- Az Azure Portalon válassza ki a forgatókönyvet tartalmazó erőforráscsoportot.
- A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
- Válassza a Szerepkör-hozzárendelések lehetőséget.
- Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
- Válassza a logikai alkalmazás közreműködője keresését, jelölje ki, majd válassza a Tovább lehetőséget.
- Válassza a Tagok kijelölése lehetőséget.
- Keresse meg a fiókját, és válassza ki.
- Válassza a Kiválasztás lehetőséget.
- Válassza a Következő lehetőséget.
- Válassza az Áttekintés + hozzárendelés lehetőséget.
Észlelés és válasz konfigurálása
Az Azure WAF-hez készült Sentinelben vannak észlelési lekérdezéssablonok az SQLi- és XSS-támadásokhoz. Ezeket a sablonokat a Content Hubról töltheti le. Ezen sablonok használatával elemzési szabályokat hozhat létre, amelyek a WAF-naplókban meghatározott típusú támadási mintákat észlelnek, és incidens létrehozásával további értesítést küldenek a biztonsági elemzőnek. A szabályok automatizálási szakasza segíthet az incidensre való reagálásban azáltal, hogy blokkolja a támadó forrás IP-címét a WAF-házirendben, amely ezután leállítja a későbbi támadásokat ezekről a forrás IP-címekről. A Microsoft folyamatosan dolgozik azon, hogy több észlelési sablont tartalmazzon a további észlelési és válaszforgatókönyvekhez.
A sablonok telepítése
- A Microsoft Sentinel bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.
- A lap tetején válassza a Tartalomközpont További tartalmak elemét.
- Keresse meg az Azure Web Application Firewallot, jelölje ki, majd válassza a Telepítés lehetőséget.
Elemzési szabály létrehozása
A Microsoft Sentinel bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.
Válassza a Szabálysablonok lehetőséget. Eltarthat néhány percig, amíg a sablonok megjelennek.
Válassza ki a Front Door Premium WAF – SQLi Detection sablont .
A jobb oldali panelen válassza a Szabály létrehozása lehetőséget.
Fogadja el az összes alapértelmezett beállítást, és folytassa az automatizált válaszokkal. Ezeket a beállításokat később szerkesztheti a szabály testreszabásához.
Tipp.
Ha hibát lát a szabálylekérdezésben, annak az lehet az oka, hogy nem rendelkezik WAF-naplókkal a munkaterületen. Néhány naplót úgy hozhat létre, hogy tesztforgalmat küld a webalkalmazásnak. Például szimulálhat egy SQLi-támadást az alábbihoz hasonló kérés elküldésével:
http://x.x.x.x/?text1=%27OR%27%27=%27
. Cserélje lex.x.x.x
a Front Door URL-címét.Az Automatikus válasz lapon válassza az Új hozzáadása lehetőséget.
Az Új automatizálási szabály létrehozása lapon írja be a szabály nevét.
Az Eseményindító területen válassza a Riasztás létrehozásakor lehetőséget.
A Műveletek csoportban válassza a Forgatókönyv-engedélyek kezelése lehetőséget.
Az Engedélyek kezelése lapon válassza ki az erőforráscsoportot, és válassza az Alkalmaz lehetőséget.
Az Új automatizálási szabály létrehozása lap Műveletek területén válassza ki a Block-IPAzureWAF forgatókönyvet a legördülő listából.
Válassza az Alkalmaz lehetőséget.
Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.
Válassza a Mentés parancsot.
Miután létrehozta az elemzési szabályt a megfelelő Automation-szabálybeállításokkal, készen áll az észlelésre és a válaszra. A támadás során a következő eseményfolyam történik:
- Az Azure WAF naplózza a forgalmat, amikor egy támadó megkísérli megcélzni az egyik mögöttes webalkalmazást. Sentinel ezután betölti ezeket a naplókat.
- A konfigurált elemzési/észlelési szabály észleli a támadás mintáját, és incidenst hoz létre az elemző értesítéséhez.
- Az elemzési szabály részét képező automatizálási szabály aktiválja a korábban konfigurált forgatókönyvet.
- A forgatókönyv létrehoz egy SentinelBlockIP nevű egyéni szabályt a megfelelő WAF-szabályzatban, amely tartalmazza a támadó forrás IP-címét.
- A WAF blokkolja a későbbi támadási kísérleteket, és ha a támadó egy másik forrás IP-címet próbál használni, hozzáfűzi a megfelelő forrás IP-címet a blokkszabályhoz.
Fontos szempont, hogy az Azure WAF alapértelmezés szerint blokkolja a rosszindulatú webes támadásokat az Azure WAF-motor alapvető szabálykészletének segítségével. Ez az automatikus észlelési és válaszkonfiguráció azonban tovább növeli a biztonságot azáltal, hogy módosítja vagy új egyéni blokkszabályokat ad hozzá az Azure WAF-szabályzathoz a megfelelő forrás IP-címekhez. Ez biztosítja, hogy a forrás IP-címekről érkező forgalom le legyen tiltva, mielőtt az még az Azure WAF-motor szabálykészletébe ütközne.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: