Automatizált észlelés és válasz az Azure WAF-hoz a Microsoft Sentinellel

A rosszindulatú támadók egyre gyakrabban célozzák meg a webalkalmazásokat olyan általánosan ismert biztonsági rések kihasználásával, mint az SQL-injektálás és a webhelyek közötti szkriptelés. Az alkalmazáskódban lévő támadások megelőzése kihívást jelent, és szigorú karbantartást, javítást és monitorozást igényel az alkalmazástopológia több rétegében. A webalkalmazási tűzfal (WAF) megoldás gyorsabban reagálhat a biztonsági fenyegetésekre az ismert biztonsági rések központi javításával, ahelyett, hogy az egyes webalkalmazásokat biztonságossá tenné. Az Azure Web Application Firewall (WAF) egy natív felhőszolgáltatás, amely megvédi a webalkalmazásokat a gyakori webes hackelési technikáktól. Ezt a szolgáltatást percek alatt üzembe helyezheti, hogy teljes betekintést nyerjen a webalkalmazások forgalmába, és blokkolja a rosszindulatú webes támadásokat.

Az Azure WAF és a Microsoft Sentinel (natív felhőalapú SIEM/SOAR-megoldás) integrálása a fenyegetések/incidensek/riasztások automatikus észleléséhez és az azokra való reagáláshoz további előnyt jelent, és csökkenti a WAF-szabályzat frissítéséhez szükséges manuális beavatkozást.

Ebből a cikkből megtudhatja, hogyan ismerheti meg a WAF-észlelési sablonokat a Sentinelben, üzembe helyezhet egy forgatókönyvet, és konfigurálhatja az észlelést és a választ a Sentinelben ezekkel a sablonokkal és a forgatókönyvvel.

Előfeltételek

• Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
• Az Azure Ügyfélkapu-telepítés egy hozzá rendelt WAF-irányelvvel. További információ: Rövid útmutató: Standard/Prémium szintű bejárati ajtó létrehozása ARM-sablon használatával és Oktatóanyag: WAF-szabályzat létrehozása az Azure Front Doorban a Azure Portal.
• Egy Azure Front Door, amely naplók rögzítésére van konfigurálva egy Log Analytics-munkaterületen. További információ: Azure Front Door-naplók konfigurálása.

A forgatókönyv üzembe helyezése

Telepít egy Block-IPAzureWAF nevű Sentinel-forgatókönyvet egy sablonból a GitHubon. Ez a forgatókönyv a WAF-incidensekre adott válaszként fut. A cél egy egyéni szabály létrehozása vagy módosítása egy WAF-szabályzatban, amely blokkolja az adott IP-címről érkező kéréseket. Ez az Azure REST API használatával érhető el.

A forgatókönyvet egy sablonból telepítheti a GitHubon.

1. Nyissa meg a GitHub-adattárat, és válassza az Üzembe helyezés az Azure-ban lehetőséget a sablon elindításához.
2. Adja meg a szükséges paramétereket. Az Azure portálról megszerezheti a Front Door ID azonosítóját. A bejárati ajtó azonosítója a bejárati ajtó erőforrás-azonosítója.
3. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

Az API-kapcsolat engedélyezése

Az üzembe helyezés részeként létrejön egy azuresentinel-Block-IPAzureWAF nevű API-kapcsolat. Engedélyeznie kell az Azure-azonosítójával, hogy a playbook módosításokat hajtson végre a WAF-szabályzaton.

1. Az Azure Portalban válassza ki az azuresentinel-Block-IPAzureWAF API-kapcsolatot.
2. Válassza az API-kapcsolat szerkesztése lehetőséget.
3. A Megjelenítendő név alatt írja be az Azure-azonosítóját.
4. Válassza az Engedélyezés lehetőséget.
5. Válassza az Mentésgombot.

A közreműködői szerepkör-hozzárendelés konfigurálása

A forgatókönyvnek rendelkeznie kell a meglévő WAF-szabályzat lekérdezéséhez és módosításához szükséges engedélyekkel a REST API-n keresztül. A forgatókönyvhöz hozzárendelhet egy rendszer által hozzárendelt felügyelt identitást, amely közreműködői engedélyekkel rendelkezik a bejárati ajtó erőforráshoz, valamint a hozzájuk tartozó WAF-szabályzatokhoz. Csak akkor rendelhet engedélyeket, ha a fiókhoz tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkör van hozzárendelve a mögöttes erőforráshoz.

Ezt a megfelelő erőforrás IAM szakaszában teheti meg, ha új szerepkör-hozzárendelést ad hozzá ehhez a forgatókönyvhöz.

1. A Azure Portal válassza ki a Front Door erőforrást.
2. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelések lehetőséget.
4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
5. Válassza a Kiemelt rendszergazdai szerepkörök lehetőséget.
6. Válassza a Közreműködő, majd a Tovább lehetőséget.
7. Válassza a Tagok kijelölése lehetőséget.
8. Keresse meg a Block-IPAzureWAF kifejezést, és válassza ki. Lehet, hogy több bejegyzés is van ehhez a forgatókönyvhöz. A nemrégiben hozzáadott általában az utolsó a listán.
9. Válassza a Block-IPAzureWAF lehetőséget, majd válassza a Kiválasztás lehetőséget.
10. Válassza az Áttekintés + hozzárendelés lehetőséget.

Ismételje meg ezt az eljárást a WAF-szabályzaterőforrás esetében.

A Microsoft Sentinel hozzáadása a munkaterülethez

1. Az Azure portálon keresse meg, majd nyissa meg a Microsoft Sentinelt.
2. Válassza a Create gombot.
3. Válassza ki a munkaterületet, majd válassza a Hozzáadás lehetőséget.

A logikai alkalmazás közreműködője szerepkör-hozzárendelés konfigurálása

A fióknak tulajdonosi engedélyekkel kell rendelkeznie minden olyan erőforráscsoporthoz, amelyhez Microsoft Sentinel-engedélyeket szeretne adni, és a logikai alkalmazás közreműködői szerepkörrel kell rendelkeznie minden futtatni kívánt forgatókönyvet tartalmazó erőforráscsoportban.

1. Az Azure portálon válassza ki azt az erőforráscsoportot, amely tartalmazza a playbookot.
2. A bal oldali panelen válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
3. Válassza a Szerepkör-hozzárendelések lehetőséget.
4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
5. Válassza a Logic App Contributor keresése lehetőséget, válassza ki, majd kattintson a Tovább gombra.
6. Válassza a Tagok kijelölése lehetőséget.
7. Keresd meg a fiókodat, és válaszd ki.
8. Válassza Válassza.
9. Válassza a Következőlehetőséget.
10. Válassza az Áttekintés + hozzárendelés lehetőséget.

Észlelés és válasz konfigurálása

Az Azure WAF-hoz készült Sentinelben észlelési lekérdezési sablonok találhatók az SQLi- és XSS-támadásokhoz. Ezeket a sablonokat a Tartalomközpontból töltheti le. Ezekkel a sablonokkal olyan elemzési szabályokat hozhat létre, amelyek észlelik a WAF-naplók adott típusú támadási mintáit, és incidens létrehozásával tovább értesítik a biztonsági elemzőt. A szabályok automatizálási szakasza segíthet az incidensre való reagálásban azáltal, hogy blokkolja a támadó forrás IP-címét a WAF-szabályzatban, amely ezután előre leállítja a későbbi támadásokat ezekről a forrás IP-címekről. A Microsoft folyamatosan dolgozik azon, hogy további észlelési sablonokat tartalmazzon a további észlelési és válaszadási forgatókönyvekhez.

A sablonok telepítése

1. A Microsoft Sentinelben a bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.
2. Az oldal tetején válassza a További tartalom a Tartalomközpontban lehetőséget.
3. Keressen rá az Azure Web Application Firewall kifejezésre, válassza ki, majd válassza a Telepítés lehetőséget.

Elemzési szabály létrehozása

1. A Microsoft Sentinelben a bal oldali panel Konfiguráció területén válassza az Elemzés lehetőséget.

2. Válassza a Szabálysablonok lehetőséget. A sablonok megjelenése eltarthat néhány percig.

3. Válassza ki a Front Door Premium WAF – SQLi észlelési sablont.

4. A jobb oldali panelen válassza a Szabály létrehozása lehetőséget.

5. Fogadja el az összes alapértelmezett beállítást, és folytassa az Automatikus válasz című témakörrel. Ezeket a beállításokat később szerkesztheti a szabály testreszabásához.

   Jótanács

   Ha hibát lát a szabálylekérdezésben, annak az lehet az oka, hogy nincs WAF-napló a munkaterületen. Néhány naplót úgy hozhat létre, hogy tesztforgalmat küld a webalkalmazásnak. Szimulálhat például egy SQLi-támadást az alábbihoz hasonló kérés küldésével: http://x.x.x.x/?text1=%27OR%27%27=%27. Cserélje le a x.x.x.x elemet az Ön Front Door URL-címére.

6. Az Automatikus válasz lapon válassza az Új hozzáadása lehetőséget.

7. Az Új automatizálási szabály létrehozása lapon írja be a szabály nevét.

8. Az Eseményindító alatt válassza a Riasztás létrehozásakor lehetőséget.

9. A Műveletek alatt válassza a Forgatókönyv-engedélyek kezelése lehetőséget.

10. Az Engedélyek kezelése lapon válassza ki az erőforráscsoportot, majd válassza az Alkalmaz lehetőséget.

11. Az Új automatizálási szabály létrehozása lapon, a Műveletek alatt válassza ki a Block-IPAzureWAF forgatókönyvet a legördülő listából.

12. Válassza az Alkalmazás lehetőséget.

13. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

14. Válassza az Mentésgombot.

Miután létrehozta az elemzési szabályt a megfelelő automatizálási szabály beállításaival, készen áll az észlelésre és a válaszra. A következő eseményfolyam történik a támadás során:

• Az Azure WAF naplózza a forgalmat, amikor egy támadó megpróbálja megcélozni a mögötte lévő webalkalmazások egyikét. A Sentinel betölti ezután ezeket a naplókat.
• A konfigurált elemzési/észlelési szabály észleli a támadás mintáját, és incidenst hoz létre az elemző értesítéséhez.
• Az elemzési szabály részét képező automatizálási szabály aktiválja a korábban konfigurált megfelelő forgatókönyvet.
• A forgatókönyv létrehoz egy SentinelBlockIP nevű egyéni szabályt a megfelelő WAF-szabályzatban, amely tartalmazza a támadó forrás IP-címét.
• A WAF blokkolja a későbbi támadási kísérleteket, és ha a támadó másik forrás IP-címet próbál használni, hozzáfűzi a megfelelő forrás IP-címet a blokkolási szabályhoz.

Fontos szempont, hogy alapértelmezés szerint az Azure WAF blokkolja a rosszindulatú webes támadásokat az Azure WAF motor alapvető szabálykészletének segítségével. Ez az automatizált észlelési és válaszkonfiguráció azonban tovább növeli a biztonságot azáltal, hogy módosítja vagy új egyéni blokkszabályokat ad hozzá az Azure WAF-szabályzathoz a megfelelő forrás IP-címekhez. Ez biztosítja, hogy az ezekről a forrás IP-címekről érkező forgalom blokkolva legyen, mielőtt az elérné az Azure WAF motor szabálykészletét.

Kapcsolódó tartalom

• A Microsoft Sentinel használata az Azure Web Application Firewall szolgáltatással