A Microsoft Sentinel használata az Azure Web Application Firewall

  • Cikk

Az Azure Web Application Firewall (WAF) és a Microsoft Sentinel együttes használata lehetővé teszi a WAF-erőforrások biztonsági információinak eseménykezelését. A Microsoft Sentinel biztonsági elemzéseket biztosít a Log Analytics használatával, amely lehetővé teszi a WAF-adatok egyszerű szétbontását és megtekintését. A Microsoft Sentinel használatával hozzáférhet az előre elkészített munkafüzetekhez, és a szervezet igényeinek megfelelően módosíthatja őket. A munkafüzet az Azure Content Delivery Network (CDN), a WAF az Azure Front Dooron, a WAF pedig Application Gateway több előfizetésben és munkaterületen is megjelenítheti a WAF elemzését.

WAF-naplóelemzési kategóriák

A WAF-naplóelemzések a következő kategóriákra vannak lebontva:

  • Minden VÉGREHAJTOTT WAF-művelet
  • A 40 letiltott kérelem URI-címe
  • Az 50 legfontosabb eseményindító,
  • Üzenetek idővel
  • Teljes üzenet részletei
  • Támadási események üzenetek szerint
  • Támadási események idővel
  • Nyomkövetési azonosító szűrője
  • Azonosítóüzenetek nyomon követése
  • Az első 10 támadó IP-cím
  • IP-címek támadási üzenetei

WAF-munkafüzetek – példák

Az alábbi WAF-munkafüzet-példák mintaadatokat mutatnak be:

WAF-műveletek szűrője

Az 50 legfontosabb esemény

Támadási események

Az első 10 támadó IP-cím

WAF-munkafüzet indítása

A WAF-munkafüzet az Összes Azure Front Door, Application Gateway és CDN WAF esetében működik. Mielőtt csatlakoztatni szeretné az adatokat ezekből az erőforrásokból, engedélyezni kell a log analytics használatát az erőforráson.

Ha engedélyezni szeretné az egyes erőforrások naplóelemzését, lépjen az egyéni Azure Front Door-, Application Gateway- vagy CDN-erőforrásra:

  1. Válassza a Diagnosztikai beállítások lehetőséget.

  2. Válassza a + Diagnosztikai beállítás hozzáadása elemet.

  3. A Diagnosztikai beállítás lapon:

    1. Adja meg a kívánt nevet.
    2. Válassza a Küldés a Log Analyticsbe lehetőséget.
    3. Válassza ki a napló cél munkaterületét.
    4. Válassza ki az elemezni kívánt naplótípusokat:
      1. Application Gateway: "ApplicationGatewayAccessLog" és "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" és "FrontDoorFirewallLog"
      3. Klasszikus Azure Front Door: "FrontdoorAccessLog" és "FrontdoorFirewallLog"
      4. CDN: "AzureCdnAccessLog"
    5. Kattintson a Mentés gombra.

    Diagnosztikai beállítás

  4. Az Azure kezdőlapján írja be a Microsoft Sentinel kifejezést a keresősávba, és válassza ki a Microsoft Sentinel erőforrást .

  5. Válasszon ki egy már aktív munkaterületet, vagy hozzon létre egy új munkaterületet.

  6. A Microsoft SentinelBen a Tartalomkezelés területen válassza a Tartalomközpont lehetőséget.

  7. Keresse meg és válassza ki az Azure Web Application Firewall megoldást.

  8. A lap tetején található eszköztáron válassza a Telepítés/frissítés lehetőséget.

  9. A Microsoft Sentinel bal oldalán, a Konfiguráció területen válassza az Adatösszekötők lehetőséget.

  10. Keresse meg és válassza az Azure Web Application Firewall (WAF) lehetőséget. Válassza az Összekötő megnyitása lap lehetőséget a jobb alsó sarokban.

    Képernyőkép a Microsoft Sentinel adatösszekötőjéről.

  11. Ha korábban még nem tette meg, kövesse az összes olyan WAF-erőforrás konfigurációja című szakasz utasításait, amelyekhez naplóelemzési adatokat szeretne kapni.

  12. Miután befejezte az egyes WAF-erőforrások konfigurálását, válassza a Következő lépések lapot. Válassza ki az ajánlott munkafüzetek egyikét. Ez a munkafüzet a korábban engedélyezett naplóelemzési adatokat fogja használni. A WAF-erőforrásokhoz már léteznie kell egy működő WAF-munkafüzetnek.

    WAF-munkafüzetek

Fenyegetések automatikus észlelése és megválaszolása

A Sentinel által betöltött WAF-naplók használatával a Sentinel elemzési szabályaival automatikusan észlelheti a biztonsági támadásokat, biztonsági incidenseket hozhat létre, és forgatókönyvek használatával automatikusan reagálhat a biztonsági incidensekre. További információ Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben.

Az Azure WAF beépített Sentinel-észlelési szabálysablonokkal is rendelkezik az SQLi-, XSS- és Log4J-támadásokhoz. Ezek a sablonok a Sentinel "Szabálysablonok" szakaszának Elemzés lapján találhatók. Ezeket a sablonokat használhatja, vagy saját sablonokat határozhat meg a WAF-naplók alapján.

WAF-észlelések

A szabályok automatizálási szakasza segíthet egy forgatókönyv futtatásával automatikusan reagálni az incidensre. A támadásra reagáló forgatókönyvre itt talál példát a hálózati biztonság GitHub-adattárában. Ez a forgatókönyv automatikusan létrehoz egy EGYÉNI WAF-szabályzatszabályokat a támadó forrás IP-címeinek blokkolásához, amint azt a WAF elemzési szabályai észlelik.

Következő lépések