A Microsoft Sentinel használata az Azure Web Application Firewall
Az Azure Web Application Firewall (WAF) és a Microsoft Sentinel együttes használata lehetővé teszi a WAF-erőforrások biztonsági információinak eseménykezelését. A Microsoft Sentinel biztonsági elemzéseket biztosít a Log Analytics használatával, amely lehetővé teszi a WAF-adatok egyszerű szétbontását és megtekintését. A Microsoft Sentinel használatával hozzáférhet az előre elkészített munkafüzetekhez, és a szervezet igényeinek megfelelően módosíthatja őket. A munkafüzet az Azure Content Delivery Network (CDN), a WAF az Azure Front Dooron, a WAF pedig Application Gateway több előfizetésben és munkaterületen is megjelenítheti a WAF elemzését.
WAF-naplóelemzési kategóriák
A WAF-naplóelemzések a következő kategóriákra vannak lebontva:
- Minden VÉGREHAJTOTT WAF-művelet
- A 40 letiltott kérelem URI-címe
- Az 50 legfontosabb eseményindító,
- Üzenetek idővel
- Teljes üzenet részletei
- Támadási események üzenetek szerint
- Támadási események idővel
- Nyomkövetési azonosító szűrője
- Azonosítóüzenetek nyomon követése
- Az első 10 támadó IP-cím
- IP-címek támadási üzenetei
WAF-munkafüzetek – példák
Az alábbi WAF-munkafüzet-példák mintaadatokat mutatnak be:
WAF-munkafüzet indítása
A WAF-munkafüzet az Összes Azure Front Door, Application Gateway és CDN WAF esetében működik. Mielőtt csatlakoztatni szeretné az adatokat ezekből az erőforrásokból, engedélyezni kell a log analytics használatát az erőforráson.
Ha engedélyezni szeretné az egyes erőforrások naplóelemzését, lépjen az egyéni Azure Front Door-, Application Gateway- vagy CDN-erőforrásra:
Válassza a Diagnosztikai beállítások lehetőséget.
Válassza a + Diagnosztikai beállítás hozzáadása elemet.
A Diagnosztikai beállítás lapon:
- Adja meg a kívánt nevet.
- Válassza a Küldés a Log Analyticsbe lehetőséget.
- Válassza ki a napló cél munkaterületét.
- Válassza ki az elemezni kívánt naplótípusokat:
- Application Gateway: "ApplicationGatewayAccessLog" és "ApplicationGatewayFirewallLog"
- Azure Front Door Standard/Premium: "FrontDoorAccessLog" és "FrontDoorFirewallLog"
- Klasszikus Azure Front Door: "FrontdoorAccessLog" és "FrontdoorFirewallLog"
- CDN: "AzureCdnAccessLog"
- Kattintson a Mentés gombra.
Az Azure kezdőlapján írja be a Microsoft Sentinel kifejezést a keresősávba, és válassza ki a Microsoft Sentinel erőforrást .
Válasszon ki egy már aktív munkaterületet, vagy hozzon létre egy új munkaterületet.
A Microsoft SentinelBen a Tartalomkezelés területen válassza a Tartalomközpont lehetőséget.
Keresse meg és válassza ki az Azure Web Application Firewall megoldást.
A lap tetején található eszköztáron válassza a Telepítés/frissítés lehetőséget.
A Microsoft Sentinel bal oldalán, a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
Keresse meg és válassza az Azure Web Application Firewall (WAF) lehetőséget. Válassza az Összekötő megnyitása lap lehetőséget a jobb alsó sarokban.
Ha korábban még nem tette meg, kövesse az összes olyan WAF-erőforrás konfigurációja című szakasz utasításait, amelyekhez naplóelemzési adatokat szeretne kapni.
Miután befejezte az egyes WAF-erőforrások konfigurálását, válassza a Következő lépések lapot. Válassza ki az ajánlott munkafüzetek egyikét. Ez a munkafüzet a korábban engedélyezett naplóelemzési adatokat fogja használni. A WAF-erőforrásokhoz már léteznie kell egy működő WAF-munkafüzetnek.
Fenyegetések automatikus észlelése és megválaszolása
A Sentinel által betöltött WAF-naplók használatával a Sentinel elemzési szabályaival automatikusan észlelheti a biztonsági támadásokat, biztonsági incidenseket hozhat létre, és forgatókönyvek használatával automatikusan reagálhat a biztonsági incidensekre. További információ Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben.
Az Azure WAF beépített Sentinel-észlelési szabálysablonokkal is rendelkezik az SQLi-, XSS- és Log4J-támadásokhoz. Ezek a sablonok a Sentinel "Szabálysablonok" szakaszának Elemzés lapján találhatók. Ezeket a sablonokat használhatja, vagy saját sablonokat határozhat meg a WAF-naplók alapján.
A szabályok automatizálási szakasza segíthet egy forgatókönyv futtatásával automatikusan reagálni az incidensre. A támadásra reagáló forgatókönyvre itt talál példát a hálózati biztonság GitHub-adattárában. Ez a forgatókönyv automatikusan létrehoz egy EGYÉNI WAF-szabályzatszabályokat a támadó forrás IP-címeinek blokkolásához, amint azt a WAF elemzési szabályai észlelik.