Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Analisis WAF untuk Azure Application Gateway saat ini berada dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure yang berada dalam versi beta, pratinjau, atau belum dirilis untuk ketersediaan umum.
Dasbor WAF Insights untuk Azure Application Gateway memberikan pengalaman terpadu untuk pemantauan, penyelidikan, dan pelaporan aktivitas WAF. Mereka membantu tim keamanan dan operasi mendeteksi pola serangan, memvalidasi efektivitas kebijakan WAF, mengidentifikasi kesalahan konfigurasi, dan mempercepat respons insiden melalui analisis penelusuran mendalam. Dengan menggabungkan visibilitas tingkat tinggi dengan wawasan tingkat permintaan terperinci, dasbor mendukung pemantauan strategis dan pemecahan masalah langsung.
Solusi ini mencakup dua dasbor utama:
Tab Monitor - dirancang untuk visibilitas berkelanjutan. Ini memunculkan metrik dan tren tingkat tinggi seperti volume permintaan total, kecocokan aturan terkelola, kecocokan aturan kustom, dan aktivitas tantangan JavaScript. Tab Monitor membantu operator mendeteksi anomali, melacak efektivitas perlindungan WAF, dan memahami postur keamanan aplikasi secara keseluruhan secara sekilas.
Tab Triage - dirancang untuk investigasi. Ini menyediakan tampilan mendalam untuk mengidentifikasi host, URL, permintaan, dan aturan yang terpengaruh yang terlibat dalam peristiwa keamanan tertentu. Ini mendukung analisis akar penyebab dan respons insiden yang lebih cepat.
Prasyarat
Untuk melihat data WAF di dasbor, Pengaturan Diagnostik harus diaktifkan untuk asosiasi Application Gateway yang ingin Anda pantau. Tanpa log diagnostik, tidak ada data WAF yang akan tersedia di dasbor. Untuk mempelajari selengkapnya tentang cara mengaktifkan pengaturan diagnostik, lihat Log Pemantauan untuk Azure Web Application Firewall dan Log Diagnostik - Azure Application Gateway
Azure laporan kerja
Kedua dasbor diimplementasikan sebagai buku kerja Azure Monitor, memungkinkan kustomisasi, eksplorasi, dan ekstensi visualisasi berdasarkan kebutuhan operasional dan keamanan.
Sumber dan arsitektur data
Dasbor menggabungkan Metrik dan Log, yang saling melengkapi:
| Sumber | Deskripsi | Retensi | Paling cocok untuk |
|---|---|---|---|
| Metrics | Penghitung agregat dikumpulkan pada interval menit. Dioptimalkan untuk analisis tren. | Dikontrol oleh pengaturan retensi metrik Azure Monitor. | Deteksi anomali nyaris waktu nyata, tren aktivitas. |
| Logs (Azure diagnostics) | Data lengkap peristiwa per permintaan dari catatan diagnostik WAF. | Dipengaruhi oleh kebijakan retensi Ruang Kerja Log Analitik. | Penyelidikan forensik mendalam, kepatuhan, dan audit. |
Penting
- Metrik sangat ideal untuk deteksi anomali cepat tetapi tidak berisi detail permintaan penuh.
- Log berisi informasi forensik lengkap tetapi mungkin membutuhkan waktu lebih lama untuk mengkueri himpunan data besar.
Struktur dasbor
Pengalaman WAF Insights dibagi menjadi dua tab utama:
Monitor - Pelaporan tingkat tinggi dan pelacakan tren.
Triase - Investigasi mendalam terhadap peristiwa.
Setiap tab menawarkan perspektif yang berbeda dan sering digunakan bersama-sama: memantau kesehatan keseluruhan di tab Monitor, lalu gunakan tab Triase untuk menyelidiki anomali.
Tab Monitor
Tab Monitor memberikan visibilitas dan pelaporan melalui dua tampilan utama – log WAF dan metrik WAF.
Tampilan log WAF memberikan perspektif tingkat permintaan terperinci yang bersumber dari tabel AzureDiagnostics di LAW. Ini termasuk visualisasi seperti total permintaan WAF menurut grup aturan, tindakan WAF berdasarkan jenis (misalnya, Diblokir), URI yang diblokir teratas, aturan yang dipicu teratas dari waktu ke waktu, dan detail peristiwa aturan yang dipicu dengan tanda waktu, host, instans AppGW, dan IP klien. Analis juga dapat menghubungkan data dengan melacak ID, meninjau IP paling menyinggung, dan memeriksa permintaan terkait untuk mendeteksi serangan yang ditargetkan, memvalidasi efektivitas aturan, dan mendukung audit atau tinjauan kepatuhan.
Metrik WAF memberikan visibilitas mendekati real-time ke dalam aktivitas WAF menggunakan metrik Azure Monitor. Ini termasuk visualisasi yang menunjukkan total permintaan WAF, kecocokan aturan terkelola berdasarkan asosiasi (baik yang diblokir maupun tidak diblokir), jumlah permintaan tantangan JS, dan kecocokan aturan kustom. Data ini membantu mendeteksi lonjakan lalu lintas mendadak, memantau perilaku aturan, mengevaluasi penegakan tantangan JS, dan memverifikasi konfigurasi kebijakan yang benar. Metrik menawarkan perspektif operasional yang melengkapi wawasan forensik terperinci yang disediakan oleh log.
Tab Triage
Tab Triage dirancang untuk penyelidikan dan pemecahan masalah peristiwa WAF. Ini menggunakan data dari AzureDiagnostics dalam Ruang Kerja Analitik Log (LAW) dan mendukung dua mode investigasi: Triase menurut Aturan dan Triase berdasarkan URL. Kecuali untuk visualisasi pertama, setiap komponen secara dinamis memfilter berdasarkan pilihan dari langkah sebelumnya, memungkinkan penelusuran logis yang menyempit dari cakupan luas ke permintaan spesifik yang relevan.
Triase menurut aturan
Dalam Triage by Rule, penyelidikan dilakukan dimulai dari aturan yang dipicu. Alur dimulai dengan memilih cakupan kebijakan WAF (Listener, Jalur URI, atau Global). Selanjutnya, Anda dapat melihat gambaran umum aturan yang dipicu, termasuk ID aturan, tindakan, versi ruleset, cakupan, dan jumlah permintaan yang terkena dampak. Dari sana, investigasi mendalami host, URL, dan transaksi individual yang terpengaruh. Pendekatan ini membantu mengidentifikasi aturan mana yang bertanggung jawab atas sebagian besar lalu lintas yang diblokir, mendeteksi positif palsu, dan memahami host dan URL mana yang paling terpengaruh.
Triase menurut URL
Di Triase menurut URL, investigasi dimulai dengan jalur URL. Analis memilih Application Gateway dan cakupan kebijakan yang relevan, mengidentifikasi host atau IP yang menargetkan URL tertentu, dan melihat aturan yang dipicu untuk permintaan yang terkena dampak tersebut. Pendekatan ini berguna untuk menyelidiki aktivitas mencurigakan pada titik akhir sensitif seperti halaman login, memverifikasi apakah permintaan yang diblokir sah atau berbahaya, dan memetakan pola serangan di seluruh URL.
Ringkasan dasbor
| Dasbor | Purpose | Alur investigasi | Contoh kasus penggunaan |
|---|---|---|---|
| Monitor - Catatan WAF | Pemantauan berbasis log | Menarik data terstruktur dari LAW | Memvalidasi efektivitas kebijakan, melakukan audit, menyelidiki permintaan |
| Monitor - Metrik WAF | Pemantauan berbasis metrik | Menggunakan metrik Azure Monitor | Pemantauan hampir waktu nyata, mendeteksi anomali, melacak tren |
| Triase menurut aturan | Menyelidiki berdasarkan ID aturan | Cakupan → Aturan → Host → URL → Permintaan | Mengidentifikasi aturan yang bising, menganalisis blok, menyempurnakan aturan |
| Triase menurut URL | Selidiki menurut jalur URL | Lingkup → URL → Host → Aturan → Permintaan | Menyelidiki serangan pada titik akhir sensitif, memvalidasi efektivitas aturan |
Glossary
Association: Pengikatan antara kebijakan WAF dan listener atau jalur Application Gateway.
Cakupan: Tingkat di mana kebijakan WAF berlaku (Listener, Jalur URI, Global).
ID Aturan: Pengidentifikasi aturan terkelola yang diaktifkan oleh WAF.
LAW (ruang kerja Analitik Log): Repositori tempat log disimpan dan dikueri.
Metrik: Penghitung agregat dioptimalkan untuk pemantauan cepat.
Batasan dan pertimbangan
Latency: Metrik-metrik hampir real-time, tetapi Log mungkin mengalami penundaan penyerapan (biasanya 1-5 menit).
Penyimpanan: Pastikan retensi Log Analytics dikonfigurasi agar sesuai dengan kebutuhan kepatuhan/audit.
Skala: Log diagnostik dalam volume besar dapat meningkatkan latensi kueri dan biaya penyimpanan.
Mode khusus sumber daya: Tabel khusus sumber daya saat ini tidak didukung. Solusi ini hanya bergantung pada streaming pengaturan Diagnostik ke Log Analytics dalam mode Diagnostik Azure.
Praktik terbaik
Selalu aktifkan metrik dan log untuk menyeimbangkan visibilitas dan detail.
Gunakan tab Monitor setiap hari untuk kesadaran operasional, dan tab Triase sesuai permintaan selama insiden.
Tinjau aturan berisik secara berkala dalam tampilan Triase menurut aturan untuk menyempurnakan konfigurasi WAF.
Konfigurasikan pemberitahuan pada lonjakan mendadak dalam metrik WAF (misalnya, permintaan tantangan atau permintaan yang diblokir).
Sejajarkan penggunaan dasbor dengan alur kerja respons insiden, memastikan tim keamanan dan jaringan berkolaborasi menggunakan tampilan yang sama.
Konten terkait
Memeriksa log menggunakan Azure Log Analytics - Azure Application Gateway
Gambaran Umum Azure Workbooks - Azure Monitor
Monitoring metrik untuk Azure Application Gateway Web Application Firewall
Pantau log untuk Azure Web Application Firewall