Delen via

Microsoft Sentinel gebruiken met Azure Web Application Firewall

  • Artikel

Azure Web Application Firewall (WAF) in combinatie met Microsoft Sentinel kan beveiligingsinformatie gebeurtenisbeheer bieden voor WAF-resources. Microsoft Sentinel biedt beveiligingsanalyses met behulp van Log Analytics, waarmee u uw WAF-gegevens eenvoudig kunt opsplitsen en bekijken. Met Microsoft Sentinel hebt u toegang tot vooraf gebouwde werkmappen en kunt u deze aanpassen aan de behoeften van uw organisatie. De werkmap kan analyses weergeven voor WAF in Azure Content Delivery Network (CDN), WAF in Azure Front Door en WAF in Application Gateway in verschillende abonnementen en werkruimten.

WAF Log Analytics-categorieën

WAF-logboekanalyse wordt onderverdeeld in de volgende categorieën:

  • Alle WAF-acties die zijn uitgevoerd
  • Top 40 geblokkeerde aanvraag-URI-adressen
  • Top 50 gebeurtenistriggers,
  • Berichten in de loop van de tijd
  • Volledige berichtdetails
  • Aanvalsevenementen op berichten
  • Aanvalsgebeurtenissen in de loop van de tijd
  • Tracerings-id-filter
  • Id-berichten bijhouden
  • Top 10 aanvallende IP-adressen
  • Aanvalsberichten van IP-adressen

Voorbeelden van WAF-werkmappen

In de volgende WAF-werkmapvoorbeelden worden voorbeeldgegevens weergegeven:

Schermopname van het WAF-actiesfilter.

Schermopname van de top 50 gebeurtenissen.

Schermopname van aanvalsevenementen.

Schermopname van de tien belangrijkste IP-adressen voor aanvallen.

Een WAF-werkmap starten

De WAF-werkmap werkt voor alle WAF-, Azure Front Door-, Application Gateway- en CDN-WAFs. Voordat u de gegevens van deze resources verbindt, moet Log Analytics zijn ingeschakeld voor uw resource.

Als u Log Analytics voor elke resource wilt inschakelen, gaat u naar uw afzonderlijke Azure Front Door-, Application Gateway- of CDN-resource:

  1. Selecteer Diagnostische instellingen.

  2. Selecteer + Diagnostische instelling toevoegen.

  3. Op de pagina Diagnostische instelling:

    1. Typ een naam.
    2. Selecteer Verzenden naar Log Analytics.
    3. Kies de doelwerkruimte van het logboek.
    4. Selecteer de logboektypen die u wilt analyseren:
      1. Application Gateway: ApplicationGatewayAccessLog en ApplicationGatewayFirewallLog
      2. Azure Front Door Standard/Premium: 'FrontDoorAccessLog' en 'FrontDoorFirewallLog'
      3. Klassieke Azure Front Door: 'FrontdoorAccessLog' en 'FrontdoorFirewallLog'
      4. CDN: 'AzureCdnAccessLog'
    5. Selecteer Opslaan.

    Diagnostische instelling

  4. Typ Microsoft Sentinel op de startpagina van Azure in de zoekbalk en selecteer de Microsoft Sentinel-resource .

  5. Selecteer een al actieve werkruimte of maak een nieuwe werkruimte.

  6. Selecteer in Microsoft Sentinel onder Inhoudsbeheer de optie Inhoudshub.

  7. Zoek en selecteer de Azure Web Application Firewall-oplossing .

  8. Selecteer Installeren/bijwerken op de werkbalk boven aan de pagina.

  9. Selecteer in Microsoft Sentinel aan de linkerkant onder Configuratie de optie Gegevensconnectors.

  10. Zoek en selecteer Azure Web Application Firewall (WAF). Selecteer de pagina Verbindingslijn openen rechtsonder.

    Schermopname van de gegevensconnector in Microsoft Sentinel.

  11. Volg de instructies onder Configuratie voor elke WAF-resource waarvoor u analytische logboekgegevens wilt hebben als u dit nog niet eerder hebt gedaan.

  12. Nadat u afzonderlijke WAF-resources hebt geconfigureerd, selecteert u het tabblad Volgende stappen . Selecteer een van de aanbevolen werkmappen. In deze werkmap worden alle logboekanalysegegevens gebruikt die eerder zijn ingeschakeld. Er moet nu een werkende WAF-werkmap bestaan voor uw WAF-resources.

    WAF-werkmappen

Automatisch bedreigingen detecteren en erop reageren

Met sentinel opgenomen WAF-logboeken kunt u Sentinel-analyseregels gebruiken om automatisch beveiligingsaanvallen te detecteren, beveiligingsincidenten te maken en automatisch te reageren op beveiligingsincidenten met behulp van playbooks. Meer informatie Over playbooks gebruiken met automatiseringsregels in Microsoft Sentinel.

Azure WAF wordt ook geleverd met ingebouwde sentinel-detectieregelssjablonen voor SQLi-, XSS- en Log4J-aanvallen. Deze sjablonen vindt u op het tabblad Analytics in de sectie Regelsjablonen van Sentinel. U kunt deze sjablonen gebruiken of uw eigen sjablonen definiëren op basis van de WAF-logboeken.

WAF-detecties

Met de sectie Automatisering van deze regels kunt u automatisch reageren op het incident door een playbook uit te voeren. Hier vindt u een voorbeeld van een dergelijk playbook om te reageren op aanvallen in gitHub-opslagplaats voor netwerkbeveiliging. Met dit playbook worden automatisch aangepaste WAF-beleidsregels gemaakt om de bron-IP-adressen van de aanvaller te blokkeren, zoals gedetecteerd door de WAF-analysedetectieregels.

Volgende stappen