Microsoft Sentinel gebruiken met Azure Web Application Firewall

  • Artikel

Azure Web Application Firewall (WAF) in combinatie met Microsoft Sentinel kan beveiligingsinformatie gebeurtenisbeheer bieden voor WAF-resources. Microsoft Sentinel biedt beveiligingsanalyses met behulp van Log Analytics, waarmee u uw WAF-gegevens eenvoudig kunt opsplitsen en bekijken. Met Microsoft Sentinel hebt u toegang tot vooraf gemaakte werkmappen en kunt u deze aanpassen aan de behoeften van uw organisatie. De werkmap kan analyses weergeven voor WAF in Azure Content Delivery Network (CDN), WAF op Azure Front Door en WAF op Application Gateway in verschillende abonnementen en werkruimten.

WAF-logboekanalysecategorieën

WAF-logboekanalyse is onderverdeeld in de volgende categorieën:

  • Alle WAF-acties die zijn uitgevoerd
  • Top 40 geblokkeerde aanvraag-URI-adressen
  • Top 50 gebeurtenistriggers,
  • Berichten in de loop van de tijd
  • Volledige berichtdetails
  • Aanvalsevenementen per bericht
  • Aanvalsevenementen in de loop van de tijd
  • Tracerings-id-filter
  • Berichten met tracerings-id's
  • Top 10 aanvallende IP-adressen
  • Aanvalsberichten van IP-adressen

Voorbeelden van WAF-werkmappen

In de volgende WAF-werkmapvoorbeelden worden voorbeeldgegevens weergegeven:

WAF-actiesfilter

Top 50 gebeurtenissen

Aanvalsevenementen

Top 10 aanvallende IP-adressen

Een WAF-werkmap starten

De WAF-werkmap werkt voor alle Azure Front Door-, Application Gateway- en CDN-WAFs. Voordat u de gegevens van deze resources verbindt, moet Log Analytics zijn ingeschakeld voor uw resource.

Als u log analytics voor elke resource wilt inschakelen, gaat u naar uw afzonderlijke Azure Front Door-, Application Gateway- of CDN-resource:

  1. Selecteer Diagnostische instellingen.

  2. Selecteer + Diagnostische instelling toevoegen.

  3. Op de pagina Diagnostische instelling:

    1. Typ een naam.
    2. Selecteer Verzenden naar Log Analytics.
    3. Kies de werkruimte voor het doel van het logboek.
    4. Selecteer de logboektypen die u wilt analyseren:
      1. Application Gateway: 'ApplicationGatewayAccessLog' en 'ApplicationGatewayFirewallLog'
      2. Azure Front Door Standard/Premium: 'FrontDoorAccessLog' en 'FrontDoorFirewallLog'
      3. Klassieke Azure Front Door: 'FrontdoorAccessLog' en 'FrontdoorFirewallLog'
      4. CDN: 'AzureCdnAccessLog'
    5. Selecteer Opslaan.

    Diagnostische instelling

  4. Typ op de startpagina van Azure Microsoft Sentinel in de zoekbalk en selecteer de Microsoft Sentinel-resource .

  5. Selecteer een al actieve werkruimte of maak een nieuwe werkruimte.

  6. Selecteer in Microsoft Sentinel onder Inhoudsbeheerde optie Inhoudshub.

  7. Zoek en selecteer de Azure Web Application Firewall-oplossing.

  8. Selecteer installeren/bijwerken op de werkbalk boven aan de pagina.

  9. Selecteer in Microsoft Sentinel aan de linkerkant onder Configuratiede optie Gegevensconnectors.

  10. Zoek en selecteer Azure Web Application Firewall (WAF). Selecteer Connectorpagina openen in de rechterbenedenhoek.

    Schermopname van de gegevensconnector in Microsoft Sentinel.

  11. Volg de instructies onder Configuratie voor elke WAF-resource waarvoor u logboekanalysegegevens wilt hebben als u dit nog niet eerder hebt gedaan.

  12. Als u klaar bent met het configureren van afzonderlijke WAF-resources, selecteert u het tabblad Volgende stappen . Selecteer een van de aanbevolen werkmappen. In deze werkmap worden alle logboekanalysegegevens gebruikt die eerder zijn ingeschakeld. Er moet nu een werkende WAF-werkmap bestaan voor uw WAF-resources.

    WAF-werkmappen

Bedreigingen automatisch detecteren en erop reageren

Met behulp van in Sentinel opgenomen WAF-logboeken kunt u sentinel-analyseregels gebruiken om automatisch beveiligingsaanvallen te detecteren, beveiligingsincidenten te maken en automatisch te reageren op beveiligingsincidenten met behulp van playbooks. Meer informatie Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel.

Azure WAF wordt ook geleverd met ingebouwde Sentinel-detectieregels voor SQLi-, XSS- en Log4J-aanvallen. Deze sjablonen vindt u op het tabblad Analyse in de sectie Regelsjablonen van Sentinel. U kunt deze sjablonen gebruiken of uw eigen sjablonen definiëren op basis van de WAF-logboeken.

WAF-detecties

De sectie Automatisering van deze regels kan u helpen om automatisch op het incident te reageren door een playbook uit te voeren. Een voorbeeld van een dergelijk playbook om te reageren op een aanval vindt u hier in de GitHub-opslagplaats voor netwerkbeveiliging. Dit playbook maakt automatisch aangepaste WAF-beleidsregels om de bron-IP-adressen van de aanvaller te blokkeren, zoals gedetecteerd door de waf-analysedetectieregels.

Volgende stappen