Share via

Korzystanie z usługi Microsoft Sentinel z usługą Azure Web Application Firewall

  • Artykuł

Usługa Azure Web Application Firewall (WAF) w połączeniu z usługą Microsoft Sentinel może zapewnić zarządzanie zdarzeniami zabezpieczeń dla zasobów zapory aplikacji internetowej. Usługa Microsoft Sentinel zapewnia analizę zabezpieczeń przy użyciu usługi Log Analytics, która umożliwia łatwe podzielenie i wyświetlenie danych zapory aplikacji internetowej. Korzystając z usługi Microsoft Sentinel, możesz uzyskać dostęp do wstępnie utworzonych skoroszytów i zmodyfikować je tak, aby najlepiej pasowały do potrzeb organizacji. Skoroszyt może wyświetlać analizę zapory aplikacji internetowej w usłudze Azure Content Delivery Network (CDN), zaporę aplikacji internetowej w usłudze Azure Front Door i zaporę aplikacji internetowej w Application Gateway w kilku subskrypcjach i obszarach roboczych.

Kategorie analizy dzienników zapory aplikacji internetowej

Analiza dzienników zapory aplikacji internetowej jest podzielona na następujące kategorie:

  • Wszystkie podjęte akcje zapory aplikacji internetowej
  • 40 pierwszych zablokowanych adresów URI żądań
  • 50 najważniejszych wyzwalaczy zdarzeń,
  • Komunikaty w czasie
  • Pełne szczegóły wiadomości
  • Zdarzenia ataku według komunikatów
  • Zdarzenia ataku w czasie
  • Filtr identyfikatora śledzenia
  • Komunikaty o identyfikatorze śledzenia
  • 10 pierwszych ataków adresów IP
  • Komunikaty o ataku adresów IP

Przykłady skoroszytów zapory aplikacji internetowej

W poniższych przykładach skoroszytu zapory aplikacji internetowej przedstawiono przykładowe dane:

Filtr akcji zapory aplikacji internetowej

50 najważniejszych zdarzeń

Zdarzenia ataku

10 pierwszych ataków adresów IP

Uruchamianie skoroszytu zapory aplikacji internetowej

Skoroszyt zapory aplikacji internetowej działa dla wszystkich usług Azure Front Door, Application Gateway i CDN WAFs. Przed nawiązaniem połączenia danych z tych zasobów należy włączyć analizę dzienników w zasobie.

Aby włączyć analizę dzienników dla każdego zasobu, przejdź do pojedynczej usługi Azure Front Door, Application Gateway lub zasobu usługi CDN:

  1. Wybierz pozycję Ustawienia diagnostyczne.

  2. Wybierz pozycję + Dodaj ustawienie diagnostyczne.

  3. Na stronie Ustawienia diagnostyczne:

    1. Wpisz nazwę.
    2. Wybierz pozycję Wyślij do usługi Log Analytics.
    3. Wybierz docelowy obszar roboczy dziennika.
    4. Wybierz typy dzienników, które chcesz przeanalizować:
      1. Application Gateway: "ApplicationGatewayAccessLog" i "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" i "FrontDoorFirewallLog"
      3. Wersja klasyczna usługi Azure Front Door: "FrontdoorAccessLog" i "FrontdoorFirewallLog"
      4. CDN: "AzureCdnAccessLog"
    5. Wybierz pozycję Zapisz.

    Ustawienie diagnostyczne

  4. Na stronie głównej platformy Azure wpisz Microsoft Sentinel na pasku wyszukiwania i wybierz zasób usługi Microsoft Sentinel .

  5. Wybierz już aktywny obszar roboczy lub utwórz nowy obszar roboczy.

  6. W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

  7. Znajdź i wybierz rozwiązanie Azure Web Application Firewall.

  8. Na pasku narzędzi w górnej części strony wybierz pozycję Zainstaluj/Zaktualizuj.

  9. W usłudze Microsoft Sentinel po lewej stronie w obszarze Konfiguracja wybierz pozycję Łączniki danych.

  10. Wyszukaj i wybierz pozycję Azure Web Application Firewall (WAF). Wybierz pozycję Otwórz stronę łącznika w prawym dolnym rogu.

    Zrzut ekranu przedstawiający łącznik danych w usłudze Microsoft Sentinel.

  11. Postępuj zgodnie z instrukcjami w obszarze Konfiguracja dla każdego zasobu zapory aplikacji internetowej, dla którego chcesz mieć dane analityczne dziennika, jeśli nie zostało to zrobione wcześniej.

  12. Po zakończeniu konfigurowania poszczególnych zasobów zapory aplikacji internetowej wybierz kartę Następne kroki . Wybierz jeden z zalecanych skoroszytów. Ten skoroszyt będzie używać wszystkich danych analitycznych dziennika, które zostały wcześniej włączone. Działający skoroszyt zapory aplikacji internetowej powinien teraz istnieć dla zasobów zapory aplikacji internetowej.

    Skoroszyty zapory aplikacji internetowej

Automatyczne wykrywanie zagrożeń i reagowanie na nie

Korzystając z pozyskanych dzienników zapory aplikacji internetowej usługi Sentinel, można użyć reguł analizy usługi Sentinel do automatycznego wykrywania ataków zabezpieczeń, tworzenia zdarzeń zabezpieczeń i automatycznego reagowania na zdarzenia zabezpieczeń przy użyciu podręczników. Dowiedz się więcej Używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel.

Zapora aplikacji internetowej platformy Azure udostępnia również wbudowane szablony reguł wykrywania usługi Sentinel dla ataków SQLi, XSS i Log4J. Te szablony można znaleźć na karcie Analiza w sekcji "Szablony reguł" usługi Sentinel. Możesz użyć tych szablonów lub zdefiniować własne szablony na podstawie dzienników zapory aplikacji internetowej.

Wykrywanie zapory aplikacji internetowej

Sekcja automatyzacji tych reguł może pomóc w automatycznym reagowaniu na zdarzenie, uruchamiając podręcznik. Przykład takiego podręcznika reagowania na atak można znaleźć w repozytorium GitHub zabezpieczeń sieci tutaj. Ten podręcznik automatycznie tworzy niestandardowe reguły zasad zapory aplikacji internetowej, aby zablokować źródłowe adresy IP osoby atakującej wykryte przez reguły wykrywania analizy zapory aplikacji internetowej.

Następne kroki