Utilizar o Microsoft Sentinel com o Azure Firewall de Aplicações Web

  • Artigo

O Azure Firewall de Aplicações Web (WAF) combinado com o Microsoft Sentinel pode fornecer gestão de eventos de informações de segurança para recursos WAF. O Microsoft Sentinel fornece análises de segurança através do Log Analytics, o que lhe permite dividir facilmente e ver os seus dados WAF. Com o Microsoft Sentinel, pode aceder a livros pré-criados e modificá-los de acordo com as necessidades da sua organização. O livro pode mostrar análises para WAF na Rede de Entrega de Conteúdos do Azure (CDN), WAF no Azure Front Door e WAF em Gateway de Aplicação em várias subscrições e áreas de trabalho.

Categorias de análise de registos WAF

A análise de registos waf é dividida nas seguintes categorias:

  • Todas as ações da WAF executadas
  • Principais 40 endereços URI de pedidos bloqueados
  • Os 50 principais acionadores de eventos,
  • Mensagens ao longo do tempo
  • Detalhes completos da mensagem
  • Eventos de ataque por mensagens
  • Eventos de ataque ao longo do tempo
  • Filtragem de ID de Controlo
  • Controlar mensagens de ID
  • Os 10 principais endereços IP de ataque
  • Mensagens de ataque de endereços IP

Exemplos de livros WAF

Os seguintes exemplos de livros WAF mostram dados de exemplo:

Filtro de ações WAF

Principais 50 eventos

Eventos de ataque

Os 10 principais endereços IP de ataque

Iniciar um livro waf

O livro WAF funciona para todos os WAFs do Azure Front Door, Gateway de Aplicação e CDN. Antes de ligar os dados destes recursos, a análise de registos tem de estar ativada no recurso.

Para ativar a análise de registos para cada recurso, aceda ao recurso individual do Azure Front Door, Gateway de Aplicação ou CDN:

  1. Selecione Definições de diagnóstico.

  2. Selecione +Adicionar definição de diagnóstico.

  3. Na página Definição de diagnóstico:

    1. Escreva um nome.
    2. Selecione Enviar para o Log Analytics.
    3. Selecione a área de trabalho de destino do registo.
    4. Selecione os tipos de registo que pretende analisar:
      1. Gateway de Aplicação: "ApplicationGatewayAccessLog" e "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" e "FrontDoorFirewallLog"
      3. Clássico do Azure Front Door: "FrontdoorAccessLog" e "FrontdoorFirewallLog"
      4. CDN: "AzureCdnAccessLog"
    5. Selecione Guardar.

    Definição de diagnóstico

  4. Na home page do Azure, escreva Microsoft Sentinel na barra de pesquisa e selecione o recurso do Microsoft Sentinel .

  5. Selecione uma área de trabalho já ativa ou crie uma nova área de trabalho.

  6. No Microsoft Sentinel, em Gestão de conteúdos, selecione Hub de conteúdos.

  7. Localize e selecione a solução Firewall de Aplicações Web do Azure.

  8. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

  9. No Microsoft Sentinel, no lado esquerdo, em Configuração, selecione Conectores de Dados.

  10. Procure e selecione Azure Firewall de Aplicações Web (WAF). Selecione Abrir página do conector no canto inferior direito.

    Captura de ecrã do conector de dados no Microsoft Sentinel.

  11. Siga as instruções em Configuração para cada recurso WAF para o qual pretende ter dados de análise de registo se ainda não o tiver feito anteriormente.

  12. Depois de concluir a configuração de recursos WAF individuais, selecione o separador Passos seguintes . Selecione um dos livros recomendados. Este livro utilizará todos os dados de análise de registos que foram ativados anteriormente. Deverá existir agora um livro WAF funcional para os seus recursos WAF.

    Livros WAF

Detetar e responder automaticamente a ameaças

Com os registos WAF ingeridos do Sentinel, pode utilizar regras de análise do Sentinel para detetar automaticamente ataques de segurança, criar incidentes de segurança e responder automaticamente a incidentes de segurança com manuais de procedimentos. Saiba mais Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel.

O Azure WAF também inclui modelos de regras de deteção do Sentinel incorporados para ataques SQLi, XSS e Log4J. Estes modelos podem ser encontrados no separador Análise na secção "Modelos de Regra" do Sentinel. Pode utilizar estes modelos ou definir os seus próprios modelos com base nos registos WAF.

Deteções de WAF

A secção automatização destas regras pode ajudá-lo a responder automaticamente ao incidente ao executar um manual de procedimentos. Pode encontrar um exemplo desse manual de procedimentos para responder a ataques no repositório gitHub de segurança de rede aqui. Este manual de procedimentos cria automaticamente regras personalizadas de política WAF para bloquear os IPs de origem do atacante, conforme detetado pelas regras de deteção de análise da WAF.

Passos seguintes