Поделиться через

Использование Microsoft Sentinel с Брандмауэром веб-приложений Azure

  • Статья

Брандмауэр веб-приложений Azure (WAF) в сочетании с Microsoft Sentinel может обеспечить управление событиями информационной безопасности для ресурсов WAF. Microsoft Sentinel обеспечивает аналитику безопасности с помощью Log Analytics, что позволяет легко разбивать и просматривать данные WAF. С помощью Microsoft Sentinel можно получить доступ к предварительно созданным книгам и изменить их в соответствии с потребностями вашей организации. В книге могут отображаться аналитические данные для WAF на платформе Azure Content Delivery Network (CDN), WAF на Azure Front Door и WAF на шлюзе приложений в разных подписках и рабочих областях.

Категории анализа журналов WAF

Анализ журналов WAF подразделяется на следующие категории:

  • все действия WAF выполнены;
  • 40 самых популярных URI-адресов заблокированных запросов;
  • 50 самых популярных триггеров событий;
  • сообщения за период времени;
  • полные сведения о сообщении;
  • события атак по категориям сообщений
  • события атаки за период времени;
  • фильтр идентификаторов отслеживания;
  • сообщения идентификаторов отслеживания
  • 10 самых популярных IP-адресов для атак
  • сообщения о атаках на IP-адреса.

Примеры пособия WAF

В следующих примерах рабочих книг WAF показаны образцы данных:

Снимок экрана: фильтр действий WAF.

Снимок экрана: первые 50 событий.

Снимок экрана: события атаки.

Снимок экрана: первые 10 атакующих IP-адресов.

Запуск книги WAF

Книга WAF работает для всех брандмауэров веб-приложения Azure Front Door, Шлюза приложений и сети доставки содержимого. Перед подключением данных из этих ресурсов, на ресурсе нужно включить анализ журналов.

Чтобы включить анализ журналов для каждого ресурса, перейдите к отдельному ресурсу Azure Front Door, Шлюза приложений или сети доставки содержимого:

  1. Выберите Параметры диагностики.

  2. Щелкните команду + Добавить параметр диагностики.

  3. На странице настройки диагностики

    1. Введите имя.
    2. Установите флажок Отправить в Log Analytics.
    3. Выберите рабочую область назначения лога.
    4. Выберите типы журналов, которые необходимо проанализировать:
      1. Шлюз приложений: "ApplicationGatewayAccessLog" и "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" и "FrontDoorFirewallLog"
      3. Azure Front Door classic: "FrontdoorAccessLog" и "FrontdoorFirewallLog"
      4. Сеть доставки содержимого: AzureCdnAccessLog
    5. Выберите Сохранить.

  4. На домашней странице Azure в строке поиска введите Microsoft Sentinel и выберите ресурс Microsoft Sentinel.

  5. Создайте новую рабочую область или выберите уже активную.

  6. В Microsoft Sentinel в разделе "Управление содержимым" выберите центр контента.

  7. Найдите и выберите решение Azure Брандмауэр веб-приложений.

  8. На панели инструментов в верхней части страницы выберите "Установить или обновить".

  9. В Microsoft Sentinel в левой части в разделе "Конфигурация" выберите соединители данных.

  10. Найдите и выберите брандмауэр веб-приложений Azure (WAF). В правом нижнем углу выберите страницу Открыть соединитель.

  11. Следуйте инструкциям в разделе Конфигурация для каждого ресурса брандмауэра веб-приложения, для которого нужно получить журнальные аналитические данные, если этого не сделали ранее.

  12. После завершения настройки отдельных ресурсов WAF выберите вкладку Следующие шаги. Выберите одну из рекомендуемых рабочих книг. В этой рабочей тетради будут использоваться все аналитические данные журналов, которые были включены ранее. Теперь для ваших ресурсов WAF должна быть создана рабочая тетрадь WAF.

Автоматическое обнаружение и реагирование на угрозы

С помощью журналов WAF Sentinel можно использовать правила аналитики Sentinel для автоматического обнаружения атак безопасности, создания инцидентов безопасности и автоматического реагирования на инциденты безопасности с помощью сборников схем. Узнайте больше об использовании плейбуков с правилами автоматизации в Microsoft Sentinel.

Azure WAF также поставляется со встроенными шаблонами правил обнаружения Sentinel для атак SQLi, XSS и Log4J. Эти шаблоны можно найти на вкладке "Аналитика" в разделе "Шаблоны правил" Sentinel. Эти шаблоны можно использовать или определить собственные шаблоны на основе журналов WAF.

Раздел автоматизации этих правил позволяет автоматически реагировать на инцидент, выполнив сборник схем. Пример такого сборника схем для реагирования на атаки можно найти в репозитории сетевой безопасности GitHub here. Плейбук автоматически создает пользовательские правила политики WAF, чтобы заблокировать исходные IP-адреса злоумышленников, как это было выявлено правилами обнаружения аналитики WAF.

Следующие шаги