Använda Microsoft Sentinel med Azure Web Application Firewall
Azure Web Application Firewall (WAF) tillsammans med Microsoft Sentinel kan tillhandahålla händelsehantering av säkerhetsinformation för WAF-resurser. Microsoft Sentinel tillhandahåller säkerhetsanalyser med Log Analytics, vilket gör att du enkelt kan dela upp och visa dina WAF-data. Med Microsoft Sentinel kan du komma åt färdiga arbetsböcker och ändra dem så att de passar organisationens behov på bästa sätt. Arbetsboken kan visa analys för WAF på Azure Content Delivery Network (CDN), WAF på Azure Front Door och WAF på Application Gateway i flera prenumerationer och arbetsytor.
WAF-logganalyskategorier
WAF-logganalys är indelat i följande kategorier:
- Alla WAF-åtgärder som vidtagits
- De 40 mest blockerade begärande-URI-adresserna
- De 50 främsta händelseutlösarna,
- Meddelanden över tid
- Fullständig meddelandeinformation
- Attackhändelser efter meddelanden
- Attackhändelser över tid
- Spårnings-ID-filter
- Spårnings-ID-meddelanden
- Topp 10 attackerande IP-adresser
- Attackmeddelanden för IP-adresser
WAF-arbetsboksexempel
Följande WAF-arbetsboksexempel visar exempeldata:
Starta en WAF-arbetsbok
WAF-arbetsboken fungerar för alla Azure Front Door-, Application Gateway- och CDN-WAF:er. Innan du ansluter data från dessa resurser måste log analytics vara aktiverat på din resurs.
Om du vill aktivera logganalys för varje resurs går du till din enskilda Azure Front Door-, Application Gateway- eller CDN-resurs:
Välj Diagnostikinställningar.
Väj + Lägg till diagnostikinställning.
På sidan Diagnostikinställning:
- Skriv ett namn.
- Välj Skicka till Log Analytics.
- Välj loggmålarbetsytan.
- Välj de loggtyper som du vill analysera:
- Application Gateway: "ApplicationGatewayAccessLog" och "ApplicationGatewayFirewallLog"
- Azure Front Door Standard/Premium: "FrontDoorAccessLog" och "FrontDoorFirewallLog"
- Klassisk Azure Front Door: "FrontdoorAccessLog" och "FrontdoorFirewallLog"
- CDN: "AzureCdnAccessLog"
- Välj Spara.
På Startsidan för Azure skriver du Microsoft Sentinel i sökfältet och väljer Microsoft Sentinel-resursen .
Välj en redan aktiv arbetsyta eller skapa en ny arbetsyta.
I Microsoft Sentinel går du till Innehållshantering och väljer Innehållshubb.
Leta upp och välj azure Web Application Firewall-lösningen.
Välj Installera/uppdatera i verktygsfältet överst på sidan.
I Microsoft Sentinel går du till vänster under Konfiguration och väljer Dataanslutningsprogram.
Sök efter och välj Azure Web Application Firewall (WAF). Välj Sidan Öppna anslutningsapp längst ned till höger.
Följ anvisningarna under Konfiguration för varje WAF-resurs som du vill ha logganalysdata för om du inte har gjort det tidigare.
När du har konfigurerat enskilda WAF-resurser väljer du fliken Nästa steg . Välj en av de rekommenderade arbetsböckerna. Den här arbetsboken använder alla logganalysdata som har aktiverats tidigare. En fungerande WAF-arbetsbok bör nu finnas för dina WAF-resurser.
Identifiera och svara automatiskt på hot
Med hjälp av Sentinel-inmatade WAF-loggar kan du använda Sentinel-analysregler för att automatiskt identifiera säkerhetsattacker, skapa säkerhetsincidenter och automatiskt svara på säkerhetsincidenter med hjälp av spelböcker. Läs mer Använda spelböcker med automatiseringsregler i Microsoft Sentinel.
Azure WAF levereras också med inbyggda Mallar för Sentinel-identifieringsregler för SQLi-, XSS- och Log4J-attacker. Dessa mallar finns under fliken Analys i avsnittet "Regelmallar" i Sentinel. Du kan använda dessa mallar eller definiera dina egna mallar baserat på WAF-loggarna.
Automatiseringsavsnittet i dessa regler kan hjälpa dig att automatiskt svara på incidenten genom att köra en spelbok. Ett exempel på en sådan spelbok för att svara på attacker finns i GitHub-lagringsplatsen för nätverkssäkerhet här. Den här spelboken skapar automatiskt anpassade WAF-principregler för att blockera angriparens käll-IP-adresser som identifierats av WAF-analysidentifieringsreglerna.