Microsoft Sentinel'i Azure Web Uygulaması Güvenlik Duvarı ile kullanma

  • Makale

Microsoft Sentinel ile birlikte Azure Web Uygulaması Güvenlik Duvarı (WAF), WAF kaynakları için güvenlik bilgileri olay yönetimi sağlayabilir. Microsoft Sentinel, Log Analytics kullanarak güvenlik analizi sağlar. Bu sayede WAF verilerinizi kolayca ayırabilir ve görüntüleyebilirsiniz. Microsoft Sentinel'i kullanarak önceden oluşturulmuş çalışma kitaplarına erişebilir ve bunları kuruluşunuzun gereksinimlerine en uygun şekilde değiştirebilirsiniz. Çalışma kitabı, azure content delivery network (CDN) üzerinde WAF, Azure Front Door üzerinde WAF ve çeşitli abonelikler ve çalışma alanlarındaki Application Gateway üzerinde WAF için analiz gösterebilir.

WAF log analytics kategorileri

WAF günlük analizi aşağıdaki kategorilere ayrılmıştır:

  • Yapılan tüm WAF eylemleri
  • İlk 40 engellenen istek URI adresi
  • İlk 50 olay tetikleyicisi,
  • Zaman içindeki iletiler
  • Tam ileti ayrıntıları
  • İletilere göre saldırı olayları
  • Zaman içindeki saldırı olayları
  • İzleme Kimliği filtresi
  • kimlik iletilerini izleme
  • İLK 10 saldırı IP adresi
  • IP adreslerinin saldırı iletileri

WAF çalışma kitabı örnekleri

Aşağıdaki WAF çalışma kitabı örnekleri örnek verileri gösterir:

WAF eylemleri filtresi

İlk 50 olay

Saldırı olayları

İLK 10 saldırı IP adresi

WAF çalışma kitabını başlatma

WAF çalışma kitabı tüm Azure Front Door, Application Gateway ve CDN WAF'leri için çalışır. Bu kaynaklardan verileri bağlamadan önce kaynağınızda Log Analytics'in etkinleştirilmesi gerekir.

Her kaynak için günlük analizini etkinleştirmek için tek tek Azure Front Door, Application Gateway veya CDN kaynağınıza gidin:

  1. Tanılama ayarları'nı seçin.

  2. + Tanılama ayarı ekle’yi seçin.

  3. Tanılama ayarı sayfasında:

    1. Bir ad yazın.
    2. Log Analytics'e Gönder'i seçin.
    3. Günlük hedef çalışma alanını seçin.
    4. Çözümlemek istediğiniz günlük türlerini seçin:
      1. Application Gateway: 'ApplicationGatewayAccessLog' ve 'ApplicationGatewayFirewallLog'
      2. Azure Front Door Standard/Premium: 'FrontDoorAccessLog' ve 'FrontDoorFirewallLog'
      3. Azure Front Door klasik: 'FrontdoorAccessLog' ve 'FrontdoorFirewallLog'
      4. CDN: 'AzureCdnAccessLog'
    5. Kaydet’i seçin.

    Tanılama ayarı

  4. Azure giriş sayfasında, arama çubuğuna Microsoft Sentinel yazın ve Microsoft Sentinel kaynağını seçin.

  5. Zaten etkin bir çalışma alanı seçin veya yeni bir çalışma alanı oluşturun.

  6. Microsoft Sentinel'de İçerik yönetimi'nin altında İçerik hub'ı seçin.

  7. Azure Web Uygulaması Güvenlik Duvarı çözümünü bulun ve seçin.

  8. Sayfanın en üstündeki araç çubuğunda Yükle/Güncelleştir'i seçin.

  9. Microsoft Sentinel'de, sol taraftaki Yapılandırma'nın altında Veri Bağlayıcıları'nı seçin.

  10. Azure Web Uygulaması Güvenlik Duvarı (WAF) araması yapın ve bunu seçin. Sağ alttaki Bağlayıcı sayfasını aç'ı seçin.

    Microsoft Sentinel'de veri bağlayıcısının ekran görüntüsü.

  11. Daha önce yapmadıysanız günlük analizi verilerine sahip olmasını istediğiniz her WAF kaynağı için yapılandırma altındaki yönergeleri izleyin.

  12. Tek tek WAF kaynaklarını yapılandırmayı tamamladıktan sonra Sonraki adımlar sekmesini seçin. Önerilen çalışma kitaplarından birini seçin. Bu çalışma kitabı daha önce etkinleştirilen tüm log analytic verilerini kullanacaktır. WaF kaynaklarınız için çalışan bir WAF çalışma kitabı mevcut olmalıdır.

    WAF çalışma kitapları

Tehditleri otomatik olarak algılama ve yanıtlama

Sentinel tarafından alınan WAF günlüklerini kullanarak güvenlik saldırılarını otomatik olarak algılamak, güvenlik olayı oluşturmak ve playbook'ları kullanarak güvenlik olayına otomatik olarak yanıt vermek için Sentinel analiz kurallarını kullanabilirsiniz. Daha fazla bilgi edinin Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma.

Azure WAF ayrıca SQLi, XSS ve Log4J saldırıları için yerleşik Sentinel algılama kuralları şablonlarıyla birlikte gelir. Bu şablonlar, Sentinel'in 'Kural Şablonları' bölümündeki Analiz sekmesinde bulunabilir. Bu şablonları kullanabilir veya WAF günlüklerine göre kendi şablonlarınızı tanımlayabilirsiniz.

WAF Algılamaları

Bu kuralların otomasyon bölümü, bir playbook çalıştırarak olaya otomatik olarak yanıt vermenizi sağlayabilir. Saldırıya yanıt vermek için böyle bir playbook örneği burada ağ güvenliği GitHub deposunda bulunabilir. Bu playbook, WAF analiz algılama kuralları tarafından algılanan saldırganın kaynak IP'lerini engellemek için otomatik olarak WAF ilkesi özel kuralları oluşturur.

Sonraki adımlar