你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
搭配使用 Microsoft Sentinel 与 Azure Web 应用程序防火墙
搭配使用 Azure Web 应用程序防火墙 (WAF) 与 Microsoft Sentinel,可以为 WAF 资源提供安全信息事件管理服务响应。 Microsoft Sentinel 使用 Log Analytics 提供安全分析,让你可以轻松分解和查看 WAF 数据。 使用 Microsoft Sentinel,你可以访问预构建的工作簿并进行修改,以充分满足组织的需求。 该工作簿可以显示有关跨多个订阅和工作区的 Azure 内容分发网络 (CDN) 上的 WAF、Azure Front Door 上的 WAF 以及应用程序网关上的 WAF 的分析。
WAF 日志分析类别
WAF 日志分析分为以下几类:
- 执行的所有 WAF 操作
- 前 40 个被阻止的请求 URI 地址
- 前 50 个事件触发器
- 一段时间内的消息
- 完整的消息详细信息
- 攻击事件(按消息)
- 一段时间内的攻击事件
- 跟踪 ID 筛选器
- 跟踪 ID 消息
- 前 10 个攻击 IP 地址
- IP 地址的攻击消息
WAF 工作簿示例
以下 WAF 工作簿示例显示了示例数据:
启动 WAF 工作簿
WAF 工作簿适用于所有 Azure Front Door、应用程序网关和 CDN WAF。 在连接这些资源中的数据之前,必须为资源启用日志分析。
若要为每种资源启用日志分析,请分别转到 Azure Front Door、应用程序网关或 CDN 资源:
选择“诊断设置”。
选择“+ 添加诊断设置”。
在“诊断设置”页中:
- 键入名称。
- 选择“发送到 Log Analytics”。
- 选择日志目标工作区。
- 选择要分析的日志类型:
- 应用程序网关:“ApplicationGatewayAccessLog”和“ApplicationGatewayFirewallLog”
- Azure Front Door 标准版/高级版:“FrontDoorAccessLog”和“FrontDoorFirewallLog”
- Azure Front Door 经典版:“FrontdoorAccessLog”和“FrontdoorFirewallLog”
- CDN:“AzureCdnAccessLog”
- 选择“保存”。
在 Azure 主页的搜索栏中键入“Microsoft Sentinel”,然后选择 “Microsoft Sentinel”资源。
选择一个已经处于活动状态的工作区或创建一个新的工作区。
在 Microsoft Sentinel 中的“内容管理”下,选择“内容中心”。
找到“Azure Web 应用程序防火墙”解决方案并将其选中。
在页面顶部的工具栏上,选择“安装/更新”。
在 Microsoft Sentinel 中,在左侧的“配置”下,选择“数据连接器”。
搜索“Azure Web 应用程序防火墙(WAF)”并将其选中。 选择右下角的“打开连接器”页。
如果以前未执行过此操作,请按照“配置”下的说明,为要具有其日志分析数据的每个 WAF 资源执行操作。
完成配置单个 WAF 资源后,请选择“后续步骤”选项卡。选择推荐的其中一个工作簿。 该工作簿将使用以前启用的所有日志分析数据。 WAF 资源现在应存在一个有效的 WAF 工作簿。
自动检测并响应威胁
使用 Sentinel 引入的 WAF 日志,可以使用 Sentinel 分析规则自动检测安全攻击、创建安全事件以及使用 playbook 自动响应安全事件。 详细了解在 Microsoft Sentinel 中结合使用 playbook 和自动化规则。
Azure WAF 还附带了用于防范 SQLi、XSS 和 Log4J 攻击的内置 Sentinel 检测规则模板。 可以在 Sentinel 的“规则模板”部分的“分析”选项卡下找到这些模板。 可以使用这些模板,也可以基于 WAF 日志定义自己的模板。
这些规则的自动化部分可帮助你通过运行 playbook 自动响应事件。 可在此处的网络安全 GitHub 存储库中找到用于响应攻击的此类 playbook 示例。 此 playbook 会自动创建 WAF 策略自定义规则,以阻止 WAF 分析检测规则检测到的攻击者的源 IP。