分享方式:


搭配 Azure Web 應用程式防火牆使用 Microsoft Sentinel

Azure Web 應用程式防火牆 (WAF) 與 Microsoft Sentinel 結合,可為 WAF 資源提供安全性資訊事件管理。 Microsoft Sentinel 使用 Log Analytics 提供安全性分析,可讓您輕鬆地細分和檢視 WAF 資料。 如果使用 Microsoft Sentinel,您可以存取預先建立的活頁簿並加以修改,以符合組織的需求。 活頁簿可以跨數個訂用帳戶和工作區,為 Azure 內容傳遞網路 (CDN) 上的 WAF、Azure Front Door 上的 WAF 及應用程式閘道上的 WAF 顯示分析。

WAF 記錄分析類別

WAF 記錄分析會分成下列類別:

  • 所有採取的 WAF 動作
  • 前 40 個封鎖的要求 URI 位址
  • 前 50 個事件觸發程序
  • 一段時間的訊息
  • 完整訊息詳細資料
  • 依訊息分類的攻擊事件
  • 一段時間的攻擊事件
  • 追蹤識別碼篩選
  • 追蹤識別碼訊息
  • 前 10 個攻擊 IP 位址
  • IP 位址的攻擊訊息

WAF 活頁簿範例

下列 WAF 活頁簿範例顯示範例資料:

WAF 動作篩選的螢幕擷取畫面。

前 50 個事件的螢幕擷取畫面。

攻擊事件的螢幕擷取畫面。

前 10 個攻擊 IP 位址的螢幕擷取畫面。

啟動 WAF 活頁簿

WAF 活頁簿適用於所有 Azure Front Door、應用程式閘道和 CDN WAF。 從這些資源連線到資料之前,您的資源上必須啟用記錄分析。

若要為每個資源啟用記錄分析,請移至個別的 Azure Front Door、應用程式閘道或 CDN 資源:

  1. 選取 [診斷設定]

  2. 選取 +新增診斷設定

  3. 在 [診斷設定] 頁面中:

    1. 輸入名稱。
    2. 選取 [傳送至 Log Analytics]
    3. 選擇記錄目的地工作區。
    4. 選取您想要分析的記錄類型:
      1. 應用程式閘道:'ApplicationGatewayAccessLog' 和 'ApplicationGatewayFirewallLog'
      2. Azure Front Door 標準/進階:‘FrontDoorAccessLog’ 和 ‘FrontDoorFirewallLog’
      3. Azure Front Door 傳統:‘FrontdoorAccessLog’ 和 ‘FrontdoorFirewallLog’
      4. CDN:'AzureCdnAccessLog'
    5. 選取 [儲存]。

    診斷設定

  4. 在 Azure 首頁的搜尋列中輸入 Microsoft Sentinel,然後選取 Microsoft Sentinel 資源。

  5. 選取現有的作用中工作區或建立新的工作區。

  6. 在 Microsoft Sentinel 的 [內容管理] 底下,選取 [內容中樞]

  7. 尋找並選取 Azure Web 應用程式防火牆解決方案。

  8. 在頁面頂端的工具列上,選取 [安裝/更新]

  9. 在 Microsoft Sentinel 的左側 [設定] 底下,選取 [資料連接器]

  10. 搜尋並選取 [Azure Web 應用程式防火牆 (WAF)]。 選取右下角的 [開啟連接器] 頁面。

    Microsoft Sentinel 中資料連接器的螢幕擷取畫面。

  11. 針對您想要取得其記錄分析資料的每個 WAF 資源,遵循 [設定] 底下的指示進行設定 (如果您之前尚未這麼做)。

  12. 完成設定個別 WAF 資源之後,選取 [後續步驟] 索引標籤。選取其中一個建議的活頁簿。 此活頁簿會使用先前啟用的所有記錄分析資料。 現在,您的 WAF 資源應該會有運作中的 WAF 活頁簿。

    WAF 活頁簿

自動偵測並回應威脅

使用 Sentinel 內嵌的 WAF 記錄,您可以使用 Sentinel 分析規則來自動偵測安全性攻擊、建立安全性事件,以及使用劇本自動回應安全性事件。 深入了解在 Microsoft Sentinel 中使用劇本搭配自動化規則

Azure WAF 也隨附 SQLi、XSS 和 Log4J 攻擊的內建 Sentinel 偵測規則範本。 您可以在 Sentinel 的 [規則範本] 區段中的 [分析] 索引標籤下找到這些範本。 您可以使用這些範本,或根據 WAF 記錄定義您自己的範本。

WAF 偵測

這些規則的自動化區段可協助您執行劇本來自動回應事件。 您可以在這裡的網路安全性 GitHub 存放庫中找到此類回應攻擊的劇本範例。 此劇本會自動建立 WAF 原則自訂規則,以封鎖由 WAF 分析偵測規則偵測到的攻擊者來源 IP。

下一步