Udostępnij przez

Korzystanie z usługi Microsoft Sentinel z usługą Azure Web Application Firewall

Usługa Azure Web Application Firewall (WAF) w połączeniu z usługą Microsoft Sentinel może zapewnić zarządzanie informacją o zdarzeniach związanych z bezpieczeństwem dla zasobów zapory aplikacji internetowej. Usługa Microsoft Sentinel oferuje analizę zabezpieczeń, wykorzystując Log Analytics, co pozwala łatwo dzielić i przeglądać dane zapory aplikacji internetowej (WAF). Za pomocą usługi Microsoft Sentinel możesz uzyskać dostęp do wstępnie utworzonych skoroszytów i modyfikować je tak, aby jak najlepiej odpowiadały potrzebom organizacji. Skoroszyt może przedstawiać analizy dotyczące zapory aplikacji webowych (Web Application Firewall, WAF) w Azure Content Delivery Network (CDN), Azure Front Door i Application Gateway w różnych subskrypcjach i obszarach roboczych.

Kategorie analizy dzienników WAF (Zapory Aplikacji Internetowej)

Analiza dzienników WAF jest podzielona na następujące kategorie:

  • Wszystkie podjęte działania zapory aplikacji sieciowej
  • 40 pierwszych zablokowanych adresów URI żądań
  • 50 najczęstszych wyzwalaczy zdarzeń,
  • Komunikaty na przestrzeni czasu
  • Pełne szczegóły wiadomości
  • Zdarzenie ataku poprzez wiadomości
  • Ataki w miarę upływu czasu
  • Filtr identyfikatora śledzenia
  • Wiadomości o identyfikatorach śledzenia
  • Top 10 atakujących adresów IP
  • Wiadomości o atakach na adresy IP

Przykłady skoroszytów WAF (zapory aplikacji internetowej)

Poniższe przykłady zeszytów WAF pokazują przykładowe dane:

Zrzut ekranu filtra akcji WAF.

Zrzut ekranu z 50 najważniejszymi wydarzeniami.

Zrzut ekranu przedstawiający zdarzenia związane z atakiem.

Zrzut ekranu z 10 najczęściej atakującymi adresami IP.

Uruchom skoroszyt zapory WAF

Skoroszyt WAF działa dla wszystkich zapór aplikacji internetowej w usługach Azure Front Door, Application Gateway i CDN. Przed połączeniem danych z tych zasobów należy włączyć usługę Log Analytics w zasobie.

Aby włączyć usługę Log Analytics dla każdego zasobu, przejdź do poszczególnych zasobów usługi Azure Front Door, Application Gateway lub CDN:

  1. Wybierz Ustawienia diagnostyczne.

  2. Wybierz + Dodaj ustawienie diagnostyczne.

  3. Na stronie Ustawienia diagnostyczne:

    1. Wpisz nazwę.
    2. Wybierz pozycję Wyślij do usługi Log Analytics.
    3. Wybierz docelowy obszar roboczy logów.
    4. Wybierz typy dzienników, które chcesz przeanalizować:
      1. Application Gateway: "ApplicationGatewayAccessLog" i "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" i "FrontDoorFirewallLog"
      3. Klasyczna usługa Azure Front Door: "FrontdoorAccessLog" i "FrontdoorFirewallLog"
      4. CDN: "AzureCdnAccessLog"
    5. Wybierz Zapisz.

  4. Na stronie głównej platformy Azure wpisz Microsoft Sentinel na pasku wyszukiwania i wybierz zasób Microsoft Sentinel .

  5. Wybierz już aktywny obszar roboczy lub utwórz nowy obszar roboczy.

  6. W usłudze Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

  7. Znajdź i wybierz rozwiązanie Azure Web Application Firewall .

  8. Na pasku narzędzi w górnej części strony wybierz pozycję Zainstaluj/Aktualizuj.

  9. W usłudze Microsoft Sentinel po lewej stronie w obszarze Konfiguracja wybierz pozycję Łączniki danych.

  10. Wyszukaj i wybierz pozycję Azure Web Application Firewall (WAF). Wybierz Otwórz stronę łącznika w prawym dolnym rogu.

  11. Postępuj zgodnie z instrukcjami w obszarze Konfiguracja dla każdego zasobu zapory aplikacji internetowej, dla którego chcesz mieć dane analizy dzienników, jeśli tego nie zrobiłeś wcześniej.

  12. Po zakończeniu konfigurowania poszczególnych zasobów zapory aplikacji internetowej wybierz zakładkę Następne kroki. Wybierz jeden z zalecanych skoroszytów. W tym skoroszycie będą używane wszystkie dane analityczne dziennika, które zostały wcześniej włączone. Dla zasobów zapory aplikacji internetowej powinien teraz istnieć działający skoroszyt WAF.

Automatyczne wykrywanie zagrożeń i reagowanie na nie

Korzystając z pozyskanych dzienników zapory aplikacji internetowej usługi Sentinel, można użyć reguł analizy usługi Sentinel, aby tworzyć incydenty zabezpieczeń, automatycznie wykrywać ataki zabezpieczeń i automatycznie reagować na incydenty zabezpieczeń przy użyciu playbooków. Dowiedz się więcej Korzystaj z podręczników z regułami automatyzacji w usłudze Microsoft Sentinel.

Zapora aplikacji internetowej Azure ma również wbudowane szablony reguł wykrywania dla usługi Sentinel dotyczących ataków SQLi, XSS i Log4J. Te szablony można znaleźć na karcie Analiza w sekcji "Szablony reguł" usługi Sentinel. Możesz użyć tych szablonów lub zdefiniować własne szablony na podstawie dzienników WAF.

Sekcja automatyzacji tych reguł może pomóc w automatycznym reagowaniu na incydent przez uruchomienie planu działania. Przykład takiego podręcznika do reagowania na atak można znaleźć w repozytorium GitHub dotyczącym bezpieczeństwa sieci tutaj. Ten skrypt automatycznie tworzy niestandardowe reguły polityki WAF, aby zablokować adresy IP źródła atakującego, wykryte przez reguły analizy wykrywania WAF.

Dalsze kroki

  • Last updated on