A Microsoft Sentinel használata az Azure Web Application Firewall használatával
Az Azure Web Application Firewall (WAF) és a Microsoft Sentinel együttes használata a WAF-erőforrások biztonsági információinak eseménykezelését teszi lehetővé. A Microsoft Sentinel biztonsági elemzéseket biztosít a Log Analytics használatával, amely lehetővé teszi a WAF-adatok egyszerű szétbontását és megtekintését. A Microsoft Sentinel használatával hozzáférhet az előre elkészített munkafüzetekhez, és a szervezet igényeinek megfelelően módosíthatja őket. A munkafüzet az Azure Content Delivery Network (CDN), az Azure Front Door WAF és az Application GatewayEN futó WAF elemzéseit több előfizetésben és munkaterületen is megjelenítheti.
WAF-naplóelemzési kategóriák
A WAF-naplóelemzések a következő kategóriákra vannak lebontva:
- Minden VÉGREHAJTOTT WAF-művelet
- A 40 letiltott kérelem URI-címe
- Az 50 legfontosabb eseményindító,
- Üzenetek idővel
- Teljes üzenet részletei
- Támadási események üzenetek szerint
- Támadási események idővel
- Nyomkövetési azonosító szűrője
- Nyomkövetési azonosítók üzenetei
- Az első 10 támadó IP-cím
- IP-címek támadási üzenetei
WAF-munkafüzetek példái
Az alábbi WAF-munkafüzet-példák mintaadatokat mutatnak be:
WAF-munkafüzet indítása
A WAF-munkafüzet az Összes Azure Front Door, Application Gateway és CDN WAF esetében működik. Mielőtt ezekből az erőforrásokból csatlakoztatja az adatokat, engedélyezni kell a log analytics használatát az erőforráson.
Ha engedélyezni szeretné az egyes erőforrások naplóelemzését, lépjen az egyéni Azure Front Door-, Application Gateway- vagy CDN-erőforrásra:
Válassza a Diagnosztikai beállítások lehetőséget.
Válassza a + Diagnosztikai beállítás hozzáadása elemet.
A Diagnosztikai beállítás lapon:
- Írjon be egy nevet.
- Válassza a Küldés a Log Analyticsbe lehetőséget.
- Válassza ki a napló cél munkaterületét.
- Válassza ki az elemezni kívánt naplótípusokat:
- Application Gateway: "ApplicationGatewayAccessLog" és "ApplicationGatewayFirewallLog"
- Azure Front Door Standard/Premium: "FrontDoorAccessLog" és "FrontDoorFirewallLog"
- Klasszikus Azure Front Door: "FrontdoorAccessLog" és "FrontdoorFirewallLog"
- CDN: "AzureCdnAccessLog"
- Válassza a Mentés lehetőséget.
Az Azure kezdőlapján írja be a Microsoft Sentinelt a keresősávba, és válassza ki a Microsoft Sentinel-erőforrást .
Jelöljön ki egy már aktív munkaterületet, vagy hozzon létre egy új munkaterületet.
A Microsoft Sentinel Tartalomkezelés területén válassza a Tartalomközpont lehetőséget.
Keresse meg és válassza ki az Azure Web Application Firewall megoldást.
A lap tetején található eszköztáron válassza a Telepítés/frissítés lehetőséget.
A Microsoft Sentinel bal oldalán, a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
Keresse meg és válassza ki az Azure Web Application Firewall (WAF) lehetőséget. Kattintson az Összekötő megnyitása lapra a jobb alsó sarokban.
Kövesse a Konfiguráció területen található utasításokat minden olyan WAF-erőforráshoz, amelyhez naplóelemzési adatokat szeretne kapni, ha korábban még nem tette meg.
Miután befejezte az egyes WAF-erőforrások konfigurálását, válassza a Következő lépések lapot. Válasszon egyet az ajánlott munkafüzetek közül. Ez a munkafüzet a korábban engedélyezett naplóelemzési adatokat fogja használni. Egy működő WAF-munkafüzetnek már léteznie kell a WAF-erőforrásokhoz.
Fenyegetések automatikus észlelése és megválaszolása
A Sentinel által betöltött WAF-naplók használatával a Sentinel elemzési szabályaival automatikusan észlelheti a biztonsági támadásokat, biztonsági incidenseket hozhat létre, és forgatókönyvek használatával automatikusan reagálhat a biztonsági incidensekre. További információ Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben.
Az Azure WAF beépített Sentinel-észlelési szabálysablonokkal is rendelkezik az SQLi-, XSS- és Log4J-támadásokhoz. Ezek a sablonok a Sentinel "Szabálysablonok" szakaszának Elemzés lapján találhatók. Ezeket a sablonokat használhatja, vagy saját sablonokat határozhat meg a WAF-naplók alapján.
A szabályok automatizálási szakasza egy forgatókönyv futtatásával segíthet automatikusan reagálni az incidensre. A támadásra válaszul szolgáló forgatókönyvre itt talál egy példát a hálózati biztonsági GitHub-adattárban. Ez a forgatókönyv automatikusan létrehozza a WAF-szabályzat egyéni szabályait, hogy letiltsa a támadó forrás IP-címeinek a WAF-elemzési szabályok által észlelt észlelését.