Megosztás a következőn keresztül:

A Microsoft Sentinel használata az Azure Web Application Firewall használatával

  • Cikk

Az Azure Web Application Firewall (WAF) és a Microsoft Sentinel együttes használata a WAF-erőforrások biztonsági információinak eseménykezelését teszi lehetővé. A Microsoft Sentinel biztonsági elemzéseket biztosít a Log Analytics használatával, amely lehetővé teszi a WAF-adatok egyszerű szétbontását és megtekintését. A Microsoft Sentinel használatával hozzáférhet az előre elkészített munkafüzetekhez, és a szervezet igényeinek megfelelően módosíthatja őket. A munkafüzet az Azure Content Delivery Network (CDN), az Azure Front Door WAF és az Application GatewayEN futó WAF elemzéseit több előfizetésben és munkaterületen is megjelenítheti.

WAF-naplóelemzési kategóriák

A WAF-naplóelemzések a következő kategóriákra vannak lebontva:

  • Minden VÉGREHAJTOTT WAF-művelet
  • A 40 letiltott kérelem URI-címe
  • Az 50 legfontosabb eseményindító,
  • Üzenetek idővel
  • Teljes üzenet részletei
  • Támadási események üzenetek szerint
  • Támadási események idővel
  • Nyomkövetési azonosító szűrője
  • Nyomkövetési azonosítók üzenetei
  • Az első 10 támadó IP-cím
  • IP-címek támadási üzenetei

WAF-munkafüzetek példái

Az alábbi WAF-munkafüzet-példák mintaadatokat mutatnak be:

Képernyőkép a WAF-műveletek szűrőjéről.

Képernyőkép az 50 legfontosabb eseményről.

Képernyőkép a támadási eseményekről.

Képernyőkép az első 10 támadó IP-címről.

WAF-munkafüzet indítása

A WAF-munkafüzet az Összes Azure Front Door, Application Gateway és CDN WAF esetében működik. Mielőtt ezekből az erőforrásokból csatlakoztatja az adatokat, engedélyezni kell a log analytics használatát az erőforráson.

Ha engedélyezni szeretné az egyes erőforrások naplóelemzését, lépjen az egyéni Azure Front Door-, Application Gateway- vagy CDN-erőforrásra:

  1. Válassza a Diagnosztikai beállítások lehetőséget.

  2. Válassza a + Diagnosztikai beállítás hozzáadása elemet.

  3. A Diagnosztikai beállítás lapon:

    1. Írjon be egy nevet.
    2. Válassza a Küldés a Log Analyticsbe lehetőséget.
    3. Válassza ki a napló cél munkaterületét.
    4. Válassza ki az elemezni kívánt naplótípusokat:
      1. Application Gateway: "ApplicationGatewayAccessLog" és "ApplicationGatewayFirewallLog"
      2. Azure Front Door Standard/Premium: "FrontDoorAccessLog" és "FrontDoorFirewallLog"
      3. Klasszikus Azure Front Door: "FrontdoorAccessLog" és "FrontdoorFirewallLog"
      4. CDN: "AzureCdnAccessLog"
    5. Válassza a Mentés lehetőséget.

    Diagnosztikai beállítás

  4. Az Azure kezdőlapján írja be a Microsoft Sentinelt a keresősávba, és válassza ki a Microsoft Sentinel-erőforrást .

  5. Jelöljön ki egy már aktív munkaterületet, vagy hozzon létre egy új munkaterületet.

  6. A Microsoft Sentinel Tartalomkezelés területén válassza a Tartalomközpont lehetőséget.

  7. Keresse meg és válassza ki az Azure Web Application Firewall megoldást.

  8. A lap tetején található eszköztáron válassza a Telepítés/frissítés lehetőséget.

  9. A Microsoft Sentinel bal oldalán, a Konfiguráció területen válassza az Adatösszekötők lehetőséget.

  10. Keresse meg és válassza ki az Azure Web Application Firewall (WAF) lehetőséget. Kattintson az Összekötő megnyitása lapra a jobb alsó sarokban.

    Képernyőkép a Microsoft Sentinel adatösszekötőjéről.

  11. Kövesse a Konfiguráció területen található utasításokat minden olyan WAF-erőforráshoz, amelyhez naplóelemzési adatokat szeretne kapni, ha korábban még nem tette meg.

  12. Miután befejezte az egyes WAF-erőforrások konfigurálását, válassza a Következő lépések lapot. Válasszon egyet az ajánlott munkafüzetek közül. Ez a munkafüzet a korábban engedélyezett naplóelemzési adatokat fogja használni. Egy működő WAF-munkafüzetnek már léteznie kell a WAF-erőforrásokhoz.

    WAF-munkafüzetek

Fenyegetések automatikus észlelése és megválaszolása

A Sentinel által betöltött WAF-naplók használatával a Sentinel elemzési szabályaival automatikusan észlelheti a biztonsági támadásokat, biztonsági incidenseket hozhat létre, és forgatókönyvek használatával automatikusan reagálhat a biztonsági incidensekre. További információ Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben.

Az Azure WAF beépített Sentinel-észlelési szabálysablonokkal is rendelkezik az SQLi-, XSS- és Log4J-támadásokhoz. Ezek a sablonok a Sentinel "Szabálysablonok" szakaszának Elemzés lapján találhatók. Ezeket a sablonokat használhatja, vagy saját sablonokat határozhat meg a WAF-naplók alapján.

WAF-észlelések

A szabályok automatizálási szakasza egy forgatókönyv futtatásával segíthet automatikusan reagálni az incidensre. A támadásra válaszul szolgáló forgatókönyvre itt talál egy példát a hálózati biztonsági GitHub-adattárban. Ez a forgatókönyv automatikusan létrehozza a WAF-szabályzat egyéni szabályait, hogy letiltsa a támadó forrás IP-címeinek a WAF-elemzési szabályok által észlelt észlelését.

Következő lépések