Condividi tramite

Uso di Microsoft Sentinel con Web application firewall di Azure

  • Articolo

Web application firewall di Azure combinato con Microsoft Sentinel può fornire la gestione degli eventi informativi sulla sicurezza per le risorse WAF. Microsoft Sentinel offre analisi della sicurezza tramite Log Analytics, che consente di suddividere e visualizzare facilmente i dati WAF. Con Microsoft Sentinel è possibile accedere alle cartelle di lavoro predefinite e modificarle in base alle esigenze dell'organizzazione. La cartella di lavoro può visualizzare l'analisi per WAF nella rete per la distribuzione di contenuti di Azure (CDN), WAF in Frontdoor di Azure e WAF nel gateway applicazione in diverse sottoscrizioni e aree di lavoro.

Categorie di Log Analytics WAF

L'analisi dei log WAF è suddivisa nelle categorie seguenti:

  • Tutte le azioni WAF eseguite
  • Primi 40 indirizzi URI di richiesta bloccati
  • Primi 50 trigger di evento,
  • Messaggi nel tempo
  • Dettagli completi del messaggio
  • Eventi di attacco per messaggi
  • Eventi di attacco nel tempo
  • Filtro ID tracciabilità
  • Messaggi ID di traccia
  • Primi 10 indirizzi IP di attacco
  • Messaggi di attacco di indirizzi IP

Esempi di cartelle di lavoro WAF

Gli esempi di cartella di lavoro WAF seguenti mostrano i dati di esempio:

Screenshot del filtro delle azioni WAF.

Screenshot dei primi 50 eventi.

Screenshot degli eventi di attacco.

Screenshot dei primi 10 indirizzi IP di attacco.

Avviare una cartella di lavoro WAF

La cartella di lavoro di WAF funziona per tutte le applicazioni Frontdoor di Azure, il gateway applicazione e le reti CDN. Prima di connettere i dati da queste risorse, Log Analytics deve essere abilitato nella risorsa.

Per abilitare Log Analytics per ogni risorsa, passare alla singola risorsa Frontdoor di Azure, al gateway applicazione o alla rete CDN:

  1. Selezionare Impostazioni di diagnostica.

  2. Fare clic su + Aggiungi impostazione di diagnostica.

  3. Nella pagina Impostazioni di diagnostica:

    1. Digitare un nome.
    2. Selezionare Invia a Log Analytics.
    3. Scegliere l'area di lavoro di destinazione log.
    4. Selezionare i tipi di log da analizzare:
      1. Gateway applicazione: "ApplicationGatewayAccessLog" e "ApplicationGatewayFirewallLog"
      2. Frontdoor di Azure Standard/Premium: "FrontDoorAccessLog" e "FrontDoorFirewallLog"
      3. Frontdoor di Azure classico: "FrontdoorAccessLog" e "FrontdoorFirewallLog"
      4. Rete CDN: "AzureCdnAccessLog"
    5. Seleziona Salva.

    Impostazione di diagnostica

  4. Nella home page di Azure digitare Microsoft Sentinel nella barra di ricerca e selezionare la risorsa Microsoft Sentinel.

  5. Selezionare un'area di lavoro già attiva o crearne una nuova.

  6. In Microsoft Sentinel, in Gestione dei contenuti selezionare Hub contenuti.

  7. Trovare e selezionare la soluzione Web application firewall di Azure.

  8. Sulla barra degli strumenti nella parte superiore della pagina fare clic su Installa/Aggiorna.

  9. In Microsoft Sentinel, sul lato sinistro in Configurazione selezionare Connettori dati.

  10. Cercare e selezionare Web application firewall (WAF) di Azure. Selezionare Apri la pagina del connettore in basso a destra.

    Screenshot del connettore dati in Microsoft Sentinel.

  11. Seguire le istruzioni riportate in Configurazione per ogni risorsa WAF per cui si vogliono avere dati analitici dei log se non è stato fatto in precedenza.

  12. Al termine della configurazione delle singole risorse WAF, selezionare la scheda Passaggi successivi. Selezionare una delle cartelle di lavoro consigliate. Questa cartella di lavoro userà tutti i dati analitici dei log abilitati in precedenza. Una cartella di lavoro WAF funzionante dovrebbe ora esistere per le risorse WAF.

    Cartelle di lavoro WAF

Rilevare e rispondere automaticamente alle minacce

Usando i log WAF inseriti da Sentinel, è possibile usare le regole di analisi di Sentinel per rilevare automaticamente gli attacchi alla sicurezza, creare eventi imprevisti di sicurezza e rispondere automaticamente a tali eventi usando playbook. Altre informazioni Usare playbook con regole di automazione in Microsoft Sentinel.

Azure WAF include anche modelli di regole di rilevamento di Sentinel predefiniti per gli attacchi SQLi, XSS e Log4J. Questi modelli sono disponibili nella scheda Analisi nella sezione "Modelli di regola" di Sentinel. È possibile usare questi modelli o definire modelli personalizzati in base ai log WAF.

Rilevamenti WAF

La sezione di automazione di queste regole consente di rispondere automaticamente all'evento imprevisto eseguendo un playbook. Un esempio di un playbook di questo tipo per rispondere all'attacco è disponibile nel repository GitHub della sicurezza di rete disponibile qui. Questo playbook crea automaticamente regole personalizzate dei criteri WAF per bloccare gli indirizzi IP di origine dell'utente malintenzionato, come rilevato dalle regole di rilevamento di analisi WAF.

Passaggi successivi