Gevoelige gegevens maskeren in Azure Web Application Firewall in Azure Front Door

Met het hulpprogramma Voor het wissen van logboeken van Web Application Firewall (WAF) kunt u gevoelige gegevens uit uw WAF-logboeken verwijderen. Het werkt met behulp van een regelengine waarmee u aangepaste regels kunt maken om specifieke delen van een aanvraag te identificeren die gevoelige gegevens bevatten. Zodra dit is geïdentificeerd, verwijdert het hulpprogramma die gegevens uit uw logboeken en vervangt het door *******.

Notitie

Wanneer u de functie voor het reinigen van logboeken inschakelt, behoudt Microsoft nog steeds IP-adressen in onze interne logboeken ter ondersteuning van essentiële beveiligingsfuncties.

In de volgende tabel ziet u voorbeelden van regels voor het wissen van logboeken die kunnen worden gebruikt om uw gevoelige gegevens te beveiligen:

Overeenkomstvariabele	Operator	Selector	Wat wordt er geschrobd
Namen van aanvraagheaders	Is gelijk aan	keytoblock	{"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"^"}
Cookienamen aanvragen	Is gelijk aan	cookietoblock	{"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"^"}
Namen van aanvraagpost arg	Is gelijk aan	Var	{"matchVariableName":"PostParamValue:var","matchVariableValue":"^"}
JSON-namen van aanvraagbody	Is gelijk aan	JsonValue	{"matchVariableName":"JsonValue:key","matchVariableValue":"^"}
Namen van queryreeksen	Is gelijk aan	foo	{"matchVariableName":"QueryParamValue:foo","matchVariableValue":"^"}
IP-adres aanvragen*	Is gelijk aan alle	NULL	{"matchVariableName":"ClientIP","matchVariableValue":"^"}
Aanvraag-URI	Is gelijk aan alle	NULL	{"matchVariableName":"URI","matchVariableValue":"^"}

* Aanvraag IP-adres en aanvraag-URI-regels ondersteunen alleen de gelijke operatoren en verwijdert alle exemplaren van het IP-adres van de aanvrager die wordt weergegeven in de WAF-logboeken.

Zie Wat is Azure Web Application Firewall in Azure Front Door Sensitive Data Protection?

Gevoelige gegevensbescherming inschakelen

Gebruik de volgende informatie om Gevoelige gegevensbeveiliging in te schakelen en te configureren.

Portal

Gevoelige gegevensbescherming inschakelen:

1. Open een bestaand WaF-beleid voor Front Door.
2. Selecteer onder Instellingen gevoelige gegevens.
3. Selecteer op de pagina Gevoelige gegevens de optie Logboekrobben inschakelen.

Log Scrubbing-regels configureren voor gevoelige gegevensbescherming:

1. Selecteer onder Regels voor het verwijderen van logboeken een variabele Vergelijken.
2. Selecteer een operator (indien van toepassing).
3. Typ een selector (indien van toepassing).
4. Selecteer Opslaan.

Herhaal dit om meer regels toe te voegen.

PowerShell

Gebruik de volgende Azure PowerShell-opdrachten om logboekwasregels te maken en te configureren voor gevoelige gegevensbescherming:

New-AzFrontDoorWafLogScrubbingRuleObject -MatchVariable <String> -SelectorMatchOperator <String>
 -State <String> [-Selector <String>] [-DefaultProfile <IAzureContextContainer>]
 [<CommonParameters>]

New-AzFrontDoorWafLogScrubbingSettingObject -ScrubbingRule <PSFrontDoorWafLogScrubbingRule[]> -State <String>
 [-DefaultProfile <IAzureContextContainer>] [<CommonParameters>]

CLI

Gebruik de volgende opdrachtregelinterfaceopdrachten voor het maken en configureren van logboekwasregels voor gevoelige gegevensbescherming:

az network front-door waf-policy update -g <MyResourceGroup> -n <MyPolicyName> --log-scrubbing "{scrubbing-rules:[{match-variable:<MatchVariable>,selector-match-operator:<Operator>}],state:<Enabled/Disabled>}"

Gevoelige gegevensbescherming controleren

Als u de regels voor gevoelige gegevensbescherming wilt controleren, opent u het Front Door-firewalllogboek en zoekt u in ****** plaats van de gevoelige velden.

Volgende stappen

• Bewaking en logboekregistratie van Azure Web Application Firewall
• De mogelijkheden voor gegevensmaskering van Azure WAF voor Azure Front Door nader bekijken