Gevoelige gegevens maskeren in Azure Web Application Firewall

Met het hulpprogramma Logboekscrubering van Web Application Firewall (WAF) kunt u gevoelige gegevens uit uw WAF-logboeken verwijderen. Het werkt met behulp van een regelengine waarmee u aangepaste regels kunt maken om specifieke delen van een aanvraag te identificeren die gevoelige gegevens bevatten. Zodra dit is geïdentificeerd, verwijdert het hulpprogramma die gegevens uit uw logboeken en vervangt het door *******.

Notitie

Wanneer u de functie voor het reinigen van logboeken inschakelt, behoudt Microsoft nog steeds IP-adressen in onze interne logboeken ter ondersteuning van essentiële beveiligingsfuncties.

In de volgende tabel ziet u voorbeelden van regels voor het wissen van logboeken die kunnen worden gebruikt om uw gevoelige gegevens te beveiligen:

Overeenkomstvariabele	Operator	Selector	Wat wordt er geschrobd
Namen van aanvraagheaders	Is gelijk aan	X-Doorgestuurd-voor	REQUEST_HEADERS:x-forwarded-for.","data":"******"
Cookienamen aanvragen	Is gelijk aan	cookie1	"Overeenkomende gegevens: ****** gevonden in REQUEST_COOKIES:cookie1: ******"
Arg-namen aanvragen	Is gelijk aan	arg1	"requestUri":"/?arg1=******"
Namen van aanvraagpost arg	Is gelijk aan	Post1	"data":"Matched Data: ****** found in ARGS:post1: ******"
JSON-argnamen aanvragen	Is gelijk aan	Jsonarg	"data":"Matched Data: ****** found in ARGS:jsonarg: ******"
IP-adres aanvragen*	Is gelijk aan alle	NULL	"clientIp":"******"

* Aanvraag IP-adresregels ondersteunen alleen gelijk aan elke operator en verwijdert alle exemplaren van het IP-adres van de aanvrager die wordt weergegeven in de WAF-logboeken.

Zie Wat is Azure Web Application Firewall Sensitive Data Protection voor meer informatie?

Gevoelige gegevensbescherming inschakelen

Gebruik de volgende informatie om Gevoelige gegevensbeveiliging in te schakelen en te configureren.

Portal

Gevoelige gegevensbescherming inschakelen:

1. Open een bestaand WAF-beleid voor Application Gateway.
2. Selecteer gevoelige gegevens onder Instellingen.
3. Selecteer op de pagina Gevoelige gegevens de optie Logboekrobben inschakelen.

Log Scrubbing-regels configureren voor gevoelige gegevensbescherming:

1. Selecteer onder Regels voor het verwijderen van logboeken een variabele Vergelijken.
2. Selecteer een operator (indien van toepassing).
3. Typ een selector (indien van toepassing).
4. Selecteer Opslaan.

Herhaal dit om meer regels toe te voegen.

PowerShell

Gebruik de volgende Azure PowerShell-opdrachten om logboekwasregels te maken en te configureren voor gevoelige gegevensbescherming:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

CLI

Gebruik de volgende opdrachtregelinterfaceopdrachten voor het maken en configureren van logboekwasregels voor gevoelige gegevensbescherming:

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Gevoelige gegevensbescherming controleren

Als u uw regels voor gevoelige gegevensbescherming wilt controleren, opent u het firewalllogboek van Application Gateway en zoekt u in ****** plaats van de gevoelige velden.

Volgende stappen

• Log Analytics gebruiken om WaF-logboeken (Application Gateway Web Application Firewall) te onderzoeken