Como mascarar dados confidenciais no Firewall de Aplicativo Web do Azure

A ferramenta de depuração de logs do Web Application Firewall (WAF) ajuda você a remover dados confidenciais de seus logs WAF. Ele funciona usando um mecanismo de regras que permite criar regras personalizadas para identificar partes específicas de uma solicitação que contêm dados confidenciais. Uma vez identificada, a ferramenta limpa essas informações de seus logs e as substitui por *******.

Nota

Quando você habilita o recurso de depuração de logs, a Microsoft ainda retém endereços IP em nossos logs internos para oferecer suporte a recursos de segurança críticos.

A tabela a seguir mostra exemplos de regras de depuração de log que podem ser usadas para proteger seus dados confidenciais:

Variável de correspondência	Operador	Seletor	O que é esfregado
Solicitar nomes de cabeçalho	Igual a	X-Encaminhado para	REQUEST_HEADERS:x-forwarded-for.","data":"******"
Solicitar nomes de cookies	Igual a	biscoito1	"Dados correspondentes: ****** encontrados em REQUEST_COOKIES:cookie1: ******"
Solicitar nomes de Arg	Igual a	Arg1	"requestUri":"/?arg1=******"
Solicitar Post Arg Nomes	Igual a	Correio1	"data":"Dados correspondentes: ****** encontrados em ARGS:post1: ******"
Solicitar nomes JSON Arg	Igual a	Jsonarg	"data":"Dados correspondentes: ****** encontrados em ARGS:jsonarg: ******"
Solicitar endereço IP*	Igual a qualquer	NULL	"clientIp":"******"

* As regras de endereço IP de solicitação suportam apenas o igual a qualquer operador e elimina todas as instâncias do endereço IP do solicitante que aparecem nos logs WAF.

Para obter mais informações, consulte O que é a Proteção de Dados Confidenciais do Firewall de Aplicativo Web do Azure?

Habilite a proteção de dados confidenciais

Use as informações a seguir para habilitar e configurar a Proteção de Dados Confidenciais.

Portal

Para habilitar a Proteção de Dados Sensíveis:

1. Abra uma política WAF existente do Application Gateway.
2. Em Configurações, selecione Dados confidenciais.
3. Na página Dados confidenciais, selecione Habilitar depuração de log.

Para configurar regras de depuração de logs para proteção de dados confidenciais:

1. Em Regras de depuração de log, selecione uma variável Corresponder .
2. Selecione um Operador (se aplicável).
3. Digite um seletor (se aplicável).
4. Selecione Guardar.

Repita para adicionar mais regras.

PowerShell

Use os seguintes comandos do Azure PowerShell para criar e configurar regras de depuração de log para proteção de dados confidenciais:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

CLI

Use os seguintes comandos da Interface de Linha de Comando para criar e configurar regras de Depuração de Log para Proteção de Dados Confidenciais:

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Verificar a proteção de dados confidenciais

Para verificar suas regras de Proteção de Dados Confidenciais, abra o log do firewall do Application Gateway e pesquise ****** no lugar dos campos confidenciais.

Próximos passos

• Usar o Log Analytics para examinar os logs do Application Gateway Web Application Firewall (WAF)