Maskera känsliga data i Azure Web Application Firewall på Azure Front Door

Med waf-loggrensningsverktyget (Web Application Firewall) kan du ta bort känsliga data från WAF-loggarna. Det fungerar med hjälp av en regelmotor som gör att du kan skapa anpassade regler för att identifiera specifika delar av en begäran som innehåller känsliga data. När det har identifierats rensar verktyget informationen från loggarna och ersätter den med *******.

Kommentar

När du aktiverar funktionen för loggrensning behåller Microsoft fortfarande IP-adresser i våra interna loggar för att stödja viktiga säkerhetsfunktioner.

I följande tabell visas exempel på regler för loggrensning som kan användas för att skydda känsliga data:

Matchningsvariabel	Operator	Väljare	Vad blir skrubbad
Namn på begärandehuvud	Lika med	keytoblock	{"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"}
Begära cookienamn	Lika med	cookietoblock	{"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"}
Begäran efter Arg-namn	Lika med	var	{"matchVariableName":"PostParamValue:var","matchVariableValue":"****"}
JSON Arg-namn för begärandetext	Lika med	JsonValue	{"matchVariableName":"JsonValue:key","matchVariableValue":"****"}
Arg-namn för frågesträng	Lika med	foo	{"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"}
Begär IP-adress*	Är lika med alla	NULL	{"matchVariableName":"ClientIP","matchVariableValue":"****"}
URI för förfrågan	Är lika med alla	NULL	{"matchVariableName":"URI","matchVariableValue":"****"}

* Begärande-IP-adress och begärande-URI-regler har endast stöd för alla operatorer och rensar alla instanser av beställarens IP-adress som visas i WAF-loggarna.

Mer information finns i Vad är Azure Web Application Firewall på Azure Front Door Sensitive Data Protection?

Aktivera känsligt dataskydd

Använd följande information för att aktivera och konfigurera känsligt dataskydd.

Portal

Så här aktiverar du känsligt dataskydd:

1. Öppna en befintlig Front Door WAF-princip.
2. Under Inställningar väljer du Känsliga data.
3. På sidan Känsliga data väljer du Aktivera loggrensning.

Så här konfigurerar du loggrensningsregler för känsligt dataskydd:

1. Under Loggrensningsregler väljer du en Match-variabel.
2. Välj en operator (om tillämpligt).
3. Skriv en väljare (om tillämpligt).
4. Välj Spara.

Upprepa för att lägga till fler regler.

PowerShell

Använd följande Azure PowerShell-kommandon för att skapa och konfigurera Log Scrubbing-regler för känsligt dataskydd:

New-AzFrontDoorWafLogScrubbingRuleObject -MatchVariable <String> -SelectorMatchOperator <String>
 -State <String> [-Selector <String>] [-DefaultProfile <IAzureContextContainer>]
 [<CommonParameters>]

New-AzFrontDoorWafLogScrubbingSettingObject -ScrubbingRule <PSFrontDoorWafLogScrubbingRule[]> -State <String>
 [-DefaultProfile <IAzureContextContainer>] [<CommonParameters>]

CLI

Använd följande kommandoradsgränssnittskommandon för att skapa och konfigurera loggrensningsregler för känsligt dataskydd:

az network front-door waf-policy update -g <MyResourceGroup> -n <MyPolicyName> --log-scrubbing "{scrubbing-rules:[{match-variable:<MatchVariable>,selector-match-operator:<Operator>}],state:<Enabled/Disabled>}"

Verifiera känsligt dataskydd

Om du vill verifiera dina regler för känsligt dataskydd öppnar du Brandväggsloggen för Front Door och söker efter i stället för ****** de känsliga fälten.

Nästa steg

• Övervakning och loggning av Azure Web Application Firewall
• En närmare titt på Azure WAF:s datamaskeringsfunktioner för Azure Front Door