Maskera känsliga data i Azure Web Application Firewall

Loggrensningsverktyget för webbaserade program (WAF) hjälper dig att ta bort känsliga data från dina WAF-loggar. Det fungerar med hjälp av en regelmotor som gör att du kan skapa anpassade regler för att identifiera specifika delar av en begäran som innehåller känsliga data. När det har identifierats rensar verktyget informationen från loggarna och ersätter den med *******.

Kommentar

Loggrensningsfunktionen stöds endast i brandväggar för webbprogram som kör den senaste WAF-motorn. Välj OWASP CRS 3.2 eller Standardregeluppsättning 2.1 som hanterad regeluppsättning.

Kommentar

När du aktiverar funktionen för loggrensning behåller Microsoft fortfarande IP-adresser i våra interna loggar för att stödja viktiga säkerhetsfunktioner.

I följande tabell visas exempel på regler för loggrensning som kan användas för att skydda känsliga data:

Matchningsvariabel	Operator	Väljare	Vad blir skrubbad
Namn på begärandehuvud	Lika med	X-Forwarded-For	REQUEST_HEADERS:x-forwarded-for.","data":"******"
Begära cookienamn	Lika med	cookie1	"Matchade data: ****** hittades i REQUEST_COOKIES:cookie1: ******"
Begär Arg-namn	Lika med	arg1	"requestUri":"/?arg1=******"
Begäran efter Arg-namn	Lika med	Post1	"data":"Matchade data: ****** hittades i ARGS:post1: ******"
Begär JSON Arg-namn	Lika med	Jsonarg	"data":"Matchade data: ****** som finns i ARGS:jsonarg: ******"
Begär IP-adress*	Är lika med alla	NULL	"clientIp":"******"

* Regler för begärande-IP-adress stöder endast lika med alla operatorer och rensar alla instanser av begärandegivarens IP-adress som visas i WAF-loggarna.

Mer information finns i Vad är Azure Web Application Firewall Sensitive Data Protection?

Aktivera känsligt dataskydd

Använd följande information för att aktivera och konfigurera känsligt dataskydd.

Portal

Så här aktiverar du känsligt dataskydd:

1. Öppna en befintlig Application Gateway WAF-princip.
2. Under Inställningar väljer du Känsliga data.
3. På sidan Känsliga data väljer du Aktivera loggrensning.

Så här konfigurerar du loggrensningsregler för känsligt dataskydd:

1. Under Loggrensningsregler väljer du en Match-variabel.
2. Välj en operator (om tillämpligt).
3. Skriv en väljare (om tillämpligt).
4. Välj Spara.

Upprepa för att lägga till fler regler.

PowerShell

Använd följande Azure PowerShell-kommandon för att skapa och konfigurera Log Scrubbing-regler för känsligt dataskydd:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

CLI

Använd följande kommandoradsgränssnittskommandon för att skapa och konfigurera loggrensningsregler för känsligt dataskydd:

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Verifiera känsligt dataskydd

Om du vill verifiera dina regler för känsligt dataskydd öppnar du Application Gateway-brandväggsloggen och söker efter i stället för ****** de känsliga fälten.

Nästa steg

• Använda Log Analytics för att undersöka LOGGARna för Application Gateway Web Application Firewall (WAF)