Partilhar via

Usando o Microsoft Sentinel com o Azure Web Application Firewall

  • Artigo

O Azure Web Application Firewall (WAF) combinado com o Microsoft Sentinel pode fornecer gerenciamento de eventos de informações de segurança para recursos do WAF. O Microsoft Sentinel fornece análises de segurança usando o Log Analytics, que permite decompor e visualizar facilmente seus dados WAF. Usando o Microsoft Sentinel, você pode acessar pastas de trabalho pré-criadas e modificá-las para melhor atender às necessidades da sua organização. A pasta de trabalho pode mostrar análises para WAF na CDN (Rede de Entrega de Conteúdo) do Azure, WAF na Porta da Frente do Azure e WAF no Gateway de Aplicativo em várias assinaturas e espaços de trabalho.

Categorias de análise de log do WAF

As análises de log do WAF são divididas nas seguintes categorias:

  • Todas as ações do WAF tomadas
  • Os 40 principais endereços de URI de solicitação bloqueados
  • Top 50 gatilhos de eventos,
  • Mensagens ao longo do tempo
  • Detalhes completos da mensagem
  • Eventos de ataque por mensagens
  • Eventos de ataque ao longo do tempo
  • Filtro de ID de rastreamento
  • Mensagens de ID de rastreamento
  • Os 10 principais endereços IP que atacam
  • Mensagens de ataque de endereços IP

Exemplos de pasta de trabalho WAF

Os seguintes exemplos de pasta de trabalho WAF mostram dados de exemplo:

Captura de ecrã do filtro de ações WAF.

Captura de ecrã dos 50 principais eventos.

Captura de ecrã de eventos de ataque.

Screenshot dos 10 principais endereços IP atacantes.

Iniciar uma pasta de trabalho WAF

A pasta de trabalho WAF funciona para todos os WAFs do Azure Front Door, Application Gateway e CDN. Antes de conectar os dados desses recursos, a análise de log deve ser habilitada em seu recurso.

Para habilitar a análise de log para cada recurso, vá para seu recurso individual do Azure Front Door, Application Gateway ou CDN:

  1. Selecione Configurações de diagnóstico.

  2. Selecione +Adicionar definição de diagnóstico.

  3. Na página Configuração de diagnóstico:

    1. Digite um nome.
    2. Selecione Enviar para o Log Analytics.
    3. Escolha o espaço de trabalho de destino do log.
    4. Selecione os tipos de log que você deseja analisar:
      1. Application Gateway: 'ApplicationGatewayAccessLog' e 'ApplicationGatewayFirewallLog'
      2. Azure Front Door Standard/Premium: 'FrontDoorAccessLog' e 'FrontDoorFirewallLog'
      3. Azure Front Door classic: 'FrontdoorAccessLog' e 'FrontdoorFirewallLog'
      4. CDN: 'AzureCdnAccessLog'
    5. Selecione Guardar.

    Configuração de diagnóstico

  4. Na home page do Azure, digite Microsoft Sentinel na barra de pesquisa e selecione o recurso Microsoft Sentinel .

  5. Selecione um espaço de trabalho já ativo ou crie um novo espaço de trabalho.

  6. No Microsoft Sentinel, em Gerenciamento de conteúdo, selecione Hub de conteúdo.

  7. Localize e selecione a solução Azure Web Application Firewall .

  8. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

  9. No Microsoft Sentinel, no lado esquerdo em Configuração, selecione Conectores de Dados.

  10. Procure e selecione Azure Web Application Firewall (WAF). Selecione Abrir página do conector no canto inferior direito.

    Captura de ecrã do conector de dados no Microsoft Sentinel.

  11. Siga as instruções em Configuração para cada recurso WAF para o qual você deseja ter dados analíticos de log, caso não tenha feito isso anteriormente.

  12. Depois de concluir a configuração de recursos WAF individuais, selecione a guia Próximas etapas . Selecione uma das pastas de trabalho recomendadas. Esta pasta de trabalho usará todos os dados analíticos de log habilitados anteriormente. Uma pasta de trabalho WAF em funcionamento agora deve existir para seus recursos WAF.

    Pastas de trabalho WAF

Detetar e responder automaticamente a ameaças

Usando os logs WAF ingeridos pelo Sentinel, você pode usar as regras de análise do Sentinel para detetar automaticamente ataques de segurança, criar incidentes de segurança e responder automaticamente a incidentes de segurança usando playbooks. Saiba mais Use playbooks com regras de automação no Microsoft Sentinel.

O Azure WAF também vem com modelos de regras de deteção Sentinel internos para ataques SQLi, XSS e Log4J. Estes modelos podem ser encontrados no separador Análise, na secção «Modelos de regras» do Sentinel. Você pode usar esses modelos ou definir seus próprios modelos com base nos logs do WAF.

Deteções WAF

A seção de automação dessas regras pode ajudá-lo a responder automaticamente ao incidente executando um playbook. Um exemplo desse manual para responder a ataques pode ser encontrado no repositório GitHub de segurança de rede aqui. Este manual cria automaticamente regras personalizadas de política do WAF para bloquear os IPs de origem do invasor, conforme detetado pelas regras de deteção de análise do WAF.

Próximos passos