Conexión de datos del firewall de aplicaciones web (WAF) de AzureConnect data from Azure Web Application Firewall (WAF)

Las aplicaciones web son cada vez más el objetivo de ataques malintencionados que aprovechan vulnerabilidades habitualmente conocidas.Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. El firewall de aplicaciones web (WAF) de Azure proporciona protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad y amenazas comunes, como la inyección de código y el scripting entre sitios.Azure Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and threats, such as code injection and cross-site scripting. WAF de Azure se puede implementar en el servicio Azure Application Gateway, el servicio Azure Front Door y mediante una directiva WAF de Azure Content Delivery Network (CDN) (esta última actualmente en versión preliminar pública).Azure WAF can be deployed on the Azure Application Gateway service, the Azure Front Door service, and through an Azure Content Delivery Network (CDN) WAF policy (the latter currently in public preview). Los registros de WAF de Azure se pueden conectar a Azure Sentinel, de forma que es posible ver los datos de registro en los libros, usarlos para crear alertas personalizadas e incorporarlos para mejorar su investigación.You can connect Azure WAF logs to Azure Sentinel, enabling you to view log data in workbooks, use it to create custom alerts, and incorporate it to improve your investigation.

Requisitos previosPrerequisites

  • Debe tener permisos de lectura y escritura en el área de trabajo de Azure Sentinel.You must have read and write permissions on the Azure Sentinel workspace.

Conexión a WAF de AzureConnect to Azure WAF

Pestaña InstruccionesInstructions tab

  1. En el menú de navegación de Azure Sentinel, seleccione Data connectors (Conectores de datos).From the Azure Sentinel navigation menu, select Data connectors.

  2. Seleccione Azure web application firewall (WAF) (Firewall de aplicaciones web [WAF]) en la galería de conectores de datos y, luego, seleccione Open Connector Page (Abrir página del conector) en el panel de vista previa.Select Azure web application firewall (WAF) from the data connectors gallery, and then select Open Connector Page on the preview pane.

  3. Seleccione el vínculo correspondiente al tipo de recurso WAF cuyos registros quiere conectar: Open Application Gateway resource > , Open Front Door resource > o Open Content Delivery Network (CDN) WAF policy > (Abrir recurso de Application Gateway > Abrir recurso de Front Door > Abrir directiva WAF de Content Delivery Network [CDN]) y, una vez en la pantalla de la lista de recursos, elija un recurso WAF de la lista.Select the link for the type of WAF resource whose logs you wish to connect – Open Application Gateway resource >, Open Front Door resource >, or Open Content Delivery Network (CDN) WAF policy > – and once in the resource list’s screen, choose a WAF resource from the list.

    1. En el menú de navegación del recurso WAF, seleccione Configuración de diagnóstico.From the WAF resource's navigation menu, select Diagnostic settings.

    2. Seleccione + Agregar configuración de diagnóstico.Select + Add diagnostic setting at the bottom of the list.

    3. En la pantalla Configuración de diagnóstico, escriba un nombre en el campo Nombre de la configuración de diagnóstico.In the Diagnostic settings screen, type a name in the Diagnostic settings name field.

    4. Haga clic en la casilla Enviar a Log Analytics.Click the Send to Log Analytics check box. Se mostrarán dos nuevos campos debajo.Two new fields will be displayed below it. Elija la suscripción y el área de trabajo de Log Analytics pertinentes (donde reside Azure Sentinel).Choose the relevant Subscription and Log Analytics Workspace (where Azure Sentinel resides).

    5. Haga clic en las casillas de los tipos de regla cuyos registros quiere ingerir.Click the check boxes of the rule types whose logs you want to ingest. Nuestras recomendaciones para cada tipo de recurso:Our recommendations for each resource type:

      ResourceResource Registros para seleccionar para la ingestaLogs to select for ingestion
      Application GatewayApplication Gateway ApplicationGatewayAccessLogApplicationGatewayAccessLog
      ApplicationGatewayFirewallLogApplicationGatewayFirewallLog
      Front DoorFront Door FrontdoorAccessLogFrontdoorAccessLog
      FrontdoorWebApplicationFirewallLogFrontdoorWebApplicationFirewallLog
      Directiva WAF de CDNCDN WAF policy WebApplicationFirewallLogsWebApplicationFirewallLogs
    6. Seleccione Guardar.Select Save.

Pestaña Pasos siguientesNext steps tab

  • Consulte los libros, los ejemplos de consulta y las plantillas de regla de análisis recomendados que se incluyen con el conector de datos Firewall de aplicaciones web de Azure para obtener información sobre los datos de registro de WAF de Azure.See the recommended workbooks, query samples, and analytics rule templates that are bundled with the Azure web application firewall data connector, to get insight into your Azure WAF log data.

  • Para consultar los datos de WAF de Azure en Registros, escriba AzureDiagnostics en la ventana de consulta.To query Azure WAF data in Logs, type AzureDiagnostics in the query window.

Nota

Con este conector de datos concreto, los indicadores de estado de conectividad (una franja de color en la galería de conectores de datos y los iconos de conexión situados junto a los nombres de tipo de datos) se mostrarán como Conectado (verde) solo si los datos se han ingerido en algún momento en las dos últimas semanas.With this particular data connector, the connectivity status indicators (a color stripe in the data connectors gallery and connection icons next to the data type names) will show as connected (green) only if data has been ingested at some point in the past two weeks. Transcurridas dos semanas sin ingesta de datos, el conector se mostrará como desconectado.Once two weeks have passed with no data ingestion, the connector will show as being disconnected. En el momento en que circulen más datos, se devolverá el estado conectado.The moment more data comes through, the connected status will return.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar registros de WAF de Azure a Azure Sentinel.In this document, you learned how to connect Azure WAF logs to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: