Deteksi dan respons otomatis untuk Azure WAF dengan Microsoft Azure Sentinel

Penyerang berbahaya semakin menargetkan aplikasi web dengan mengeksploitasi kerentanan yang umum diketahui seperti injeksi SQL dan pembuatan skrip lintas situs. Mencegah serangan ini dalam kode aplikasi menimbulkan tantangan, membutuhkan pemeliharaan, patching, dan pemantauan yang ketat di beberapa lapisan topologi aplikasi. Solusi Web Application Firewall (WAF) dapat bereaksi terhadap ancaman keamanan lebih cepat dengan menambal kerentanan yang diketahui secara terpusat, alih-alih mengamankan setiap aplikasi web individu. Azure Web Application Firewall (WAF) adalah layanan cloud-native yang melindungi aplikasi web dari teknik peretasan web umum. Anda dapat menyebarkan layanan ini dalam hitungan menit untuk mendapatkan visibilitas lengkap ke dalam lalu lintas aplikasi web dan memblokir serangan web berbahaya.

Mengintegrasikan Azure WAF dengan Microsoft Sentinel (solusi SIEM/SOAR cloud-native) untuk deteksi dan respons otomatis terhadap ancaman/insiden/pemberitahuan adalah keuntungan tambahan dan mengurangi intervensi manual yang diperlukan untuk memperbarui kebijakan WAF.

Dalam artikel ini, Anda mempelajari tentang templat deteksi WAF di Sentinel, menyebarkan playbook, dan mengonfigurasi deteksi dan respons di Sentinel menggunakan templat ini dan playbook.

Prasyarat

• Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
• Penyebaran Azure Front Door dengan kebijakan WAF terkait. Untuk informasi selengkapnya, lihat Mulai Cepat: Membuat Front Door Standard/Premium menggunakan templat ARM, dan Tutorial: Membuat kebijakan WAF di Azure Front Door dengan menggunakan portal Azure.
• Azure Front Door dikonfigurasi untuk mengambil log di ruang kerja Analitik Log. Untuk informasi selengkapnya, lihat Mengonfigurasi log Azure Front Door.

Menyebarkan playbook

Anda menginstal playbook Sentinel bernama Block-IPAzureWAF dari templat di GitHub. Playbook ini berjalan sebagai respons terhadap insiden WAF. Tujuannya adalah untuk membuat atau memodifikasi aturan kustom dalam kebijakan WAF untuk memblokir permintaan dari alamat IP tertentu. Ini dicapai menggunakan Azure REST API.

Anda menginstal playbook dari templat di GitHub.

1. Buka repositori GitHub dan pilih Sebarkan ke Azure untuk meluncurkan templat.
2. Isi parameter yang diperlukan. Anda bisa mendapatkan ID Front Door Anda dari portal Azure. ID Front Door adalah ID sumber daya sumber daya Front Door.
3. Pilih Ulas + buat, lalu pilih Buat.

Mengotorisasi koneksi API

Koneksi API bernama azuresentinel-Block-IPAzureWAF dibuat sebagai bagian dari penyebaran ini. Anda harus mengotorisasinya dengan ID Azure Anda untuk mengizinkan playbook membuat perubahan pada kebijakan WAF Anda.

1. Di portal Azure, pilih koneksi API Azuresentinel-Block-IPAzureWAF.
2. Pilih Edit koneksi API.
3. Di bawah Nama Tampilan, ketik ID Azure Anda.
4. Pilih Otorisasi.
5. Pilih Simpan.

Mengonfigurasi penetapan peran Kontributor

Playbook harus memiliki izin yang diperlukan untuk mengkueri dan mengubah kebijakan WAF yang ada melalui REST API. Anda dapat menetapkan playbook Identitas Terkelola yang ditetapkan sistem dengan izin Kontributor pada sumber daya Front Door bersama dengan kebijakan WAF terkait. Anda dapat menetapkan izin hanya jika akun Anda telah diberi peran Pemilik atau Administrator Akses Pengguna ke sumber daya yang mendasar.

Ini dapat dilakukan menggunakan bagian IAM di sumber daya masing-masing dengan menambahkan penetapan peran baru ke playbook ini.

1. Di portal Azure, pilih sumber daya Front Door.
2. Di panel kiri, pilih Kontrol akses (IAM).
3. Pilih Penetapan peran.
4. Pilih Tambahkan lalu Tambahkan penetapan peran.
5. Pilih Peran administrator istimewa.
6. Pilih Kontributor lalu pilih Berikutnya.
7. Pilih Pilih anggota.
8. Cari Block-IPAzureWAF dan pilih. Mungkin ada beberapa entri untuk playbook ini. Yang baru-baru ini Anda tambahkan biasanya yang terakhir dalam daftar.
9. Pilih Blokir-IPAzureWAF dan pilih Pilih.
10. Pilih Tinjau + tetapkan.

Ulangi prosedur ini untuk sumber daya kebijakan WAF.

Menambahkan Microsoft Azure Sentinel ke ruang kerja Anda

1. Di portal Azure, cari lalu buka Microsoft Azure Sentinel.
2. Pilih Buat.
3. Pilih ruang kerja Anda, lalu pilih Tambahkan.

Mengonfigurasi penetapan peran Kontributor Aplikasi Logika

Akun Anda harus memiliki izin pemilik pada grup sumber daya apa pun yang ingin Anda berikan izin Microsoft Sentinel, dan Anda harus memiliki peran Kontributor Aplikasi Logika pada grup sumber daya apa pun yang berisi playbook yang ingin Anda jalankan.

1. Di portal Azure, pilih grup sumber daya yang berisi playbook.
2. Di panel kiri, pilih Kontrol akses (IAM).
3. Pilih Penetapan peran.
4. Pilih Tambahkan lalu Tambahkan penetapan peran.
5. Pilih cari Kontributor Aplikasi Logika, pilih kontributor, lalu pilih Berikutnya.
6. Pilih Pilih anggota.
7. Cari akun Anda dan pilih akun tersebut.
8. Pilih Pilih.
9. Pilih Selanjutnya.
10. Pilih Tinjau + tetapkan.

Mengonfigurasi deteksi dan respons

Ada templat kueri deteksi untuk serangan SQLi dan XSS di Sentinel untuk Azure WAF. Anda dapat mengunduh templat ini dari hub Konten. Dengan menggunakan templat ini, Anda dapat membuat aturan analitik yang mendeteksi jenis pola serangan tertentu di log WAF dan memberi tahu analis keamanan lebih lanjut dengan membuat insiden. Bagian otomatisasi dari aturan ini dapat membantu Anda menanggapi insiden ini dengan memblokir IP sumber penyerang pada kebijakan WAF, yang kemudian menghentikan serangan berikutnya di muka dari alamat IP sumber ini. Microsoft terus berupaya menyertakan lebih banyak Templat Deteksi untuk skenario deteksi dan respons lainnya.

Menginstal templat

1. Dari Microsoft Azure Sentinel, di bawah Konfigurasi di panel kiri, pilih Analitik.
2. Di bagian atas halaman, pilih Konten lainnya di Hub konten.
3. Cari Azure Web Application Firewall, pilih lalu pilih Instal.

Membuat aturan analitik

1. Dari Microsoft Azure Sentinel, di bawah Konfigurasi di panel kiri, pilih Analitik.

2. Pilih Templat aturan. Mungkin perlu beberapa menit agar templat muncul.

3. Pilih templat Front Door Premium WAF - SQLi Detection.

4. Di panel kanan, pilih Buat aturan.

5. Terima semua default dan lanjutkan ke Respons otomatis. Anda dapat mengedit pengaturan ini nanti untuk menyesuaikan aturan.

   Tip

   Jika Anda melihat kesalahan dalam kueri aturan, itu mungkin karena Anda tidak memiliki log WAF di ruang kerja Anda. Anda dapat membuat beberapa log dengan mengirim lalu lintas pengujian ke aplikasi web Anda. Misalnya, Anda dapat mensimulasikan serangan SQLi dengan mengirim permintaan seperti ini: http://x.x.x.x/?text1=%27OR%27%27=%27. Ganti x.x.x.x dengan URL Front Door Anda.

6. Pada halaman Respons otomatis, pilih Tambahkan baru.

7. Pada halaman Buat aturan otomatisasi baru, ketik nama untuk aturan tersebut.

8. Di bawah Pemicu, pilih Saat pemberitahuan dibuat.

9. Di bawah Tindakan, pilih Kelola izin playbook.

10. Pada halaman Kelola izin , pilih grup sumber daya Anda dan pilih Terapkan.

11. Kembali ke halaman Buat aturan otomatisasi baru, di bawah Tindakan pilih playbook Block-IPAzureWAF dari daftar drop-down.

12. Pilih Terapkan.

13. Pilih Berikutnya: Tinjau + buat.

14. Pilih Simpan.

Setelah aturan Analitik dibuat dengan pengaturan aturan Automation masing-masing, Anda sekarang siap untuk Deteksi dan Respons. Alur peristiwa berikut terjadi selama serangan:

• Azure WAF mencatat lalu lintas saat penyerang mencoba menargetkan salah satu aplikasi web di belakangnya. Sentinel kemudian menyerap log ini.
• Aturan Analitik/Deteksi yang Anda konfigurasi mendeteksi pola untuk serangan ini dan menghasilkan insiden untuk memberi tahu analis.
• Aturan otomatisasi yang merupakan bagian dari aturan analitik memicu playbook masing-masing yang Anda konfigurasi sebelumnya.
• Playbook membuat aturan kustom yang disebut SentinelBlockIP dalam kebijakan WAF masing-masing, yang mencakup IP sumber penyerang.
• WAF memblokir upaya serangan berikutnya, dan jika penyerang mencoba menggunakan IP sumber lain, WAF menambahkan IP sumber masing-masing ke aturan blok.

Poin pentingnya adalah bahwa secara default Azure WAF memblokir serangan web berbahaya dengan bantuan ruleset inti mesin Azure WAF. Namun, konfigurasi deteksi dan respons otomatis ini semakin meningkatkan keamanan dengan memodifikasi atau menambahkan aturan blok kustom baru pada kebijakan Azure WAF untuk alamat IP sumber masing-masing. Ini memastikan bahwa lalu lintas dari alamat IP sumber ini diblokir bahkan sebelum mencapai set aturan mesin Azure WAF.

Konten terkait

• Menggunakan Microsoft Azure Sentinel dengan Azure Web Application Firewall