Rilevamento e risposta automatizzati per Azure WAF con Microsoft Sentinel

Gli utenti malintenzionati usano sempre più applicazioni Web sfruttando vulnerabilità note come SQL injection e scripting tra siti. La prevenzione di questi attacchi nel codice dell'applicazione costituisce una sfida, richiedendo una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione. Una soluzione Web Application Firewall (WAF) può reagire più rapidamente a una minaccia alla sicurezza applicando patch centralizzate a una vulnerabilità nota, invece di proteggere ogni singola applicazione Web. Web application firewall (WAF) di Azure è un servizio nativo del cloud che protegge le app Web da tecniche comuni di hacking Web. È possibile distribuire questo servizio in pochi minuti per ottenere visibilità completa sul traffico dell'applicazione Web e bloccare attacchi Web dannosi.

L'integrazione di Azure WAF con Microsoft Sentinel (una soluzione SIEM/SOAR nativa del cloud) per il rilevamento automatizzato e la risposta a minacce/eventi imprevisti/avvisi è un vantaggio aggiuntivo e riduce l'intervento manuale necessario per aggiornare i criteri WAF.

Questo articolo illustra i modelli di rilevamento WAF in Sentinel, distribuisce un playbook e configura il rilevamento e la risposta in Sentinel usando questi modelli e il playbook.

Prerequisiti

• Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
• Distribuzione di Frontdoor di Azure con un criterio WAF associato. Per altre informazioni, vedere Avvio rapido: Creare un frontdoor Standard/Premium usando un modello di Resource Manager e Esercitazione: Creare un criterio WAF in Frontdoor di Azure usando il portale di Azure.
• Frontdoor di Azure configurato per acquisire i log in un'area di lavoro Log Analytics. Per altre informazioni, vedere Configurare i log di Frontdoor di Azure.

Distribuire il playbook

Si installa un playbook sentinel denominato Block-IPAzureWAF da un modello in GitHub. Questo playbook viene eseguito in risposta agli eventi imprevisti di WAF. L'obiettivo è creare o modificare una regola personalizzata in un criterio WAF per bloccare le richieste da un determinato indirizzo IP. Questa operazione viene eseguita usando l'API REST di Azure.

Il playbook viene installato da un modello in GitHub.

1. Passare al repository GitHub e selezionare Distribuisci in Azure per avviare il modello.
2. Compilare i parametri obbligatori. È possibile ottenere l'ID frontdoor dal portale di Azure. L'ID frontdoor è l'ID risorsa della risorsa Frontdoor.
3. Selezionare Rivedi e crea e quindi Crea.

Autorizzare la connessione API

Una connessione API denominata azuresentinel-Block-IPAzureWAF viene creata come parte di questa distribuzione. È necessario autorizzarlo con l'ID Di Azure per consentire al playbook di apportare modifiche ai criteri WAF.

1. Nella portale di Azure selezionare la connessione api azuresentinel-Block-IPAzureWAF.
2. Selezionare Modifica connessione API.
3. In Nome visualizzato digitare l'ID di Azure.
4. Seleziona Autorizza.
5. Seleziona Salva.

Configurare l'assegnazione di ruolo Collaboratore

Il playbook deve disporre delle autorizzazioni necessarie per eseguire query e modificare i criteri WAF esistenti tramite l'API REST. È possibile assegnare il playbook a un'identità gestita assegnata dal sistema con autorizzazioni di collaboratore per la risorsa Frontdoor insieme ai criteri WAF associati. È possibile assegnare autorizzazioni solo se all'account sono stati assegnati ruoli Proprietario o Accesso utenti Amministrazione istrator alla risorsa sottostante.

Questa operazione può essere eseguita usando la sezione IAM nella rispettiva risorsa aggiungendo una nuova assegnazione di ruolo a questo playbook.

1. Nella portale di Azure selezionare la risorsa Frontdoor.
2. Nel riquadro sinistro selezionare Controllo di accesso (IAM).
3. Selezionare le Assegnazioni di ruoli.
4. Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo.
5. Selezionare Ruoli di amministratore con privilegi.
6. Selezionare Collaboratore e quindi Avanti.
7. Selezionare Seleziona membri.
8. Cercare Block-IPAzureWAF e selezionarlo. Potrebbero essere presenti più voci per questo playbook. Quello aggiunto di recente in genere l'ultimo nell'elenco.
9. Selezionare Block-IPAzureWAF e selezionare Seleziona.
10. Seleziona Rivedi + assegna.

Ripetere questa procedura per la risorsa dei criteri WAF.

Aggiungere Microsoft Sentinel all'area di lavoro

1. Nella portale di Azure cercare e quindi aprire Microsoft Sentinel.
2. Seleziona Crea.
3. Selezionare l'area di lavoro e quindi selezionare Aggiungi.

Configurare l'assegnazione di ruolo Collaboratore app per la logica

L'account deve disporre delle autorizzazioni di proprietario per qualsiasi gruppo di risorse a cui si desidera concedere le autorizzazioni di Microsoft Sentinel ed è necessario avere il ruolo Collaboratore app per la logica in qualsiasi gruppo di risorse contenente playbook da eseguire.

1. Nella portale di Azure selezionare il gruppo di risorse che contiene il playbook.
2. Nel riquadro sinistro selezionare Controllo di accesso (IAM).
3. Selezionare le Assegnazioni di ruoli.
4. Selezionare Aggiungi e quindi Aggiungi assegnazione di ruolo.
5. Selezionare Cerca Collaboratore app per la logica, selezionarlo e quindi selezionare Avanti.
6. Selezionare Seleziona membri.
7. Cercare l'account e selezionarlo.
8. Selezionare Seleziona.
9. Selezionare Avanti.
10. Seleziona Rivedi + assegna.

Configurare il rilevamento e la risposta

Sono disponibili modelli di query di rilevamento per gli attacchi SQLi e XSS in Sentinel per Azure WAF. È possibile scaricare questi modelli dall'hub contenuto. Usando questi modelli, è possibile creare regole di analisi che rilevano specifici tipi di modelli di attacco nei log waf e inviare ulteriori notifiche all'analista della sicurezza creando un evento imprevisto. La sezione di automazione di queste regole consente di rispondere a questo evento imprevisto bloccando l'indirizzo IP di origine dell'utente malintenzionato nei criteri WAF, che interrompe quindi gli attacchi successivi prima da questi indirizzi IP di origine. Microsoft sta continuamente lavorando per includere più modelli di rilevamento per altri scenari di rilevamento e risposta.

Installare i modelli

1. In Configurazione nel riquadro sinistro di Microsoft Sentinel selezionare Analisi.
2. Nella parte superiore della pagina selezionare Altro contenuto nell'hub contenuto.
3. Cercare Web application firewall di Azure, selezionarlo e quindi selezionare Installa.

Creare una regola analitica

1. In Configurazione nel riquadro sinistro di Microsoft Sentinel selezionare Analisi.

2. Selezionare Modelli di regola. La visualizzazione dei modelli potrebbe richiedere alcuni minuti.

3. Selezionare il modello Frontdoor Premium WAF - RILEVAMENTO SQLi.

4. Nel riquadro destro selezionare Crea regola.

5. Accettare tutte le impostazioni predefinite e passare a Risposta automatica. È possibile modificare queste impostazioni in un secondo momento per personalizzare la regola.

   Suggerimento

   Se viene visualizzato un errore nella query della regola, è possibile che non siano presenti log WAF nell'area di lavoro. È possibile generare alcuni log inviando il traffico di test all'app Web. Ad esempio, è possibile simulare un attacco SQLi inviando una richiesta simile alla seguente: http://x.x.x.x/?text1=%27OR%27%27=%27. Sostituire x.x.x.x con l'URL di Frontdoor.

6. Nella pagina Risposta automatica selezionare Aggiungi nuovo.

7. Nella pagina Crea nuova regola di automazione digitare un nome per la regola.

8. In Trigger selezionare Quando viene creato l'avviso.

9. In Azioni selezionare Gestisci autorizzazioni playbook.

10. Nella pagina Gestisci autorizzazioni selezionare il gruppo di risorse e selezionare Applica.

11. Tornare alla pagina Crea nuova regola di automazione, in Azioni selezionare il playbook Block-IPAzureWAF dall'elenco a discesa.

12. Selezionare Applica.

13. Selezionare Avanti: Rivedi e crea.

14. Seleziona Salva.

Dopo aver creato la regola analitica con le rispettive impostazioni della regola di automazione, si è pronti per rilevamento e risposta. Durante un attacco si verifica il flusso di eventi seguente:

• Azure WAF registra il traffico quando un utente malintenzionato tenta di indirizzare una delle app Web dietro di essa. Sentinel inserisce quindi questi log.
• La regola analitica/rilevamento configurata rileva il modello per questo attacco e genera un evento imprevisto per notificare a un analista.
• La regola di automazione che fa parte della regola analitica attiva il rispettivo playbook configurato in precedenza.
• Il playbook crea una regola personalizzata denominata SentinelBlockIP nei rispettivi criteri WAF, che include l'indirizzo IP di origine dell'utente malintenzionato.
• WAF blocca i tentativi di attacco successivi e, se l'utente malintenzionato tenta di usare un altro INDIRIZZO IP di origine, aggiunge il rispettivo INDIRIZZO IP di origine alla regola di blocco.

Un punto importante è che per impostazione predefinita Azure WAF blocca eventuali attacchi Web dannosi con l'aiuto del set di regole di base del motore WAF di Azure. Tuttavia, questa configurazione automatica di rilevamento e risposta migliora ulteriormente la sicurezza modificando o aggiungendo nuove regole di blocco personalizzate nei criteri WAF di Azure per i rispettivi indirizzi IP di origine. In questo modo si garantisce che il traffico proveniente da questi indirizzi IP di origine venga bloccato prima che venga raggiunto anche il set di regole del motore WAF di Azure.

Contenuto correlato

• Uso di Microsoft Sentinel con Web application firewall di Azure