Aracılığıyla paylaş

Microsoft Sentinel ile Azure WAF için otomatik algılama ve yanıt

  • Makale

Kötü amaçlı saldırganlar, SQL ekleme ve Siteler arası betik oluşturma gibi yaygın olarak bilinen güvenlik açıklarından yararlanarak web uygulamalarını giderek daha fazla hedef alır. Uygulama kodunda bu saldırıların önlenmesi, uygulama topolojisinin birden çok katmanında sıkı bakım, düzeltme eki uygulama ve izleme gerektiren bir zorluk oluşturur. bir Web Uygulaması Güvenlik Duvarı (WAF) çözümü, her bir web uygulamasının güvenliğini sağlamak yerine bilinen bir güvenlik açığına merkezi olarak düzeltme eki uygulama yoluyla bir güvenlik tehdidine daha hızlı tepki verebilir. Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarını yaygın web korsanlık tekniklerinden koruyan buluta özel bir hizmettir. Web uygulaması trafiğine tam görünürlük sağlamak ve kötü amaçlı web saldırılarını engellemek için bu hizmeti birkaç dakika içinde dağıtabilirsiniz.

Otomatik algılama ve tehditlere/olaylara/uyarılara yanıt için Azure WAF'yi Microsoft Sentinel (bulutta yerel SIEM/SOAR çözümü) ile tümleştirmek ek bir avantajdır ve WAF ilkesini güncelleştirmek için gereken el ile müdahaleyi azaltır.

Bu makalede, sentinel'deki WAF algılama şablonları hakkında bilgi edinip bir playbook dağıtabilir ve bu şablonları ve playbook'u kullanarak Sentinel'de algılama ve yanıtı yapılandırabilirsiniz.

Ön koşullar

Playbook'u dağıtma

GitHub'da bir şablondan Block-IPAzureWAF adlı bir Sentinel playbook'u yüklersiniz. Bu playbook, WAF olaylarına yanıt olarak çalışır. Amaç, waf ilkesinde belirli bir IP adresinden gelen istekleri engellemek için özel bir kural oluşturmak veya değiştirmektir. Bu, Azure REST API kullanılarak gerçekleştirilir.

Playbook'u GitHub'da bir şablondan yüklersiniz.

  1. GitHub deposuna gidin ve şablonu başlatmak için Azure'a dağıt'ı seçin.
  2. Gereken parametreleri doldurun. Front Door kimliğinizi Azure portalından alabilirsiniz. Front Door Kimliği, Front Door kaynağının kaynak kimliğidir. Screenshot showing the playbook template.
  3. Gözden Geçir + oluştur'u ve ardından Oluştur'u seçin.

API bağlantısını yetkilendirme

Bu dağıtımın bir parçası olarak azuresentinel-Block-IPAzureWAF adlı bir API bağlantısı oluşturulur. Playbook'un WAF ilkenizde değişiklik yapmasına izin vermek için azure kimliğinizle yetkilendirmeniz gerekir.

  1. Azure portalında azuresentinel-Block-IPAzureWAF API bağlantısını seçin.
  2. API bağlantısını düzenle'yi seçin.
  3. Görünen Ad'ın altına Azure kimliğinizi yazın.
  4. Yetkilendir'i seçin.
  5. Kaydet'i seçin.

Screenshot showing the API authorization screen.

Katkıda Bulunan rol atamasını yapılandırma

Playbook,REST API aracılığıyla mevcut WAF ilkesini sorgulamak ve değiştirmek için gerekli izinlere sahip olmalıdır. Playbook'a, ilişkili WAF ilkeleriyle birlikte Front Door kaynağında Katkıda Bulunan izinlerine sahip sistem tarafından atanan bir Yönetilen Kimlik atayabilirsiniz. İzinleri, yalnızca hesabınıza temel alınan kaynağa Sahip veya Kullanıcı Erişimi Yönetici istrator rolleri atanmışsa atayabilirsiniz.

Bu, bu playbook'a yeni bir rol ataması eklenerek ilgili kaynaktaki IAM bölümü kullanılarak yapılabilir.

  1. Azure portalında Front Door kaynağını seçin.
  2. Sol bölmede Erişim denetimi (IAM) öğesini seçin.
  3. Rol atamaları’nı seçin.
  4. Ekle'yi ve ardından Rol ataması ekle'yi seçin.
  5. Ayrıcalıklı yönetici rolleri'ni seçin.
  6. Katkıda Bulunan'ı ve ardından İleri'yi seçin.
  7. Üye seçin öğesini seçin.
  8. Block-IPAzureWAF araması yapın ve seçin. Bu playbook için birden çok girdi olabilir. Son eklediğiniz liste genellikle listenin en sonuncusu olur.
  9. Blok-IPAzureWAF'ı ve ardından Seç'i seçin.
  10. Gözden geçir + ata'yı seçin.

WAF ilke kaynağı için bu yordamı yineleyin.

Microsoft Sentinel'i çalışma alanınıza ekleme

  1. Azure portalında Microsoft Sentinel'i arayın ve açın.
  2. Oluştur seçeneğini belirleyin.
  3. Çalışma alanınızı ve ardından Ekle'yi seçin.

Mantıksal Uygulama Katkıda Bulunanı rol atamasını yapılandırma

Hesabınızın, Microsoft Sentinel izinleri vermek istediğiniz herhangi bir kaynak grubunda sahip izinlerine sahip olması ve çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Logic App Katılımcısı rolüne sahip olmanız gerekir.

  1. Azure portalında playbook'u içeren kaynak grubunu seçin.
  2. Sol bölmede Erişim denetimi (IAM) öğesini seçin.
  3. Rol atamaları’nı seçin.
  4. Ekle'yi ve ardından Rol ataması ekle'yi seçin.
  5. Mantıksal Uygulama Katkıda Bulunanı ara'yı seçin, seçin ve ardından İleri'yi seçin.
  6. Üye seçin öğesini seçin.
  7. Hesabınızı arayın ve seçin.
  8. Seç'i seçin.
  9. İleri’yi seçin.
  10. Gözden geçir + ata'yı seçin.

Algılamayı ve yanıtı yapılandırma

Azure WAF için Sentinel'de SQLi ve XSS saldırıları için algılama sorgusu şablonları vardır. Bu şablonları İçerik hub'ından indirebilirsiniz. Bu şablonları kullanarak WAF günlüklerindeki belirli tür saldırı desenlerini algılayan analiz kuralları oluşturabilir ve bir olay oluşturarak güvenlik analistini daha fazla bilgilendirebilirsiniz. Bu kuralların otomasyon bölümü, WAF ilkesinde saldırganın kaynak IP'sini engelleyerek bu olaya yanıt vermenize yardımcı olabilir ve ardından bu kaynak IP adreslerinden sonraki saldırıları ön planda durdurur. Microsoft, daha fazla algılama ve yanıt senaryosu için daha fazla Algılama Şablonu eklemek için sürekli çalışmaktadır.

Şablonları yükleme

  1. Microsoft Sentinel'de sol bölmedeki Yapılandırma'nın altında Analiz'i seçin.
  2. Sayfanın üst kısmında İçerik hub'ında Diğer içerik'i seçin.
  3. Azure Web Uygulaması Güvenlik Duvarı için arama yapın, seçin ve ardından Yükle'yi seçin.

Analitik kural oluşturma

  1. Microsoft Sentinel'de sol bölmedeki Yapılandırma'nın altında Analiz'i seçin.

  2. Kural şablonları'nı seçin. Şablonların görünmesi birkaç dakika sürebilir.

  3. Front Door Premium WAF - SQLi Algılama şablonunu seçin.

  4. Sağ bölmede Kural oluştur'u seçin.

  5. Tüm varsayılan değerleri kabul edin ve Otomatik yanıta geçin. Kuralı özelleştirmek için bu ayarları daha sonra düzenleyebilirsiniz.

    Bahşiş

    Kural sorgusunda bir hata görürseniz bunun nedeni çalışma alanınızda WAF günlüklerinin bulunmamış olması olabilir. Web uygulamanıza test trafiği göndererek bazı günlükler oluşturabilirsiniz. Örneğin, aşağıdaki gibi bir istek göndererek bir SQLi saldırısının benzetimini yapabilirsiniz: http://x.x.x.x/?text1=%27OR%27%27=%27. değerini Front Door URL'nizle değiştirin x.x.x.x .

  6. Otomatik yanıt sayfasında Yeni ekle'yi seçin.

  7. Yeni otomasyon kuralı oluştur sayfasında kural için bir ad yazın.

  8. Tetikleyici'nin altında Uyarı oluşturulduğunda'yı seçin.

  9. Eylemler'in altında Playbook izinlerini yönet'i seçin.

  10. İzinleri yönet sayfasında kaynak grubunuzu seçin ve Uygula'yı seçin.

  11. Yeni otomasyon kuralı oluştur sayfasına dönün, Eylemler'in altında açılan listeden Block-IPAzureWAF playbook'unu seçin.

  12. Uygula'yı seçin.

  13. Sonraki: Gözden geçirme ve oluşturma’yı seçin.

  14. Kaydet'i seçin.

Analitik kuralı ilgili Otomasyon kuralı ayarlarıyla oluşturulduktan sonra Artık Algılama ve Yanıt için hazır olursunuz. Bir saldırı sırasında aşağıdaki olay akışı gerçekleşir:

  • Azure WAF, bir saldırgan arkasındaki web uygulamalarından birini hedeflemeye çalıştığında trafiği günlüğe kaydeder. Sentinel daha sonra bu günlükleri alır.
  • Yapılandırdığınız Analiz/Algılama kuralı, bu saldırının düzenini algılar ve bir analisti bilgilendirmek için bir olay oluşturur.
  • Analiz kuralının parçası olan otomasyon kuralı, daha önce yapılandırdığınız ilgili playbook'u tetikler.
  • Playbook, saldırganın kaynak IP'sini içeren ilgili WAF ilkesinde SentinelBlockIP adlı özel bir kural oluşturur.
  • WAF sonraki saldırı girişimlerini engeller ve saldırgan başka bir kaynak IP kullanmayı denerse ilgili kaynak IP'yi engelleme kuralına ekler.

Önemli bir nokta, Azure WAF altyapısının temel kural kümesinin yardımıyla Azure WAF'nin varsayılan olarak kötü amaçlı web saldırılarını engellemesidir. Ancak bu otomatik algılama ve yanıt yapılandırması, ilgili kaynak IP adresleri için Azure WAF ilkesinde yeni özel blok kurallarını değiştirerek veya ekleyerek güvenliği daha da artırır. Bu, bu kaynak IP adreslerinden gelen trafiğin Azure WAF altyapısı kural kümesine bile isabet etmeden önce engellenmesini sağlar.

İlgili içerik