搭配 Azure Web 應用程式防火牆使用 Microsoft Sentinel
Azure Web 應用程式防火牆 (WAF) 與 Microsoft Sentinel 結合,可為 WAF 資源提供安全性資訊事件管理。 Microsoft Sentinel 使用 Log Analytics 提供安全性分析,可讓您輕鬆地細分和檢視 WAF 資料。 如果使用 Microsoft Sentinel,您可以存取預先建立的活頁簿並加以修改,以符合組織的需求。 活頁簿可以跨數個訂用帳戶和工作區,為 Azure 內容傳遞網路 (CDN) 上的 WAF、Azure Front Door 上的 WAF 及應用程式閘道上的 WAF 顯示分析。
WAF 記錄分析類別
WAF 記錄分析會分成下列類別:
- 所有採取的 WAF 動作
- 前 40 個封鎖的要求 URI 位址
- 前 50 個事件觸發程序
- 一段時間的訊息
- 完整訊息詳細資料
- 依訊息分類的攻擊事件
- 一段時間的攻擊事件
- 追蹤識別碼篩選
- 追蹤識別碼訊息
- 前 10 個攻擊 IP 位址
- IP 位址的攻擊訊息
WAF 活頁簿範例
下列 WAF 活頁簿範例顯示範例資料:
啟動 WAF 活頁簿
WAF 活頁簿適用於所有 Azure Front Door、應用程式閘道和 CDN WAF。 從這些資源連線到資料之前,您的資源上必須啟用記錄分析。
若要為每個資源啟用記錄分析,請移至個別的 Azure Front Door、應用程式閘道或 CDN 資源:
選取 [診斷設定]。
選取 [+新增診斷設定]。
在 [診斷設定] 頁面中:
- 輸入名稱。
- 選取 [傳送至 Log Analytics]。
- 選擇記錄目的地工作區。
- 選取您想要分析的記錄類型:
- 應用程式閘道:'ApplicationGatewayAccessLog' 和 'ApplicationGatewayFirewallLog'
- Azure Front Door 標準/進階:‘FrontDoorAccessLog’ 和 ‘FrontDoorFirewallLog’
- Azure Front Door 傳統:‘FrontdoorAccessLog’ 和 ‘FrontdoorFirewallLog’
- CDN:'AzureCdnAccessLog'
- 選取 [儲存]。
在 Azure 首頁的搜尋列中輸入 Microsoft Sentinel,然後選取 Microsoft Sentinel 資源。
選取現有的作用中工作區或建立新的工作區。
在 Microsoft Sentinel 的 [內容管理] 底下,選取 [內容中樞]。
尋找並選取Azure Web 應用程式防火牆解決方案。
在頁面頂端的工具列上,選取 [安裝/更新]。
在 Microsoft Sentinel 的左側 [組 態] 底下,選取 [資料連線器]。
搜尋並選取[Azure Web 應用程式防火牆 (WAF) ]。 選取右下角的 [開啟連接器] 頁面 。
針對您想要取得其記錄分析資料的每個 WAF 資源,遵循 [設定] 底下的指示進行設定 (如果您之前尚未這麼做)。
完成設定個別的 WAF 資源後,請選取 [後續步驟] 索引標籤。選取其中一個建議的活頁簿。 此活頁簿會使用先前啟用的所有記錄分析資料。 現在,您的 WAF 資源應該會有運作中的 WAF 活頁簿。
自動偵測和回應威脅
使用 Sentinel 內嵌的 WAF 記錄,您可以使用 Sentinel 分析規則來自動偵測安全性攻擊、建立安全性事件,以及使用劇本自動回應安全性事件。 深入瞭解 在 Microsoft Sentinel 中搭配自動化規則使用劇本。
Azure WAF 也隨附 SQLi、XSS 和 Log4J 攻擊的內建 Sentinel 偵測規則範本。 您可以在 Sentinel 的 [規則範本] 區段的 [分析] 索引標籤下找到這些範本。 您可以使用這些範本,或根據 WAF 記錄定義您自己的範本。
這些規則的自動化區段可協助您執行劇本來自動回應事件。 您可以在 此處的網路安全性 GitHub 存放庫中找到這類回應攻擊劇本的範例。 此劇本會自動建立 WAF 原則自訂規則,以封鎖 WAF 分析偵測規則所偵測到的攻擊者來源 IP。