Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Web Application Firewall (WAF) i kombination med Microsoft Sentinel kan tillhandahålla händelsehantering av säkerhetsinformation för WAF-resurser. Microsoft Sentinel tillhandahåller säkerhetsanalyser med Log Analytics, vilket gör att du enkelt kan dela upp och visa dina WAF-data. Med Microsoft Sentinel kan du komma åt fördefinierade arbetsböcker och ändra dem efter organisationens behov. Arbetsboken kan visa analys för WAF i Azure Content Delivery Network (CDN), WAF på Azure Front Door och WAF på Application Gateway i flera prenumerationer och arbetsytor.
WAF logganalyskategorier
WAF-logganalys är uppdelad i följande kategorier:
- Alla WAF-åtgärder som vidtagits
- De 40 mest blockerade URI-adresserna för begäranden
- De 50 främsta händelseutlösarna,
- Meddelanden över tid
- Fullständig meddelandeinformation
- Attackhändelser genom meddelanden
- Attackhändelser över tid
- Spårnings-ID-filter
- Spårnings-ID-meddelanden
- Topp 10 attackerande IP-adresser
- Attackmeddelanden för IP-adresser
WAF-arbetsboksexempel
Följande WAF-arbetsboksexempel visar exempeldata:
Öppna en WAF-arbetsbok
WAF-arbetsboken fungerar för alla Azure Front Door-, Application Gateway- och CDN WAFs. Innan du ansluter data från dessa resurser måste logganalys aktiveras på resursen.
Om du vill aktivera logganalys för varje resurs går du till din enskilda Azure Front Door-, Application Gateway- eller CDN-resurs:
Välj Diagnostikinställningar.
Väj + Lägg till diagnostikinställning.
På sidan Diagnostikinställning:
- Skriv ett namn.
- Välj Skicka till Log Analytics.
- Välj loggarbetsytan för destinationen.
- Välj de loggtyper som du vill analysera:
- Application Gateway: "ApplicationGatewayAccessLog" och "ApplicationGatewayFirewallLog"
- Azure Front Door Standard/Premium: "FrontDoorAccessLog" och "FrontDoorFirewallLog"
- Klassisk Azure Front Door: "FrontdoorAccessLog" och "FrontdoorFirewallLog"
- CDN: "AzureCdnAccessLog"
- Välj Spara.
På Startsidan för Azure skriver du Microsoft Sentinel i sökfältet och väljer Microsoft Sentinel-resursen.
Välj en redan aktiv arbetsyta eller skapa en ny arbetsyta.
Under Innehållshantering i Microsoft Sentinel väljer du Innehållshubb.
Hitta och välj lösningen för Azure Web Application Firewall.
Välj Installera/uppdatera i verktygsfältet överst på sidan.
I Microsoft Sentinel går du till vänster under Konfiguration och väljer Dataanslutningsprogram.
Sök efter och välj Azure Web Application Firewall (WAF). Välj Öppna anslutningssida längst ned till höger.
Följ anvisningarna under Konfiguration för varje WAF-resurs som du vill ha logganalysdata för om du inte har gjort det tidigare.
När du har konfigurerat enskilda WAF-resurser väljer du fliken Nästa steg . Välj en av de rekommenderade arbetsböckerna. Den här arbetsboken använder alla logg-analysdata som har aktiverats tidigare. En fungerande WAF-arbetsbok bör nu finnas för dina WAF-resurser.
Identifiera och svara automatiskt på hot
Med hjälp av Sentinel-inmatade WAF-loggar kan du använda Sentinel-analysregler för att automatiskt identifiera säkerhetsattacker, skapa säkerhetsincident och automatiskt svara på säkerhetsincident med hjälp av åtgärdsplaner. Läs mer Använd spelböcker med automatiseringsregler i Microsoft Sentinel.
Azure WAF kommer också med inbyggda mallar för identifieringsregler för Sentinel för SQLi-, XSS- och Log4J-attacker. Dessa mallar finns under fliken Analys i avsnittet Regelmallar i Sentinel. Du kan använda dessa mallar eller definiera dina egna mallar baserat på WAF-loggarna.
Avsnittet om automation i detta regelverk kan hjälpa dig att automatiskt svara på en incident genom att köra en guide. Ett exempel på en sådan spelbok för att svara på angrepp finns i GitHub-lagringsplatsen för nätverkssäkerhet här. Den här spelboken skapar automatiskt anpassade WAF-principregler för att blockera angriparens käll-IP-adresser enligt waf-analysidentifieringsreglerna.