目次
- 1. はじめに
- 2. Microsoft Azure Sentinel とは
- 3. ファイアウォールログの出力方法
- 4. Microsoft Azure Sentinel の設定方法
- 5. ブックの確認
- 6. 作成したブックで確認できる情報
- 7. おわりに
1.はじめに
今回は Microsoft Azure Sentinel (以下「 Azure Sentinel 」と省略) を利用して Azure WAF で検知状況を確認する方法や、どんな情報の可視化が可能なのかといったことをご紹介します。
Azure Application Gateway WAF v2 での WAF のログがベースになりますので、Azure CDN や Front Door を利用した WAF のログでは結果が異なる場合があることをご承知おきください。
2.Microsoft Azure Sentinel とは
公式の説明は以下となります。
Azure Sentinel は、スケーラブルでクラウドネイティブ型のセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Azure Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。
引用元:Azure Sentinel とは
様々な機器やサービスからのログを収集し、確認が必要な情報や予防的な情報を管理できるソリューションとなります。
Azure WAF での利用はログ情報を収集して、複数の WAF Policy があったとしても、まとめて検知状況を確認することが可能になります。
3.ファイアウォールログの出力方法
まずは、Azure Sentinel に読み込ませるためのファイアウォールログの出力を行います。
以下のブログの「3.ファイアウォールログの出力方法」を参考に設定してください。
Log Analytics を利用して Azure WAF で検知状況を確認する方法
4.Microsoft Azure Sentinel の設定方法
Azure Portal ホーム画面から、検索バーに「Azure Sentinel」と入力し選択します。
追加ボタンを選択し、Azure Sentinel にワークスペースを追加していきます。
3.で作成したワークスペースを追加します。
画面左のデータコネクタを選択します。
「WAF」と検索すると WAF 用のコネクタが表示されますので選択します。
次に画面右のコネクタページに進みます。
「次の手順」を表示します。
推奨ブックの中から「Azure WAF」を選択します。
画面右の保存を選択します。
5.ブックの確認
4.で作成したブックを確認します。
Azure ホーム ページで、検索バーに「Azure Sentinel」と入力し登録したワークスペースを選択します。
画面左のブックを選択し、「マイブック」を選択します。
画面上部の項目で対象のリソースを指定して確認することができます。
6.作成したブックで確認できる情報
それぞれどのような情報が記載されるか簡単に見ていきましょう。
- 左の円グラフは実行されたすべての WAF アクションの割合と数が表示されています。
- 右側は検知したアクセスの上位 40 個の URI が表示されています。
- 画面左側は上位 50 個の検知ルールが表示されます。
- 右側は時間単位での検知状況の推移が表示されます。
- 検知したログの詳細が表示されます。
- 検知ルールを絞り込むことで検知ルール毎の推移が表示されます。(画面は検索前の状態で、検知した全てのルールが積み上げて表示されています。)
- Azure CDN の transactionId や Front Door の TrackingReference で絞り込んで表示されます。(画面は Application Gateway のログを使用しています。)
- 画面左側は上位 10 個の攻撃元 IP アドレスがグラフで表示されます。
- 画面右側は IP アドレスと攻撃の対応が表示されます。
検知種別やアクセス先 URL の数の推移がほぼリアルタイムに確認できるため、不審なアクセスによってサイトに影響がないか、WAF が悪影響を及ぼしていないかといったことを定期的に観測できるでしょう。
また、エンドユーザーからアクセス不通等の問い合わせがあった場合、Azure Sentinel から IP アドレスでの絞り込みができるため、WAF による影響がないか状況切り分けで活用できるのではないでしょうか。
7.おわりに
Azure WAF を利用した際は WAF での運用状況が格段にわかりやすくなるので、Azure Sentinel の利用を検討してみてはいかがでしょうか。
ブックを編集することも可能なので追加や削除を行い、ご利用状況に合わせた運用も可能です。