Azure Azure Security

Azure WAF Erişim Günlüklerinin Analiz Edilmesi

Avatar
Written by Emre Martin

Azure Web Application Firewall (WAF); Web uygulamalarınızı SQL injection, PHP injection, Cross-site scripting gibi bir çok yaygın tehdit ve güvenlik açığından koruyan uygulama güvenlik duvarıdır. Azure Web Application Firewall uygulamalarınızı korumak için Open Web Application Security Project (OWASP) topluluğu tarafından belirlenen, CRS 2.2.9, 3.0 ve 3.1 Security Baseline’larını içeren kural setlerini kullanmaktadır. Bu kural setlerine Managed Rules adı verilir ve Azure üzerinde Web Application Firewall policies içerisinden yönetilir. Ayrıca gerekli olması durumda Custom Rule’larda oluşturulabilir. Web Application Firewall policy’ler Azure Application Gateway, Azure Front Door ve Azure Content Delivery Network (CDN üzerinde WAF şuan için Preview’dir) ile birlikte kullanılabilir yani Azure WAF kullanmak istediğinizde bu üç servisten birini seçmeniz gerekektedir, her bir servis kendine göre farklı amaçlara hizmet ediyor olasada aynı WAF hizmetini sunmaktadır.

Azure WAF selection

Azure Web Application Firewall Erişim Günlükleri

Ortamın korunması kadar hangi tehditlerle karşı karşıya olduğunuzuda bilmekte önemlidir. WAF erişim ve firewall günlüklerini kullanarak hangi tehditlerin WAF tarafından engellendiğini analiz edebiliriz. WAF erişim ve firewall günlüklerine sahip olduğunuz servisin (Applicaion Gateway, FrontDoor yada CDN) diagnostics ayarları altından etkinleştirebilirsiniz. Aktifleştirdiğiniz günlükleri Log Analytic workspace’e bağlayabilir yada bir storage account üzerinde arşivleyebilirsiniz.

WAF Access Logs

Diagnostics günlüklerini aktif ettikten sonra ilk günlüklerin oluşması için biraz beklemeniz gerekebilir. Sonrasında Log analytics workspace üzerinde yine sahip olduğunuz servise göre hazır query’leri kullanabilirsiniz.

WAF Access Logs

WAF Access Log Query

Tüm erişim günlüklerinin listelenmesi:
AzureDiagnostics | where ResourceType == “FRONTDOORS” and Category == “FrontdoorWebApplicationFirewallLog”
Engellenen erişim günlüklerinin listelenmesi:
AzureDiagnostics
| where ResourceType == “FRONTDOORS” and Category == “FrontdoorWebApplicationFirewallLog”
| where action_s == “Block”
| summarize by TimeGenerated, clientIP_s, host_s, ruleName_s
Belirli bir URL için engellenen erişim günlüklerinin listelenmesi:
AzureDiagnostics
| where ResourceType == “FRONTDOORS” and Category == “FrontdoorWebApplicationFirewallLog”
| where action_s == “Block”
| where host_s == “mywebsite.com”
| summarize by TimeGenerated, clientIP_s

WAF Access Log Query

Ayrıca Alert ‘lar oluşturarak herhangi bir query sonucu için E-mail, SMS ve Sesli uyarılar alabilir ve Action Group’larını kullanarak çeşitli aksiyonlar gerçekleştirebilirsiniz. Örneğin belirbi bir IP’den gelen erişim isteği 5 dk içerisinde 10’den fazla kez WAF tarafından engellendiyse şu Azure Automation’i çalıştır yada Azure Function ile şu görevi tetikle gibi.

Görüşmek üzere.

 

Yazar Hakkında

Avatar

Emre Martin

Cloud Solutions Architect