Azure Azure Monitoring Azure WAF

Azure Front Door – WAF Erişim Günlüklerinin İncelenmesi

Avatar
Written by Emre Martin

Azure Front Door OSI modelinin (Layer-7) Application katmanında yük dengeleme özellikleri sunan, yüksek erişebilirlik, ölçeklendirme ve Azure Web Application Firewall (WAF) ile birlikte güvenlik yeteneklerine sahip bir Application Delivery Network servisidir. WAF; Azure Front Door ile birlikte dağıtılabileceği gibi diğer Azure Servisleri olan Application Gateway yada Azure CDN ile de dağıtılabilir.

Azure Front Door WAF Detection ve Prevention olmak üzere iki farklı moda sahiptir.

Detection Mode (Algılama Modu): WAF bu modda Kural setler doğrultusunda tespit edilen yetkisiz erişim ve saldırıları günlüğe kaydeder (Log Analytics, Storage Account, Event hub vs) ancak istekleri engellemez. Yeni WAF dağıtımlarının belirlik bir süre bu modda tutulup, Önleme modu aktif edilmeden önce günlüklerin incelenmesi ve gerekli Kural setlerinin yada istisnaların oluşturulması gerekir.

Prevention Mode (Önleme Modu): WAF bu modda Kural setler doğrultusunda tespit edilen yetkisiz erişim ve saldırıları günlüğe kaydeder ve engeller. Erişim sağlamak isteyen kullanıcı “403 unauthorized access” yazılı bir uyarı görür ve bağlantı kapatılır.

Algılama Modundan Önleme Moduna geçmeden önce aşağıdaki Log Analytics sorgusu ile engellenecek olarak günlüğe kaydedilmiş ancak Algılama Modundan ötürü erişimine izin verilmiş isteklerin ayrıntılarını görebilirsiniz.

AzureDiagnostics

| where Category contains “FrontdoorWebApplicationFirewallLog”

| where action_s contains “Block”

| project TimeGenerated, ruleName_s, clientIP_s, action_s, policyMode_s, details_matches_s, details_msg_s, requestUri_s

Aynı sorguyu Önleme modunda engellenen istekleri incelemek ve uyarılar oluşturmak içinde kullanabilirsiniz.

Görüşmek üzere.

 

Yazar Hakkında

Avatar

Emre Martin

Cloud Solutions Architect