我正在为Microsoft Azure提供的天蓝色前门服务设置WAF规则。当前,我使用的是默认规则集1.0,该规则集提供了OTB来阻止十大OWSAP威胁。
启用默认规则后,我们会看到403错误,并且无法了解哪个策略阻止了该请求。
对WAF政策的任何更改至少需要7到15分钟才能得到应用。我需要了解是否有任何有效的方法来进行更改和测试。
确定需要启用或禁用哪些规则集的最佳方法是什么?
我们尝试启用所有规则集,并且网站开始引发403错误。目前,我们一次启用一个规则,并验证该规则是否阻止任何请求。
答案 0 :(得分:2)
带有FrontDoor日志的WAF与Azure Monitor集成在一起。您可以启用diagnostics settings并在FrontdoorWebApplicationFirewallLog日志中跟踪与WAF规则匹配的任何请求。以下示例查询获取有关阻止请求的WAF日志:
AzureDiagnostics
| where ResourceType == "FRONTDOORS" and Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
此外,您可以参考Azure前门服务中的monitoring metrics and logs和good blog,其中告诉您如何查看WAF诊断日志和调整WAF策略规则,甚至是针对应用程序GW示例。