使用 Azure Sentinel 集中实现 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)威胁可视化、警报和报告
对商业和消费者应用的需求没有放缓的迹象,并导致分布式多云架构中工作负载的迅速增加。 与此同时,网络威胁变得越来越普遍和复杂,安全团队别无选择,只能大量投资最新和最先进的技术来保护他们的应用组合和数据。 对于许多人来说,这会导致部署各种不同的解决方案(通常来自多个供应商),以实现针对各种威胁的强大安全态势。 因此,每个解决方案都可能提供独特的事件警报功能和彼此孤立的仪表板,从而使得跨解决方案编译全面威胁视图的任务变得繁琐、耗时且效率低下。 下图 1 可以从高层次描述这一场景。
鉴于大多数组织的安全团队负责保护由比图 1 中所示的更多的安全设备和环境组成的复杂架构,这种操作模式显然不可扩展,并且可能使应用程序和数据面临更大的风险。 因此,许多人转向安全信息和事件管理 (SIEM) 帮助聚合、分析和可视化跨多个安全系统的数据的产品。 毫不奇怪,2022 年网络安全内幕 SIEM 调查发现,80% 的组织要么已经实施了 SIEM 解决方案,要么计划在不久的将来实施,主要动机是实现更快的事件检测和更高效的安全操作。 同一报告指出,从 2021 年到 2022 年,SIEM 市场将与更广泛的市场向云和基于 SaaS 的产品的转变相呼应,选择在本地部署基于硬件或软件的 SIEM 解决方案的人越来越少,而迁移到基于云的 SaaS 解决方案(例如 Azure Sentinel 和 Sumo Logic)的人越来越多。 如果安全供应商提供与 SIEM 解决方案的集成,那么图 1 中的示例架构就可以大大简化,所有威胁事件都可以在集中式 SIEM 工具中进行编译,如图 2 所示。
近年来,F5 观察到客户对 SIEM 的采用不断增加,因此将验证 SIEM 与其产品套件的集成作为一项重点工作。 无论是 BIG-IP、NGINX 还是 F5 分布式云服务,每种解决方案都与各种领先的 SIEM 平台兼容,包括 Splunk、Exabeam 和 Microsoft Azure Sentinel 等。
专注于后者,F5 的 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)已经与 Azure Sentinel 集成多年,并被大量 Azure 客户所利用。 无论 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)实例部署在何处(本地、主机托管设施、Azure 或任何其他云环境),此集成都允许 Sentinel 从每个实例收集实时数据,并提供跨组织整个应用组合的综合威胁视图。 这一情景反映在我们的第三张也是最后一张图表中。
目前有两种方法可以将 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)实例与 Azure Sentinel 连接起来 - 这两种方法都受到鼓励并且完全免费。 第一个利用F5 遥测流,顾名思义,它是 BIG-IP 的扩展,可以将数据传输到第三方分析解决方案。 这种方法的唯一要求是每个实例必须至少运行软件版本 v13.1。 或者,如果您熟悉使用 Syslog 或 CEF(通用事件格式)的更标准的行业技术,那么这两者都受支持。
如果您有兴趣了解有关将 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)实例与 Azure Sentinel 连接的更多信息,可以在以下 Azure 市场列表中找到每种集成方法的其他信息: