Centralizando a visualização, alertas e relatórios de ameaças WAF avançadas do BIG-IP com o Azure Sentinel
A demanda por aplicativos empresariais e de consumo não mostra sinais de desaceleração e resultou na rápida proliferação de cargas de trabalho em arquiteturas distribuídas e multinuvem. Ao mesmo tempo, as ameaças cibernéticas se tornaram cada vez mais prevalentes e sofisticadas, dando às equipes de segurança pouca escolha a não ser investir pesadamente nas melhores e mais recentes tecnologias para proteger seus portfólios de aplicativos e dados. Para muitos, isso leva à implantação de uma mistura de soluções distintas — geralmente de vários fornecedores — para alcançar uma postura de segurança robusta contra uma ampla gama de ameaças. Conclui-se que cada solução provavelmente oferece recursos exclusivos de alerta de eventos e painéis que são isolados uns dos outros, tornando a tarefa de compilar uma visão abrangente de ameaças em todas as soluções tediosa, demorada e altamente ineficaz. Esse cenário pode ser representado em alto nível pela Figura 1 abaixo.
Considerando que a maioria das equipes de segurança das organizações é responsável por proteger arquiteturas complexas que consistem em muito mais dispositivos e ambientes de segurança do que os mostrados na Figura 1, esse modelo operacional claramente não é escalável e pode colocar aplicativos e dados sob maior risco. Por esse motivo, muitos recorreram ao Gerenciamento de Informações e Eventos de Segurança (SIEM) ofertas para ajudar a agregar, analisar e visualizar dados em vários sistemas de segurança. Não é de surpreender que uma pesquisa de SIEM da Cybersecurity Insiders de 2022 tenha descoberto que 80% das organizações já implementaram uma solução de SIEM ou planejam fazê-lo em um futuro próximo, com os principais motivos sendo obter detecção de eventos mais rápida e operações de segurança mais eficientes. O mesmo relatório observou que, de 2021 a 2022, o mercado de SIEM refletiu a mudança do mercado mais amplo para ofertas baseadas em nuvem e SaaS, com menos pessoas optando por implantar soluções de SIEM baseadas em hardware ou software no local e mais migrando para soluções de SaaS baseadas em nuvem, como Azure Sentinel e Sumo Logic. Se os fornecedores de segurança oferecerem integrações com soluções SIEM, nossa arquitetura de exemplo da Figura 1 pode ser bastante simplificada, com todos os eventos de ameaça sendo compilados em uma ferramenta SIEM centralizada, conforme mostrado na Figura 2.
Tendo observado esse aumento na adoção do SIEM pelos clientes nos últimos anos, a F5 tornou a validação da integração do SIEM com seu conjunto de produtos um foco principal. Seja BIG-IP, NGINX ou F5 Distributed Cloud Services, cada solução é compatível com uma ampla gama de plataformas SIEM líderes, incluindo Splunk, Exabeam e Microsoft Azure Sentinel.
Com foco no último, o BIG-IP Advanced WAF da F5 oferece integração com o Azure Sentinel há vários anos e é utilizado por um número significativo de clientes do Azure. Independentemente de onde as instâncias do BIG-IP Advanced WAF são implantadas (no local, em uma instalação de colocation, no Azure ou em qualquer outro ambiente de nuvem), essa integração permite que o Sentinel colete dados em tempo real de cada uma delas e forneça uma visão consolidada das ameaças em todo o portfólio de aplicativos de uma organização. Esse cenário é refletido abaixo em nosso terceiro e último diagrama.
Atualmente, há dois métodos para conectar instâncias do BIG-IP Advanced WAF com o Azure Sentinel, ambos incentivados e totalmente gratuitos. O primeiro utiliza o F5 Telemetry Streaming que, como o nome sugere, é uma extensão do BIG-IP que permite que os dados sejam transmitidos para soluções analíticas de terceiros. O único requisito para essa abordagem é que cada instância esteja operando a versão de software v13.1, no mínimo. Como alternativa, se você estiver familiarizado com as técnicas mais comuns do setor que utilizam Syslog ou CEF (Common Event Format), ambas também são suportadas.
Se você estiver interessado em saber mais sobre como conectar suas instâncias do BIG-IP Advanced WAF com o Azure Sentinel, informações adicionais para cada método de integração podem ser encontradas nas listagens do Azure Marketplace abaixo: