عرض سجلات حماية Azure DDoS في مساحة عمل Log Analytics
توفر لك سجلات تشخيص DDoS Protection القدرة على عرض إعلامات DDoS Protection وتقارير التخفيف وسجلات تدفق التخفيف بعد هجوم DDoS. يمكنك عرض هذه السجلات في مساحة عمل Log Analytics.
في هذا البرنامج التعليمي، تتعلم كيفية:
- عرض سجلات تشخيص Azure DDoS Protection بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.
المتطلبات الأساسية
- حساب Azure باشتراك نشط. إنشاء حساب مجاناً.
- يجب تمكين حماية شبكة DDoS على شبكة ظاهرية أو يجب تمكين DDoS IP Protection على عنوان IP عام.
- تكوين سجلات تشخيص DDoS Protection. لمعرفة المزيد، راجع تكوين سجلات التشخيص.
- محاكاة هجوم باستخدام أحد شركائنا في المحاكاة. لمعرفة المزيد، راجع الاختبار مع شركاء المحاكاة.
عرض في مساحة عمل Log Analytics
تسجيل الدخول إلى مدخل Microsoft Azure.
في مربع البحث أعلى المدخل، أدخل مساحة عمل Log Analytics. حدد مساحة عمل Log Analytics في نتائج البحث.
ضمن جزء مساحات عمل Log Analytics ، حدد مساحة العمل الخاصة بك.
في علامة التبويب على الجانب الأيسر، حدد Logs. هنا سترى مستكشف الاستعلام. قم بإنهاء جزء Queries لاستخدام صفحة Logs .
في صفحة Logs ، اكتب في الاستعلام ثم اضغط على Run لعرض النتائج.
مثال على استعلامات السجل
إعلامات حماية DDoS
ستعلمك الإعلامات في أي وقت يتعرض فيه مورد IP عام للهجوم، وعند انتهاء التخفيف من الهجوم.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
يسرد الجدول التالي أسماء الحقول وأوصافها:
اسم الحقل | الوصف |
---|---|
وقت الإنشاء | التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام. |
معرّف المورد | معرف المورد لعنوان IP العام. |
الفئة | بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotifications هذا. |
ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
المورد | اسم عنوان IP العام الخاص بك. |
ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS . |
اسم العملية | بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotifications هذا. |
الرسالة | تفاصيل الهجوم. |
النوع | نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted . MitigationStopped . |
PublicIpAddress | عنوان IP العام الخاص بك. |
سجلات تدفق التخفيف من مخاطر DDoS
تسمح لك سجلات تدفق التخفيف من الهجوم بمراجعة نسبة استخدام الشبكة التي تم إسقاطها وحركة المرور التي تمت إعادة توجيهها ونقاط البيانات الأخرى المثيرة للاهتمام أثناء هجوم DDoS نشط في الوقت الفعلي تقريبا. يمكنك استيعاب الدفق المستمر لهذه البيانات في Microsoft Sentinel أو إلى أنظمة SIEM التابعة لجهة خارجية عبر مركز الأحداث للمراقبة في الوقت الفعلي تقريبا، واتخاذ الإجراءات المحتملة ومعالجة الحاجة إلى عمليات الدفاع الخاصة بك.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
يسرد الجدول التالي أسماء الحقول وأوصافها:
اسم الحقل | الوصف |
---|---|
وقت الإنشاء | التاريخ والوقت في UTC عند إنشاء سجل التدفق. |
معرّف المورد | معرف المورد لعنوان IP العام. |
الفئة | بالنسبة إلى سجلات التدفق، سيكون DDoSMitigationFlowLogs هذا. |
ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
المورد | اسم عنوان IP العام الخاص بك. |
ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS . |
اسم العملية | بالنسبة إلى سجلات التدفق، سيكون DDoSMitigationFlowLogs هذا. |
الرسالة | تفاصيل الهجوم. |
SourcePublicIpAddress | عنوان IP العام للعميل الذي ينشئ نسبة استخدام الشبكة إلى عنوان IP العام الخاص بك. |
SourcePort | رقم المنفذ يتراوح من 0 إلى 65535. |
DestPublicIpAddress | عنوان IP العام الخاص بك. |
DestPort | رقم المنفذ يتراوح من 0 إلى 65535. |
البروتوكول | نوع البروتوكول. تتضمن القيم المحتملة tcp ، udp ، other . |
تقارير التخفيف من مخاطر DDoS
تستخدم تقارير التخفيف من الهجوم بيانات بروتوكول Netflow، والتي يتم تجميعها لتوفير معلومات مفصلة حول الهجوم على المورد الخاص بك. في أي وقت يتعرض فيه مورد IP عام للهجوم، سيبدأ إنشاء التقرير بمجرد بدء التخفيف. سيكون هناك تقرير تزايدي يتم إنشاؤه كل 5 دقائق وتقرير ما بعد التخفيف لفترة التخفيف بأكملها. هذا للتأكد من أنه في حالة استمرار هجوم DDoS لمدة أطول من الوقت، ستتمكن من عرض أحدث لقطة من تقرير التخفيف كل 5 دقائق وملخص كامل بمجرد انتهاء تخفيف الهجوم.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
يسرد الجدول التالي أسماء الحقول وأوصافها:
اسم الحقل | الوصف |
---|---|
وقت الإنشاء | التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام. |
معرّف المورد | معرف المورد لعنوان IP العام. |
الفئة | بالنسبة إلى تقارير التخفيف من المخاطر، سيكون DDoSMitigationReports هذا. |
ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
المورد | اسم عنوان IP العام الخاص بك. |
ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS . |
اسم العملية | بالنسبة إلى تقارير التخفيف من المخاطر، سيكون DDoSMitigationReports هذا. |
ReportType | القيم المُحتملة هي Incremental وPostMitigation . |
MitigationPeriodStart | التاريخ والوقت في التوقيت العالمي المتفق عليه عند بدء التخفيف. |
MitigationPeriodEnd | التاريخ والوقت في UTC عند انتهاء التخفيف. |
ipAddress | عنوان IP العام الخاص بك. |
AttackVectors | تدهور أنواع الهجمات. تتضمن TCP SYN flood المفاتيح و TCP flood UDP flood و.Other packet flood UDP reflection |
TrafficOverview | تدهور حركة مرور الهجوم. تتضمن Total packets المفاتيح و Total TCP packets Total packets dropped و Total TCP packets dropped و Total UDP packets و Total UDP packets dropped Total Other packets و.Total Other packets dropped |
البروتوكولات | تصنيف البروتوكولات المضمنة. تتضمن TCP المفاتيح و UDP و.Other |
DropReasons | تحليل أسباب الحزم التي تم إسقاطها. تتضمن Protocol violation invalid TCP المفاتيح . syn Protocol violation invalid TCP و Protocol violation invalid UDP و UDP reflection و TCP rate limit exceeded UDP rate limit exceeded و. Destination limit exceeded Packet was forwarded to service Other packet flood Rate limit exceeded تشير أسباب الإفلات غير الصالحة لانتهاك البروتوكول إلى الحزم المشوهة. |
TopSourceCountries | تصنيف أفضل 10 بلدان مصدر إلى نسبة استخدام الشبكة الواردة. |
TopSourceCountriesForDroppedPackets | تحليل أفضل 10 بلدان مصدر لنسبة استخدام الشبكة الهجومية التي تم تقييدها. |
TopSourceASNs | تحليل أهم 10 مصادر لأرقام النظام المستقلة (ASNs) لنسبة استخدام الشبكة الواردة. |
SourceContinents | تحليل القارة المصدر لنسبة استخدام الشبكة الواردة. |
النوع | نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted . MitigationStopped . |
الخطوات التالية
في هذا البرنامج التعليمي، تعلمت كيفية عرض سجلات تشخيص حماية DDoS في مساحة عمل Log Analytics. لمعرفة المزيد حول الخطوات الموصى بها التي يجب اتخاذها عند تلقي هجوم DDoS، راجع هذه الخطوات التالية.