عرض وتكوين تنبيهات حماية DDoS
يوفر معيار Azure DDoS Protection رؤى مفصلة للهجمات ومرئيات باستخدام تحليلات هجمات DDoS. يتمتع العملاء الذين يحمون شبكاتهم الافتراضية ضد هجمات DDoS برؤية مفصلة لحركة مرور الهجمات والإجراءات المتخذة للتخفيف من حدة الهجوم عبر سجلات تدفق التخفيف من حدة هجمات تقارير & تخفيف الهجمات. يتم الكشف عن القياس عن بعد الغني عبر شاشة Azure بما في ذلك المقاييس التفصيلية خلال مدة هجوم DDoS. يمكن تكوين التنبيه لأي من مقاييس Azure Monitor التي يتم عرضها بواسطة حماية DDoS. يمكن دمج التسجيل بشكل أكبر مع Microsoft Sentinel و Splunk (Azure Event Hubs) و OMS Log Analytics و Azure Storage للتحليل المتقدم عبر واجهة تشخيصات شاشة Azure.
في هذا البرنامج التعليمي، ستتعلّم كيفية:
- تكوين التنبيهات من خلال Azure Monitor
- تكوين التنبيهات من خلال البوابة الإلكترونية
- عرض التنبيهات في Microsoft Defender للسحابة
- التحقق من صحة التنبيهات واختبارها
المتطلبات الأساسية
- إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.
- قبل أن تتمكن من إكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب عليك أولا إنشاء خطة حماية Azure DDoS Standard ويجب تمكين معيار حماية DDoS على شبكة افتراضية.
- يراقب DDoS عناوين IP العامة المخصصة للموارد داخل شبكة افتراضية. إذا لم يكن لديك أي موارد تحتوي على عناوين IP عامة في الشبكة الظاهرية، فيجب عليك أولا إنشاء مورد بعنوان IP عام. يمكنك مراقبة عنوان IP العام لجميع الموارد التي تم نشرها من خلال Resource Manager (غير الكلاسيكية) المدرجة في الشبكة الظاهرية لخدمات Azure (بما في ذلك موازنات تحميل Azure حيث توجد الأجهزة الظاهرية الخلفية في الشبكة الظاهرية)، باستثناء بيئات خدمة تطبيقات Azure. للمتابعة في هذا البرنامج التعليمي ، يمكنك إنشاء جهاز ظاهري Windows أو Linux بسرعة.
تكوين التنبيهات من خلال Azure Monitor
باستخدام هذه القوالب، ستتمكن من تكوين تنبيهات لجميع عناوين IP العامة التي قمت بتمكين تسجيل الدخول التشخيصي إليها. وبالتالي من أجل استخدام قوالب التنبيه هذه ، ستحتاج أولا إلى مساحة عمل Log Analytics مع تمكين إعدادات التشخيص. راجع عرض تسجيل تشخيص DDoS وتكوينه.
قاعدة تنبيه Azure Monitor
ستقوم قاعدة تنبيه Azure Monitor هذه بتشغيل استعلام بسيط للكشف عن وقت حدوث تخفيف DDoS نشط. هذا يشير إلى هجوم محتمل. يمكن استخدام مجموعات العمل لاستدعاء الإجراءات نتيجة للتنبيه.
قاعدة تنبيه شاشة Azure مع تطبيق Logic
ينشر هذا القالب المكونات الضرورية لتنبيه تخفيف DDoS مخصب: قاعدة تنبيه Azure Monitor ومجموعة الإجراءات وتطبيق Logic App. نتيجة العملية هي تنبيه بالبريد الإلكتروني يحتوي على تفاصيل حول عنوان IP المتعرض للهجوم ، بما في ذلك معلومات حول المورد المرتبط ب IP. تتم إضافة مالك المورد كمستلم للبريد الإلكتروني، إلى جانب فريق الأمان. يتم أيضا إجراء اختبار أساسي لتوفر التطبيق ويتم تضمين النتائج في تنبيه البريد الإلكتروني.
تكوين التنبيهات من خلال البوابة الإلكترونية
يمكنك تحديد أي من مقاييس حماية DDoS المتاحة لتنبيهك عند وجود تخفيف نشط أثناء الهجوم، باستخدام تكوين تنبيه Azure Monitor.
سجل الدخول إلى مدخل Azure واستعرض للوصول إلى خطة حماية DDoS.
ضمن Monitoring، اختر Alerts.
حدد الزر + قاعدة تنبيه جديدة أو حدد + إنشاء على شريط التنقل، ثم حدد قاعدة التنبيه.
أغلق صفحة تحديد إشارة .
في صفحة إنشاء قاعدة تنبيه ، سترى علامات التبويب التالية:
- النطاق
- الشرط
- الإجراءات
- التفاصيل
- علامات
- Review + create
لكل خطوة، استخدم القيم الموضحة أدناه:
الإعداد القيمة النطاق 1) حدد + حدد النطاق.
2) من القائمة المنسدلة تصفية حسب الاشتراك، حدد الاشتراك الذي يحتوي على عنوان IP العام الذي تريد تسجيله.
3) من القائمة المنسدلة تصفية حسب نوع المورد ، حدد عنوان IP العام، ثم حدد عنوان IP العام المحدد الذي تريد تسجيل المقاييس له.
4) حدد تم.الشرط 1) حدد زر + إضافة شرط
2) في مربع البحث عن طريق اسم الإشارة ، حدد ضمن هجوم DDoS أم لا.
3) اترك فترة الرسم البيانيومنطق التنبيه كافتراضي.
4) من القائمة المنسدلة المشغل ، حدد أكبر من أو يساوي من.
5) من القائمة المنسدلة نوع التجميع ، حدد الحد الأقصى.
6) في مربع قيمة العتبة ، أدخل 1. بالنسبة لهجوم Under DDoS أم لا ، يعني 0 أنك لست تحت الهجوم بينما 1 يعني أنك تتعرض للهجوم.
7) حدد تم.الإجراءات 1) حدد الزر + إنشاء مجموعة عمل .
2) في علامة التبويب "الأساسيات " ، حدد اشتراكك ومجموعة موارد وقدم اسم مجموعة العمل واسمالعرض.
3) في علامة التبويب الإشعارات ، ضمن نوع الإشعارات ، حدد البريد الإلكتروني / رسالة SMS / الدفع / الصوت.
4) تحت الاسم ، أدخل MyUnderAttackEmailAlert.
5) في صفحة البريد الإلكتروني / الرسائل القصيرة / الدفع / الصوت ، أدخل البريد الإلكتروني والعديد من الخيارات المتاحة التي تحتاجها ، ثم حدد موافق.
6) حدد مراجعة + إنشاء ثم حدد إنشاء.التفاصيل 1) ضمن اسم قاعدة التنبيه ، أدخل MyDdosAlert.
2) حدد مراجعة + إنشاء ثم حدد إنشاء.
في غضون بضع دقائق من اكتشاف الهجوم، من المفترض أن تتلقى رسالة بريد إلكتروني من مقاييس Azure Monitor تشبه الصورة التالية:
يمكنك أيضا معرفة المزيد حول تكوين خطافات الويبوالتطبيقات المنطقية لإنشاء التنبيهات.
عرض التنبيهات في Microsoft Defender للسحابة
يوفر Microsoft Defender for Cloud قائمة بتنبيهات الأمان، مع معلومات للمساعدة في التحقيق في المشكلات ومعالجتها. باستخدام هذه الميزة ، يمكنك الحصول على عرض موحد للتنبيهات ، بما في ذلك التنبيهات المتعلقة بهجوم DDoS والإجراءات المتخذة للتخفيف من حدة الهجوم في الوقت القريب. هناك تنبيهان محددان ستراهما لأي اكتشاف لهجمات DDoS والتخفيف من حدتها:
- هجوم DDoS المكتشف لعنوان IP العام: يتم إنشاء هذا التنبيه عندما تكتشف خدمة حماية DDoS أن أحد عناوين IP العامة الخاصة بك هو هدف لهجوم DDoS.
- تخفيف هجوم DDoS لعنوان IP العام: يتم إنشاء هذا التنبيه عند تخفيف هجوم على عنوان IP العام. لعرض التنبيهات، افتح Defender for Cloud في مدخل Azure. ضمن الحماية من التهديدات، حدد تنبيهات الأمان. تعرض لقطة الشاشة التالية مثالا على تنبيهات هجوم DDoS.
تتضمن التنبيهات معلومات عامة حول عنوان IP العام الذي يتعرض للهجوم ومعلومات استخباراتية عن المواقع الجغرافية والتهديدات وخطوات المعالجة.
التحقق من الصحة والاختبار
لمحاكاة هجوم DDoS للتحقق من صحة تنبيهاتك، راجع التحقق من صحة اكتشاف DDoS.
الخطوات التالية
في هذا البرنامج التعليمي، نتعلم طريقة القيام بما يأتي:
- تكوين التنبيهات من خلال Azure Monitor
- تكوين التنبيهات من خلال البوابة الإلكترونية
- عرض التنبيهات في Microsoft Defender للسحابة
- التحقق من صحة التنبيهات واختبارها
لمعرفة كيفية اختبار هجوم DDoS ومحاكاته، راجع دليل اختبار المحاكاة: