⁧⁩عرض وتكوين التسجيل التشخيصي لـ DDoS⁧⁩

مقالة
05/10/2022
قراءة خلال 7 دقائق

يوفر معيار Azure DDoS Protection رؤى مفصلة للهجمات ومرئيات باستخدام تحليلات هجمات DDoS. يتمتع العملاء الذين يحمون شبكاتهم الافتراضية ضد هجمات DDoS برؤية مفصلة لحركة مرور الهجمات والإجراءات المتخذة للتخفيف من حدة الهجوم عبر سجلات تدفق التخفيف من حدة هجمات تقارير & تخفيف الهجمات. يتم الكشف عن القياس عن بعد الغني عبر شاشة Azure بما في ذلك المقاييس التفصيلية خلال مدة هجوم DDoS. يمكن تكوين التنبيه لأي من مقاييس Azure Monitor التي يتم عرضها بواسطة حماية DDoS. يمكن دمج التسجيل بشكل أكبر مع Microsoft Sentinel و Splunk (Azure Event Hubs) و OMS Log Analytics و Azure Storage للتحليل المتقدم عبر واجهة تشخيصات شاشة Azure.

تتوفر سجلات التشخيص التالية لمعيار حماية Azure DDoS:

DDoSProtectionNotifications: ستقوم الإعلامات بإعلامك في أي وقت يتعرض فيه مورد IP عام للهجوم، وعندما ينتهي التخفيف من حدة الهجوم.
DDoSMitigationFlowLogs: تسمح لك سجلات تدفق تخفيف حدة الهجوم بمراجعة حركة المرور المتساقطة وحركة المرور المعاد توجيهها ونقاط البيانات الأخرى المثيرة للاهتمام أثناء هجوم DDoS نشط في الوقت الفعلي تقريبا. يمكنك استيعاب البث المستمر لهذه البيانات في Microsoft Sentinel أو إلى أنظمة SIEM التابعة لجهة خارجية عبر مركز الأحداث للمراقبة في الوقت الفعلي تقريبا، واتخاذ الإجراءات المحتملة وتلبية احتياجات عمليات الدفاع الخاصة بك.
DDoSMitigationReports: تستخدم تقارير التخفيف من حدة الهجوم بيانات بروتوكول Netflow التي يتم تجميعها لتوفير معلومات مفصلة حول الهجوم على المورد الخاص بك. في أي وقت يتعرض فيه مورد IP عام للهجوم، سيبدأ إنشاء التقرير بمجرد بدء التخفيف. سيكون هناك تقرير تدريجي يتم إنشاؤه كل 5 دقائق وتقرير ما بعد التخفيف لفترة التخفيف بأكملها. هذا لضمان أنه في حالة استمرار هجوم DDoS لفترة أطول من الوقت ، ستتمكن من عرض أحدث لقطة لتقرير التخفيف كل 5 دقائق وملخص كامل بمجرد انتهاء تخفيف الهجوم.
AllMetrics: يوفر جميع المقاييس الممكنة المتاحة خلال مدة هجوم DDoS.

في هذا البرنامج التعليمي، ستتعلّم كيفية:

قم بتكوين سجلات تشخيص DDoS، بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.
تمكين تسجيل الدخول التشخيصي على جميع عناوين IP العامة في نطاق محدد.
عرض بيانات السجل في المصنفات.

المتطلبات الأساسية

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.
قبل أن تتمكن من إكمال الخطوات الواردة في هذا البرنامج التعليمي، يجب عليك أولا إنشاء خطة حماية Azure DDoS Standard ويجب تمكين معيار حماية DDoS على شبكة افتراضية.
يراقب DDoS عناوين IP العامة المخصصة للموارد داخل شبكة افتراضية. إذا لم يكن لديك أي موارد تحتوي على عناوين IP عامة في الشبكة الظاهرية، فيجب عليك أولا إنشاء مورد بعنوان IP عام. يمكنك مراقبة عنوان IP العام لجميع الموارد التي تم نشرها من خلال Resource Manager (غير الكلاسيكية) المدرجة في الشبكة الظاهرية لخدمات Azure (بما في ذلك موازنات تحميل Azure حيث توجد الأجهزة الظاهرية الخلفية في الشبكة الظاهرية)، باستثناء بيئات خدمة تطبيقات Azure. للمتابعة في هذا البرنامج التعليمي ، يمكنك إنشاء جهاز ظاهري Windows أو Linux بسرعة.

تكوين سجلات التشخيص لـ DDoS

إذا كنت تريد تمكين تسجيل الدخول التشخيصي تلقائيا على جميع عناوين IP العامة داخل بيئة، فانتقل إلى تمكين التسجيل التشخيصي على جميع عناوين IP العامة.

حدد جميع الخدمات في الجزء العلوي، على يمين البوابة الإلكترونية.
أدخل جهاز العرض في المربع تصفية. عندما يظهر جهاز العرض في النتائج، حدده.
ضمن الإعدادات، حدد الإعدادات التشخيص.
حدد مجموعة الاشتراكوالموارد التي تحتوي على عنوان IP العام الذي تريد تسجيله.
حدد عنوان IP العام لنوع المورد، ثم حدد عنوان IP العام المحدد الذي تريد تمكين السجلات له.
حدد ⁧⁩Add diagnostic setting⁧⁩. ضمن تفاصيل الفئة، حدد أكبر عدد ممكن من الخيارات التالية التي تحتاجها، ثم حدد حفظ.
ضمن تفاصيل الوجهة، حدد أكبر عدد ممكن من الخيارات التالية التي تحتاجها:
- الأرشفة إلى حساب تخزين: تتم كتابة البيانات إلى حساب تخزين Azure. لمعرفة المزيد حول هذا الخيار، راجع أرشفة سجلات الموارد.
- البث إلى مركز أحداث: يسمح لجهاز استقبال السجل بالتقاط السجلات باستخدام مركز أحداث Azure. تتيح محاور الأحداث التكامل مع Splunk أو أنظمة SIEM الأخرى. لمعرفة المزيد حول هذا الخيار، راجع دفق سجلات الموارد إلى مركز أحداث.
- إرسال إلى Log Analytics: يكتب السجلات إلى خدمة Azure Monitor. لمعرفة المزيد حول هذا الخيار، راجع تجميع السجلات لاستخدامها في سجلات Azure Monitor.

سجلات حماية DDOS للاستعلام في مساحة عمل تحليلات السجل

ددالوSProtectionسجلات الإخطارات

ضمن شفرة مساحات عمل تحليلات السجل، حدد مساحة عمل تحليلات السجل .
ضمن عام، انقر على السجلات
في مستكشف الاستعلام، اكتب استعلام Kusto التالي وقم بتغيير النطاق الزمني إلى مخصص وقم بتغيير النطاق الزمني إلى آخر 3 أشهر. ثم اضغط على تشغيل.
```
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
```

DDoSMitigationFlowLogs

الآن قم بتغيير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على تشغيل.
```
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
```

DDoSMitigationReports

الآن قم بتغيير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على تشغيل.
```
AzureDiagnostics
| where Category == "DDoSMitigationReports"
```

مخططات السجل

يوضح الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل	الوصف
وقت الإنشاء	التاريخ والوقت في التوقيت العالمي المنسق عند إنشاء الإشعار.
معرّف المورد	معرف المورد لعنوان IP العام الخاص بك.
الفئة	بالنسبة للإشعارات ، سيكون `DDoSProtectionNotifications`هذا .
ResourceGroup	مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
رقم الاشتراك	معرف الاشتراك في خطة حماية DDoS.
المورد	اسم عنوان IP العام الخاص بك.
ResourceType	سيكون هذا دائما `PUBLICIPADDRESS`.
اسم العملية	بالنسبة للإشعارات ، سيكون `DDoSProtectionNotifications`هذا .
الرسالة	تفاصيل الهجوم.
النوع	نوع الإشعار. تتضمن `MitigationStarted`القيم المحتملة . `MitigationStopped`.
العنوان العام	عنوان IP العام الخاص بك.

اسم الحقل	الوصف
وقت الإنشاء	التاريخ والوقت في التوقيت العالمي المنسق عند إنشاء سجل التدفق.
معرّف المورد	معرف المورد لعنوان IP العام الخاص بك.
الفئة	بالنسبة لسجلات التدفق ، سيكون `DDoSMitigationFlowLogs`هذا .
ResourceGroup	مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
رقم الاشتراك	معرف الاشتراك في خطة حماية DDoS.
المورد	اسم عنوان IP العام الخاص بك.
ResourceType	سيكون هذا دائما `PUBLICIPADDRESS`.
اسم العملية	بالنسبة لسجلات التدفق ، سيكون `DDoSMitigationFlowLogs`هذا .
الرسالة	تفاصيل الهجوم.
المصدرPublicIpAddress	عنوان IP العام للعميل الذي يولد حركة مرور إلى عنوان IP العام الخاص بك.
SourcePort	يتراوح رقم المنفذ من 0 إلى 65535.
DestPublicIpAddress	عنوان IP العام الخاص بك.
ديستبورت	يتراوح رقم المنفذ من 0 إلى 65535.
⁧⁩البروتوكول⁧⁩	نوع البروتوكول. تشمل `tcp`القيم المحتملة ، ، `otherudp`.

اسم الحقل	الوصف
وقت الإنشاء	التاريخ والوقت في التوقيت العالمي المنسق عند إنشاء التقرير.
معرّف المورد	معرف المورد لعنوان IP العام الخاص بك.
الفئة	بالنسبة للإشعارات ، سيكون `DDoSMitigationReports`هذا .
ResourceGroup	مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
رقم الاشتراك	معرف الاشتراك في خطة حماية DDoS.
المورد	اسم عنوان IP العام الخاص بك.
ResourceType	سيكون هذا دائما `PUBLICIPADDRESS`.
اسم العملية	بالنسبة لتقارير التخفيف ، سيكون `DDoSMitigationReports`هذا .
نوع التقرير	تشمل `Incremental`القيم المحتملة ، `PostMitigation`.
التخفيففترة البدء	التاريخ والوقت بالتوقيت العالمي المنسق عند بدء التخفيف.
التخفيفنهاية الفترة	التاريخ والوقت في التوقيت العالمي المنسق عند انتهاء التخفيف.
عنوان IP	عنوان IP العام الخاص بك.
AttackVectors	تحليل أنواع الهجمات. تشمل المفاتيح ، ، ، `UDP floodOther packet floodUDP reflection`. `TCP floodTCP SYN flood`
حركة المرورنظرة عامة	انهيار حركة مرور الهجوم. تشمل `Total packets`المفاتيح ، ، ، ، ، `Total packets dropped`، ، ، ، `Total UDP packets droppedTotal TCP packetsTotal Other packets droppedTotal TCP packets droppedTotal UDP packetsTotal Other packets`.
البروتوكولات	توزيع البروتوكولات المعنية. وتشمل `TCP`المفاتيح ، ، `UDP`. `Other`
دروب الأسباب	تفصيل أسباب إسقاط الحزم. وتشمل `Protocol violation invalid TCP syn`المفاتيح ، ، ، ، ، ، ، `Destination limit exceededUDP rate limit exceededTCP rate limit exceededProtocol violation invalid UDP`، ، . `Packet was forwarded to serviceProtocol violation invalid TCPUDP reflectionOther packet floodRate limit exceeded`
توب المصدرالبلدان	توزيع أكبر 10 بلدان مصدر لحركة المرور الواردة.
TopSourceالبلدانForDroppedPackets	توزيع أكبر 10 بلدان مصدر لحركة مرور الهجمات التي تم / تم تخفيفها.
TopSourceASNs	تحليل أعلى 10 أرقام نظام مستقل المصدر (ASN) لحركة المرور الواردة.
المصدرالقارات	انهيار القارات المصدر لحركة المرور الواردة.

تمكين تسجيل الدخول التشخيصي على جميع عناوين IP العامة

يتيح هذا النهج المضمن تلقائيا تسجيل الدخول التشخيصي على جميع سجلات IP العامة في نطاق محدد. راجع تعريفات سياسة Azure المضمنة لمعيار حماية Azure DDoS للحصول على قائمة كاملة بالنهج المضمنة.

عرض بيانات السجل في المصنفات

موصل بيانات Microsoft Sentinel

يمكنك توصيل السجلات ب Microsoft Sentinel وعرض بياناتك وتحليلها في المصنفات وإنشاء تنبيهات مخصصة ودمجها في عمليات التحقيق. للاتصال ب Microsoft Sentinel، راجع الاتصال إلى Microsoft Sentinel.

Microsoft Sentinel DDoS Connector

Azure DDoS Protection Workbook

يمكنك استخدام قالب Azure Resource Manager (ARM) هذا لنشر مصنف تحليلات الهجوم. يتيح لك هذا المصنف تصور بيانات الهجوم عبر العديد من اللوحات القابلة للتصفية لفهم ما هو على المحك بسهولة.

DDoS Protection Workbook

التحقق من الصحة والاختبار

لمحاكاة هجوم DDoS للتحقق من صحة سجلاتك، راجع التحقق من صحة اكتشاف DDoS.

الخطوات التالية

في هذا البرنامج التعليمي، نتعلم طريقة القيام بما يأتي:

قم بتكوين سجلات تشخيص DDoS، بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.
تمكين تسجيل الدخول التشخيصي على جميع عناوين IP العامة في نطاق محدد.
عرض بيانات السجل في المصنفات.

لمعرفة كيفية تكوين تنبيهات الهجوم، تابع إلى البرنامج التعليمي التالي.

عرض وتكوين تنبيهات حماية DDoS