Anzeigen und Konfigurieren der DDoS-Diagnoseprotokollierung

Die Standardversion von Azure DDoS Protection liefert per Analyse von DDoS-Angriffen ausführliche Erkenntnisse zu Angriffen und ermöglicht eine Visualisierung. Kunden, die ihre virtuellen Netzwerke vor DDoS-Angriffen schützen, verfügen dank der Berichte zur Angriffsentschärfung und der Protokolle zum Verlauf der Entschärfung über detaillierte Informationen zum Angriffsgeschehen & den zur Abwehr durchgeführten Aktionen. Über Azure Monitor werden umfangreiche Telemetriedaten bereitgestellt. Diese umfassen u. a. detaillierte Metriken während der Dauer eines DDoS-Angriffs. Warnungen können für beliebige durch den DDoS-Schutz verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.

Für Azure DDoS Protection Standard sind die folgenden Diagnoseprotokolle verfügbar:

  • DDoSProtectionNotifications: Sie erhalten immer eine Benachrichtigung, wenn eine Ressource mit öffentlicher IP-Adresse angegriffen wird und wenn der Angriff entschärft wurde.
  • DDoSMitigationFlowLogs: Mit Datenflussprotokollen zur Entschärfung von Angriffen können Sie den verworfenen Datenverkehr, weitergeleiteten Datenverkehr und andere interessante Datenpunkte bei einem aktiven DDoS-Angriff nahezu in Echtzeit überprüfen. Sie können den konstanten Datenstrom dieser Daten in Microsoft Sentinel oder Ihren SIEM-Drittanbietersystemen per Event Hub erfassen, um eine Überwachung nahezu in Echtzeit zu ermöglichen, gegebenenfalls Aktionen durchzuführen und Ihre erforderlichen Abwehrmaßnahmen zu ermitteln.
  • DDoSMitigationReports: Für Berichte zur Entschärfung von Angriffen werden die NetFlow-Protokolldaten verwendet. Diese Daten werden aggregiert, um ausführliche Informationen zum Angriff auf Ihre Ressource zu liefern. Jedes Mal, wenn eine öffentliche IP-Ressource angegriffen wird, beginnt die Berichterstellung, sobald der Entschärfungsvorgang gestartet wurde. Alle fünf Minuten wird ein inkrementeller Bericht generiert, und für den gesamten Entschärfungszeitraum wird ein Abschlussbericht erstellt. So wird sichergestellt, dass Sie bei einem länger andauernden DDoS-Angriff die aktuellste Momentaufnahme des Berichts zur Entschärfung (alle fünf Minuten) und eine vollständige Zusammenfassung nach Abschluss der Entschärfung anzeigen können.
  • AllMetrics: Dieses Protokoll enthält alle Metriken, die während eines DDoS-Angriffs verfügbar sind.

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren von DDoS-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
  • Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
  • Anzeigen von Protokolldaten in Arbeitsmappen

Voraussetzungen

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Damit Sie die Schritte in diesem Tutorial ausführen können, müssen Sie zunächst einen Azure DDoS Protection Standard-Schutzplan erstellen. Außerdem muss DDoS Protection Standard in einem virtuellen Netzwerk aktiviert sein.
  • DDoS überwacht öffentliche IP-Adressen, die Ressourcen in einem virtuellen Netzwerk zugewiesen sind. Wenn Sie keine Ressourcen mit öffentlichen IP-Adressen im virtuellen Netzwerk besitzen, müssen Sie zunächst eine Ressource mit einer öffentlichen IP-Adresse erstellen. Sie können die öffentliche IP-Adresse aller Ressourcen (einschließlich Azure Load Balancer-Instanzen, bei denen sich die virtuellen Back-End-Computer im virtuellen Netzwerk befinden) überwachen, die über Resource Manager (nicht klassisch) bereitgestellt werden und unter virtuelles Netzwerk für Azure-Dienste aufgeführt sind, mit Ausnahme der Ressourcen für Azure App Service-Umgebungen. Um mit diesem Tutorial fortzufahren, können Sie schnell einen virtuellen Windows- oder Linux-Computer erstellen.  

Konfigurieren von DDoS-Diagnoseprotokollen

Wenn Sie die Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einer Umgebung automatisch aktivieren möchten, fahren Sie mit Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen fort.

  1. Wählen Sie oben im Portal auf der linken Seite Alle Dienste aus.

  2. Geben Sie Monitor in das Feld Filter ein. Wenn Monitor in den Ergebnissen angezeigt wird, wählen Sie diese Angabe aus.

  3. Klicken Sie unter Einstellungen auf Diagnoseeinstellungen.

  4. Wählen Sie das Abonnement und die Ressourcengruppe aus, die die öffentliche zu protokollierende IP-Adresse enthält.

  5. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse aus und dann die öffentliche IP-Adresse, für die Protokolle aktiviert werden sollen.

  6. Klicken Sie auf Diagnoseeinstellung hinzufügen. Wählen Sie unter Kategoriedetails unter den folgenden Optionen die von Ihnen benötigten aus, und klicken Sie dann auf Speichern.

    DDoS Diagnostic Settings

  7. Wählen Sie unter Zieldetails unter den folgenden Optionen die von Ihnen benötigten aus:

Abfragen von DDOS-Schutzprotokollen im Log Analytics-Arbeitsbereich

DDoSProtectionNotifications-Protokolle

  1. Wählen Sie im Blatt Log Analytics-Arbeitsbereich Ihren Log Analytics-Arbeitsbereich aus.

  2. Klicken Sie unter Allgemein auf Protokolle.

  3. Geben Sie im Abfrage-Explorer die folgende Kusto-Abfrage ein, und ändern Sie den Zeitbereich in „Benutzerdefiniert“ und in die letzten 3 Monate. Wählen Sie dann „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    

DDoSMitigationFlowLogs

  1. Ändern Sie nun die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    

DDoSMitigationReports

  1. Ändern Sie nun die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Protokollschemas

In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:

Feldname BESCHREIBUNG
TimeGenerated Hier werden das Datum und die Uhrzeit (UTC) der Erstellung der Benachrichtigung angegeben.
ResourceId Hier wird die Ressourcen-ID Ihrer öffentlichen IP-Adresse angegeben.
Kategorie Bei Benachrichtigungen ist der Wert für dieses Feld DDoSProtectionNotifications.
ResourceGroup Hier wird die Ressourcengruppe angegeben, die Ihre öffentliche IP-Adresse und Ihr virtuelles Netzwerk enthält.
SubscriptionId Hier wird die Abonnement-ID für Ihren DDoS-Schutzplan angegeben.
Ressource Hier wird der Name Ihrer öffentlichen IP-Adresse angegeben.
ResourceType Der Wert für dieses Feld ist immer PUBLICIPADDRESS.
OperationName Bei Benachrichtigungen ist der Wert für dieses Feld DDoSProtectionNotifications.
Meldung Hier werden Details zum Angriff angegeben.
Type Hier wird der Benachrichtigungstyp angegeben. Mögliche Werte sind: MitigationStarted. MitigationStopped.
PublicIpAddress Hier wird Ihre öffentliche IP-Adresse angegeben.

Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen

Diese integrierte Richtlinie aktiviert automatisch Diagnoseprotokollierung für alle öffentlichen IP-Protokolle in einem definierten Bereich. Eine vollständige Liste der integrierten Richtlinien finden Sie unter Integrierte Azure Policy-Definitionen für Azure DDoS Protection Standard.

Anzeigen von Protokolldaten in Arbeitsmappen

Microsoft Sentinel-Datenconnector

Sie können Protokolle mit Microsoft Sentinel verbinden, Ihre Daten in Arbeitsmappen anzeigen und analysieren, benutzerdefinierte Warnungen erstellen und dies in Untersuchungsprozesse integrieren. Informationen zum Herstellen einer Verbindung mit Microsoft Sentinel finden Sie unter Verbinden mit Microsoft Sentinel.

Microsoft Sentinel DDoS Connector

Azure DDoS Protection-Arbeitsmappe

Zum Bereitstellen einer Arbeitsmappe zur Angriffsanalyse können Sie diese ARM-Vorlage (Azure Resource Manager) verwenden. Mit dieser Arbeitsmappe können Sie Angriffsdaten in mehreren filterbaren Panels visualisieren, um leicht nachzuvollziehen, was auf dem Spiel steht.

Deploy to Azure

DDoS Protection Workbook

Überprüfen und Testen

Wenn Sie zur Überprüfung Ihrer Protokolle einen DDoS-Angriff simulieren möchten, lesen Sie den Artikel Durchführen von Simulationstests.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie die folgenden Aufgaben ausgeführt werden:

  • Konfigurieren von DDoS-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
  • Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
  • Anzeigen von Protokolldaten in Arbeitsmappen

Informationen zur Konfiguration von Angriffswarnungen finden Sie im nächsten Tutorial.