Anzeigen und Konfigurieren der DDoS-Diagnoseprotokollierung
Die Standardversion von Azure DDoS Protection liefert per Analyse von DDoS-Angriffen ausführliche Erkenntnisse zu Angriffen und ermöglicht eine Visualisierung. Kunden, die ihre virtuellen Netzwerke vor DDoS-Angriffen schützen, verfügen dank der Berichte zur Angriffsentschärfung und der Protokolle zum Verlauf der Entschärfung über detaillierte Informationen zum Angriffsgeschehen & den zur Abwehr durchgeführten Aktionen. Über Azure Monitor werden umfangreiche Telemetriedaten bereitgestellt. Diese umfassen u. a. detaillierte Metriken während der Dauer eines DDoS-Angriffs. Warnungen können für beliebige durch den DDoS-Schutz verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.
Für Azure DDoS Protection Standard sind die folgenden Diagnoseprotokolle verfügbar:
- DDoSProtectionNotifications: Sie erhalten immer eine Benachrichtigung, wenn eine Ressource mit öffentlicher IP-Adresse angegriffen wird und wenn der Angriff entschärft wurde.
- DDoSMitigationFlowLogs: Mit Datenflussprotokollen zur Entschärfung von Angriffen können Sie den verworfenen Datenverkehr, weitergeleiteten Datenverkehr und andere interessante Datenpunkte bei einem aktiven DDoS-Angriff nahezu in Echtzeit überprüfen. Sie können den konstanten Datenstrom dieser Daten in Microsoft Sentinel oder Ihren SIEM-Drittanbietersystemen per Event Hub erfassen, um eine Überwachung nahezu in Echtzeit zu ermöglichen, gegebenenfalls Aktionen durchzuführen und Ihre erforderlichen Abwehrmaßnahmen zu ermitteln.
- DDoSMitigationReports: Für Berichte zur Entschärfung von Angriffen werden die NetFlow-Protokolldaten verwendet. Diese Daten werden aggregiert, um ausführliche Informationen zum Angriff auf Ihre Ressource zu liefern. Jedes Mal, wenn eine öffentliche IP-Ressource angegriffen wird, beginnt die Berichterstellung, sobald der Entschärfungsvorgang gestartet wurde. Alle fünf Minuten wird ein inkrementeller Bericht generiert, und für den gesamten Entschärfungszeitraum wird ein Abschlussbericht erstellt. So wird sichergestellt, dass Sie bei einem länger andauernden DDoS-Angriff die aktuellste Momentaufnahme des Berichts zur Entschärfung (alle fünf Minuten) und eine vollständige Zusammenfassung nach Abschluss der Entschärfung anzeigen können.
- AllMetrics: Dieses Protokoll enthält alle Metriken, die während eines DDoS-Angriffs verfügbar sind.
In diesem Tutorial lernen Sie Folgendes:
- Konfigurieren von DDoS-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
- Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
- Anzeigen von Protokolldaten in Arbeitsmappen
Voraussetzungen
- Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Damit Sie die Schritte in diesem Tutorial ausführen können, müssen Sie zunächst einen Azure DDoS Protection Standard-Schutzplan erstellen. Außerdem muss DDoS Protection Standard in einem virtuellen Netzwerk aktiviert sein.
- DDoS überwacht öffentliche IP-Adressen, die Ressourcen in einem virtuellen Netzwerk zugewiesen sind. Wenn Sie keine Ressourcen mit öffentlichen IP-Adressen im virtuellen Netzwerk besitzen, müssen Sie zunächst eine Ressource mit einer öffentlichen IP-Adresse erstellen. Sie können die öffentliche IP-Adresse aller Ressourcen (einschließlich Azure Load Balancer-Instanzen, bei denen sich die virtuellen Back-End-Computer im virtuellen Netzwerk befinden) überwachen, die über Resource Manager (nicht klassisch) bereitgestellt werden und unter virtuelles Netzwerk für Azure-Dienste aufgeführt sind, mit Ausnahme der Ressourcen für Azure App Service-Umgebungen. Um mit diesem Tutorial fortzufahren, können Sie schnell einen virtuellen Windows- oder Linux-Computer erstellen.
Konfigurieren von DDoS-Diagnoseprotokollen
Wenn Sie die Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einer Umgebung automatisch aktivieren möchten, fahren Sie mit Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen fort.
Wählen Sie oben im Portal auf der linken Seite Alle Dienste aus.
Geben Sie Monitor in das Feld Filter ein. Wenn Monitor in den Ergebnissen angezeigt wird, wählen Sie diese Angabe aus.
Klicken Sie unter Einstellungen auf Diagnoseeinstellungen.
Wählen Sie das Abonnement und die Ressourcengruppe aus, die die öffentliche zu protokollierende IP-Adresse enthält.
Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse aus und dann die öffentliche IP-Adresse, für die Protokolle aktiviert werden sollen.
Klicken Sie auf Diagnoseeinstellung hinzufügen. Wählen Sie unter Kategoriedetails unter den folgenden Optionen die von Ihnen benötigten aus, und klicken Sie dann auf Speichern.
Wählen Sie unter Zieldetails unter den folgenden Optionen die von Ihnen benötigten aus:
- In einem Speicherkonto archivieren: Daten werden in einem Azure Storage-Konto gespeichert. Weitere Informationen zu dieser Option finden Sie unter Archivieren von Ressourcenprotokollen.
- An einen Event Hub streamen: Erlaubt einem Protokollempfänger das Erfassen von Protokollen mithilfe eines Azure-Event Hubs. Event Hubs ermöglichen die Integration in Splunk oder andere SIEM-Systeme. Weitere Informationen zu dieser Option finden Sie unter Streamen von Ressourcenprotokollen an Event Hubs.
- An Log Analytics senden: Schreibt Protokolle in den Azure Monitor-Dienst. Weitere Informationen zu dieser Option finden Sie unter Sammeln von Azure-Dienstprotokollen und Metriken zur Verwendung in Azure Monitor-Protokollen.
Abfragen von DDOS-Schutzprotokollen im Log Analytics-Arbeitsbereich
DDoSProtectionNotifications-Protokolle
Wählen Sie im Blatt Log Analytics-Arbeitsbereich Ihren Log Analytics-Arbeitsbereich aus.
Klicken Sie unter Allgemein auf Protokolle.
Geben Sie im Abfrage-Explorer die folgende Kusto-Abfrage ein, und ändern Sie den Zeitbereich in „Benutzerdefiniert“ und in die letzten 3 Monate. Wählen Sie dann „Ausführen“ aus.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"
DDoSMitigationFlowLogs
Ändern Sie nun die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"
DDoSMitigationReports
Ändern Sie nun die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Protokollschemas
In der folgenden Tabelle sind die Feldnamen und Beschreibungen aufgeführt:
| Feldname | BESCHREIBUNG |
|---|---|
| TimeGenerated | Hier werden das Datum und die Uhrzeit (UTC) der Erstellung der Benachrichtigung angegeben. |
| ResourceId | Hier wird die Ressourcen-ID Ihrer öffentlichen IP-Adresse angegeben. |
| Kategorie | Bei Benachrichtigungen ist der Wert für dieses Feld DDoSProtectionNotifications. |
| ResourceGroup | Hier wird die Ressourcengruppe angegeben, die Ihre öffentliche IP-Adresse und Ihr virtuelles Netzwerk enthält. |
| SubscriptionId | Hier wird die Abonnement-ID für Ihren DDoS-Schutzplan angegeben. |
| Ressource | Hier wird der Name Ihrer öffentlichen IP-Adresse angegeben. |
| ResourceType | Der Wert für dieses Feld ist immer PUBLICIPADDRESS. |
| OperationName | Bei Benachrichtigungen ist der Wert für dieses Feld DDoSProtectionNotifications. |
| Meldung | Hier werden Details zum Angriff angegeben. |
| Type | Hier wird der Benachrichtigungstyp angegeben. Mögliche Werte sind: MitigationStarted. MitigationStopped. |
| PublicIpAddress | Hier wird Ihre öffentliche IP-Adresse angegeben. |
Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen
Diese integrierte Richtlinie aktiviert automatisch Diagnoseprotokollierung für alle öffentlichen IP-Protokolle in einem definierten Bereich. Eine vollständige Liste der integrierten Richtlinien finden Sie unter Integrierte Azure Policy-Definitionen für Azure DDoS Protection Standard.
Anzeigen von Protokolldaten in Arbeitsmappen
Microsoft Sentinel-Datenconnector
Sie können Protokolle mit Microsoft Sentinel verbinden, Ihre Daten in Arbeitsmappen anzeigen und analysieren, benutzerdefinierte Warnungen erstellen und dies in Untersuchungsprozesse integrieren. Informationen zum Herstellen einer Verbindung mit Microsoft Sentinel finden Sie unter Verbinden mit Microsoft Sentinel.
Azure DDoS Protection-Arbeitsmappe
Zum Bereitstellen einer Arbeitsmappe zur Angriffsanalyse können Sie diese ARM-Vorlage (Azure Resource Manager) verwenden. Mit dieser Arbeitsmappe können Sie Angriffsdaten in mehreren filterbaren Panels visualisieren, um leicht nachzuvollziehen, was auf dem Spiel steht.
Überprüfen und Testen
Wenn Sie zur Überprüfung Ihrer Protokolle einen DDoS-Angriff simulieren möchten, lesen Sie den Artikel Durchführen von Simulationstests.
Nächste Schritte
In diesem Tutorial haben Sie gelernt, wie die folgenden Aufgaben ausgeführt werden:
- Konfigurieren von DDoS-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
- Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
- Anzeigen von Protokolldaten in Arbeitsmappen
Informationen zur Konfiguration von Angriffswarnungen finden Sie im nächsten Tutorial.