Visualización y configuración de alertas de protección contra DDoS

  • Artículo
  • Tiempo de lectura: 6 minutos

La versión estándar de Azure DDoS Protection proporciona información detallada y visualización de ataques con DDoS Attack Analytics. Los clientes que protegen sus redes virtuales frente a ataques DDoS disponen de visibilidad detallada sobre el tráfico de ataques y las acciones llevadas a cabo para mitigarlos mediante informes de mitigación de ataques y registros de flujo de mitigación. La telemetría enriquecida se expone a través de Azure Monitor, incluidas las métricas detalladas mientras dure un ataque DDoS. Las alertas se pueden configurar para cualquiera de las métricas de Azure Monitor que expone DDoS Protection. El registro se puede integrar adicionalmente con Microsoft Sentinel, Splunk (Azure Event Hubs), Log Analytics de OMS y Azure Storage para realizar análisis avanzados con la interfaz de diagnósticos de Azure Monitor.

En este tutorial, aprenderá a:

  • Configurar alertas mediante Azure Monitor
  • Configurar alertas mediante el portal
  • Visualización de las alertas de Microsoft Defender for Cloud
  • Validar y probar las alertas

Requisitos previos

  • Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
  • Antes realizar los pasos de este tutorial, primero debe crear un plan de protección de Azure DDoS Standard y DDoS Protection Standard debe estar habilitado en una red virtual.
  • DDoS supervisa las direcciones IP públicas asignadas a los recursos dentro de una red virtual. Si no tiene ningún recurso con direcciones IP públicas en la red virtual, primero debe crear un recurso con una dirección IP pública. Puede supervisar la dirección IP pública de todos los recursos implementados a través de Resource Manager (no clásico) que aparecen en Red virtual para servicios de Azure (incluidas las instancias de Azure Load Balancer donde las máquinas virtuales de back-end se encuentran en la red virtual), excepto para entornos de Azure App Service. Para continuar con este tutorial, puede crear rápidamente una máquina virtual Windows o Linux.  

Configurar alertas mediante Azure Monitor

Con estas plantillas, podrá configurar alertas para todas las direcciones IP públicas en las que haya habilitado el registro de diagnóstico. Por lo tanto, para poder usar estas plantillas de alerta, primero necesitará un área de trabajo de Log Analytics con la configuración de diagnóstico habilitada. Consulte Visualización y configuración del registro de diagnósticos de DDoS.

Regla de alerta de Azure Monitor

Esta regla de alertas de Azure Monitor ejecutará una consulta simple para detectar cuándo se está produciendo una mitigación de DDoS activa. Esto es indicativo de un posible ataque. Los grupos de acciones se pueden usar para invocar acciones como resultado de la alerta.

Deploy to Azure

Regla de alerta de Azure Monitor con la aplicación lógica

En esta plantilla se implementan los componentes necesarios de una alerta de mitigación de DDoS enriquecida. Regla de alerta, grupo de acciones y aplicación lógica de Azure Monitor. El resultado del proceso es una alerta por correo electrónico con detalles sobre la dirección IP víctima del ataque, incluida información sobre el recurso asociado a la dirección IP. El propietario del recurso se agrega como destinatario del correo electrónico, junto con el equipo de seguridad. También se realiza una prueba de disponibilidad de la aplicación básica y los resultados se incluyen en la alerta por correo electrónico.

Deploy to Azure

Configurar alertas mediante el portal

Puede seleccionar cualquiera de las métricas de protección contra DDoS disponibles para que le avisen cuando hay una mitigación activa durante un ataque mediante la configuración de alertas de Azure Monitor.

  1. Inicie sesión en Azure Portal y vaya al plan de DDoS Protection.

  2. En Supervisión, seleccione Alertas.

  3. Seleccione el botón + Nueva regla de alertas o seleccione + Crear en la barra de navegación y, a continuación, seleccione Regla de alertas.

  4. Cierre la página Seleccionar una señal.

  5. En la página Crear una regla de alerta, verá las pestañas siguientes:

    • Ámbito
    • Condición
    • Acciones
    • Detalles
    • Etiquetas
    • Revisar y crear

    Para cada paso, use los valores que se describen a continuación:

    Configuración Valor
    Ámbito 1) Seleccione + Seleccionar ámbito.
    2) En la lista desplegable Filtrar por suscripción, seleccione la Suscripción que contiene la dirección IP pública que desea registrar.
    3) En la lista desplegable Filtrar por tipo de recurso, seleccione una dirección IP pública, a continuación seleccione la dirección IP pública específica para la que desea registrar las métricas.
    4) Seleccione Hecho.
    Condición 1) Seleccione el botón + Agregar condición
    2) En el cuadro de búsqueda Buscar por nombre de señal, seleccione Bajo ataque DDoS o no.
    3) Deje el período del gráfico y la lógica de alerta como valor predeterminado.
    4) En la lista desplegable Operador, seleccione Mayor o igual que.
    5) En la lista desplegable Tipo de agregación, seleccione Máxima.
    6) En el cuadro Valor de umbral, escriba 1. En la métrica Bajo ataque DDoS o no, 0 significa que no se le está atacando, mientras que 1 significa que se le está atacando.
    7) SeleccioneHecho.
    Acciones 1) Seleccione el botón Creación de un grupo de acciones.
    2) En la pestaña Aspectos básicos, seleccione la suscripción, un grupo de recursos y proporcione el nombre del grupo de acciones y el nombre para mostrar.
    3) En la pestaña Notificaciones, enTipo de notificación, seleccioneCorreo electrónico/mensaje SMS/notificación push/mensaje de voz.
    4) En Nombre, escribaMyUnderAttackEmailAlert.
    5) En la página Correo electrónico/mensaje SMS/notificación push/mensaje de voz, escriba el correo electrónico y tantas opciones disponibles como necesite y, a continuación, seleccione Aceptar.
    6) Seleccione Revisar y crear y, después, seleccione Crear.
    Detalles 1) En Nombre de regla de alerta, escriba MyDdosAlert.
    2) Seleccione Revisar y crear y, después, seleccione Crear.

Dentro de unos pocos minutos después de la detección del ataque, debería recibir un correo electrónico con métricas de Azure Monitor que tiene un aspecto similar a la imagen siguiente:

Attack alert

Puede aprender más sobre configurar webhooks y aplicaciones lógicas para la creación de alertas.

Visualización de las alertas de Microsoft Defender for Cloud

Microsoft Defender for Cloud proporciona una lista de alertas de seguridad, con información para ayudarle a investigar y solucionar problemas. Gracias a esta característica, obtendrá una vista unificada de las alertas, incluyendo las alertas relacionadas con los ataques DDoS y las acciones que se tomaron para mitigar el ataque a corto plazo. Hay dos alertas específicas que verá en cualquier mitigación y detección de ataques DDoS:

  • Ataque DDoS detectado para IP pública: Esta alerta se genera cuando el servicio de protección contra DDoS detecta que una de sus direcciones IP públicas es el objetivo de un ataque DDoS.
  • Ataque DDoS mitigado para IP pública: Esta alerta se genera cuando se ha mitigado un ataque a la dirección IP pública. Para ver las alertas, abra Defender for Cloud en Azure Portal y seleccione Alertas de seguridad. En Protección contra amenazas, seleccione Alertas de seguridad. La siguiente captura de pantalla muestra un ejemplo de las alertas de ataques DDoS.

DDoS Alert in Microsoft Defender for Cloud

Las alertas incluyen información general sobre la dirección IP pública que está bajo ataque, información de inteligencia geográfica y de amenazas y los pasos para solucionar el problema.

Validación y prueba

Para simular un ataque de DDoS para validar las alertas, consulte Validación de la detección de DDoS.

Pasos siguientes

En este tutorial, ha aprendido a:

  • Configurar alertas mediante Azure Monitor
  • Configurar alertas mediante el portal
  • Visualización de las alertas de Microsoft Defender for Cloud
  • Validar y probar las alertas

Para obtener información sobre cómo probar y simular un ataque DDoS, consulte la guía de pruebas de simulación:

Pruebas mediante simulaciones