Visualización y configuración del registro de diagnósticos de DDoS

Artículo
07/27/2022
Tiempo de lectura: 8 minutos

La versión estándar de Azure DDoS Protection proporciona información detallada y visualización de ataques con DDoS Attack Analytics. Los clientes que protegen sus redes virtuales frente a ataques DDoS disponen de visibilidad detallada sobre el tráfico de ataques y las acciones llevadas a cabo para mitigarlos mediante informes de mitigación de ataques y registros de flujo de mitigación. La telemetría enriquecida se expone a través de Azure Monitor, incluidas las métricas detalladas mientras dure un ataque DDoS. Las alertas se pueden configurar para cualquiera de las métricas de Azure Monitor que expone DDoS Protection. El registro se puede integrar adicionalmente con Microsoft Sentinel, Splunk (Azure Event Hubs), Log Analytics de OMS y Azure Storage para realizar análisis avanzados con la interfaz de diagnósticos de Azure Monitor.

Los siguientes registros de diagnóstico están disponibles para Azure DDoS Protection Standard:

DDoSProtectionNotifications: se le enviarán notificaciones cada vez que un recurso de IP pública esté sufriendo un ataque y cuando haya terminado la mitigación del ataque.
DDoSMitigationFlowLogs: Los registros de flujo de mitigación de ataques le permiten revisar casi en tiempo real el tráfico descartado, el tráfico reenviado y otros puntos de datos interesantes durante un ataque DDoS activo. Puede ingerir el flujo constante de estos datos en Microsoft Sentinel o en sus sistemas SIEM de terceros mediante un centro de eventos para la supervisión casi en tiempo real, realizar posibles acciones y solucionar la necesidad de sus operaciones de defensa.
DDoSMitigationReports: Los informes de mitigación de ataques usan los datos del protocolo Netflow que se agrega para proporcionar información detallada sobre el ataque en el recurso. Cada vez que un recurso IP público es objeto de ataque, tan pronto se inicia la mitigación se inicia la generación de informes. Durante todo el período de mitigación, habrá un informe incremental que se genera cada cinco minutos y un informe posterior a la mitigación. Su finalidad es garantizar que en caso de que el ataque DDoS continúe durante mucho tiempo, podrá ver la instantánea más actual del informe de mitigación cada cinco minutos y un resumen completo una vez finalizada la mitigación del ataque.
AllMetrics: proporciona todas las métricas posibles disponibles mientras dura un ataque de DDoS.

En este tutorial, aprenderá a:

Configurar los registros de diagnóstico de DDoS, como las notificaciones, los informes de mitigación y los registros de flujo de mitigación.
Habilitar el registro de diagnóstico en todas las direcciones IP públicas de un ámbito definido.
Ver los datos de registro en los libros.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Antes realizar los pasos de este tutorial, primero debe crear un plan de protección de Azure DDoS Standard y DDoS Protection Standard debe estar habilitado en una red virtual.
DDoS supervisa las direcciones IP públicas asignadas a los recursos dentro de una red virtual. Si no tiene ningún recurso con direcciones IP públicas en la red virtual, primero debe crear un recurso con una dirección IP pública. Puede supervisar la dirección IP pública de todos los recursos implementados a través de Resource Manager (no clásico) que aparecen en Red virtual para servicios de Azure (incluidas las instancias de Azure Load Balancer donde las máquinas virtuales de back-end se encuentran en la red virtual), excepto para entornos de Azure App Service. Para continuar con este tutorial, puede crear rápidamente una máquina virtual Windows o Linux.

Configuración de los registros de diagnóstico de DDoS

Si quiere habilitar automáticamente el registro de diagnóstico en todas las direcciones IP públicas dentro de un entorno, vaya a Habilitación del registro de diagnóstico en todas las direcciones IP públicas.

Seleccione Todos los servicios en la parte superior izquierda del portal.
Escriba Monitor en el cuadro Filtrar. Seleccione Monitor cuando aparezca en los resultados.
En Configuración, seleccione Configuración de diagnóstico.
Seleccione la suscripción y el grupo de recursos que contienen la dirección IP pública que desea registrar.
En Tipo de recurso, seleccione Dirección IP pública y, luego, elija la dirección IP pública específica para la que quiere habilitar los registros.
Seleccione Agregar configuración de diagnóstico. En Detalles de la categoría, seleccione todas las opciones que necesita y, luego, elija Guardar.
En Detalles del destino, seleccione todas las opciones necesarias:
- Archivar en una cuenta de almacenamiento: los datos se escriben en una cuenta de Azure Storage. Para más información sobre esta opción, consulte Archivo de registros de recursos.
- Transmisión a un centro de eventos: permite que un receptor de registros seleccione los registros mediante una instancia de Azure Event Hub. Los centros de eventos habilitan la integración con Splunk y otros sistemas SIEM. Para más información sobre esta opción, consulte Transmisión de registros de recursos a un centro de eventos.
- Enviar a Log Analytics: Escribe registros en el servicio Azure Monitor. Para obtener más información sobre esta opción, consulte Recopilación de registros para su uso en los registros de Azure Monitor.

Consulta de registros de protección contra DDOS en un área de trabajo de Log Analytics

Registros DDoSProtectionNotifications

En la hoja Áreas de trabajo de Log Analytics, seleccione su área de trabajo.
En General, haga clic en Registros.
En el Explorador de consultas, escriba la siguiente consulta de Kusto. Cambie el intervalo de tiempo a "Personalizado" e indique un intervalo correspondiente a los últimos 3 meses. A continuación, presione "Ejecutar".
```
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
```

DDoSMitigationFlowLogs

Ahora, cambie la consulta por lo siguiente, manteniendo el mismo intervalo de tiempo, y presione "Ejecutar".
```
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
```

DDoSMitigationReports

Ahora, cambie la consulta por lo siguiente, manteniendo el mismo intervalo de tiempo, y presione "Ejecutar".
```
AzureDiagnostics
| where Category == "DDoSMitigationReports"
```

Esquemas de registro

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo	Descripción
TimeGenerated	Fecha y hora en formato UTC en que se creó la notificación.
ResourceId	Identificador de recurso de la dirección IP pública.
Categoría	En el caso de las notificaciones, será `DDoSProtectionNotifications`.
ResourceGroup	El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId	El identificador de la suscripción del plan de protección contra DDoS.
Recurso	El nombre de la dirección IP pública.
ResourceType	Siempre será `PUBLICIPADDRESS`.
OperationName	En el caso de las notificaciones, será `DDoSProtectionNotifications`.
Mensaje	Detalles del ataque.
Type	Tipo de notificación. Los valores posibles son `MitigationStarted`. `MitigationStopped`.
PublicIpAddress	La dirección IP pública.

Nombre del campo	Descripción
TimeGenerated	Fecha y hora en formato UTC en que se creó el registro de flujo.
ResourceId	Identificador de recurso de la dirección IP pública.
Categoría	En el caso de los registros de flujo, será `DDoSMitigationFlowLogs`.
ResourceGroup	El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId	El identificador de la suscripción del plan de protección contra DDoS.
Recurso	El nombre de la dirección IP pública.
ResourceType	Siempre será `PUBLICIPADDRESS`.
OperationName	En el caso de los registros de flujo, será `DDoSMitigationFlowLogs`.
Mensaje	Detalles del ataque.
SourcePublicIpAddress	La dirección IP pública del cliente que genera tráfico hacia la dirección IP pública.
SourcePort	Número de puerto comprendido entre 0 y 65535.
DestPublicIpAddress	La dirección IP pública.
DestPort	Número de puerto comprendido entre 0 y 65535.
Protocolo	Tipo de protocolo. Los valores posibles son `tcp`, `udp` y `other`.

Nombre del campo	Descripción
TimeGenerated	Fecha y hora en formato UTC en que se creó el informe.
ResourceId	Identificador de recurso de la dirección IP pública.
Categoría	En el caso de las notificaciones, será `DDoSMitigationReports`.
ResourceGroup	El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId	El identificador de la suscripción del plan de protección contra DDoS.
Recurso	El nombre de la dirección IP pública.
ResourceType	Siempre será `PUBLICIPADDRESS`.
OperationName	En el caso de los informes de mitigación, será `DDoSMitigationReports`.
ReportType	Los valores posibles son `Incremental` y `PostMitigation`.
MitigationPeriodStart	Fecha y hora en formato UTC en que se inició la mitigación.
MitigationPeriodEnd	Fecha y hora en formato UTC en que finalizó la mitigación.
IPAddress	La dirección IP pública.
AttackVectors	Desglose de los tipos de ataque. Entre las claves se incluyen `TCP SYN flood`, `TCP flood`, `UDP flood`, `UDP reflection` y `Other packet flood`.
TrafficOverview	Desglose del tráfico de ataque. Entre las claves se incluyen `Total packets`, `Total packets dropped`, `Total TCP packets`, `Total TCP packets dropped`, `Total UDP packets`, `Total UDP packets dropped`, `Total Other packets` y `Total Other packets dropped`.
Protocolos	Desglose de los protocolos implicados. Entre las claves se incluyen `TCP`, `UDP` y `Other`.
DropReasons	Desglose de los motivos de los paquetes descartados. Entre las claves se incluyen `Protocol violation invalid TCP syn`, `Protocol violation invalid TCP`, `Protocol violation invalid UDP`, `UDP reflection`, `TCP rate limit exceeded`, `UDP rate limit exceeded`, `Destination limit exceeded`, `Other packet flood`, `Rate limit exceeded` y `Packet was forwarded to service`.
TopSourceCountries	Desglose de los 10 primeros países de origen del tráfico entrante.
TopSourceCountriesForDroppedPackets	Desglose de los 10 primeros países de origen del tráfico de ataque que se ha mitigado.
TopSourceASNs	Desglose de los 10 primeros números de sistema autónomo (ASN) de origen del tráfico entrante.
SourceContinents	Desglose de los continentes de origen del tráfico entrante.

Habilitación del registro de diagnóstico en todas las direcciones IP públicas

Esta directiva integrada habilita automáticamente el registro de diagnóstico en todos los registros de IP pública de un ámbito definido. Para obtener una lista completa de directivas integradas, consulte Definiciones de directivas integradas de Azure Policy para Azure DDoS Protection estándar.

Visualización de los datos de registro en los libros

Conector de datos de Microsoft Sentinel

Puede conectar registros a Microsoft Sentinel, ver y analizar los datos de los libros, crear alertas personalizadas e incorporarlas a procesos de investigación. Para conectarse a Microsoft Sentinel, consulte Conexión a Microsoft Sentinel.

Microsoft Sentinel DDoS Connector

Libro de Azure DDoS Protection

Esta plantilla de Azure Resource Manager se puede usar para implementar un libro de análisis de ataques. Este libro le permite visualizar los datos de ataques en varios paneles que se pueden filtrar para comprender fácilmente qué está en riesgo.

DDoS Protection Workbook

Validación y prueba

Para simular un ataque DDoS para validar los registros, consulte Validación de la detección de DDoS.

Pasos siguientes

En este tutorial, ha aprendido a:

Configurar los registros de diagnóstico de DDoS, como las notificaciones, los informes de mitigación y los registros de flujo de mitigación.
Habilitar el registro de diagnóstico en todas las direcciones IP públicas de un ámbito definido.
Ver los datos de registro en los libros.

Para aprender a configurar alertas de ataque, continúe con el siguiente tutorial.

Visualización y configuración de alertas de protección contra DDoS