Tutorial: Visualización y configuración de la telemetría de Azure DDoS Protection

  • Artículo

Azure DDoS Protection ofrece información detallada y visualizaciones de patrones de ataque a través de Análisis de ataques DDoS. Proporciona a los clientes visibilidad completa sobre el tráfico de ataque y las acciones de mitigación a través de informes y registros de flujo. Durante un ataque DDoS, hay métricas detalladas disponibles a través de Azure Monitor, que también permite configuraciones de alerta basadas en estas métricas.

En este tutorial, aprenderá a:

  • Visualización de la telemetría de Azure DDoS Protection
  • Visualización de directivas de mitigación de Azure DDoS Protection
  • Validación y prueba de la telemetría de Azure DDoS Protection

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

  • Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
  • Para poder completar los pasos de este tutorial, primero debe crear un ataque de simulación de DDoS para generar la telemetría. Los datos de telemetría se registran durante un ataque. Para más información, veaPrueba de DDoS Protection mediante una simulación.

Visualización de la telemetría de Azure DDoS Protection

La telemetría para un ataque se proporciona a través de Azure Monitor en tiempo real. Aunque los desencadenadores de mitigación para TCP SYN, TCP Y UDP están disponibles en tiempos de calma, otros datos de telemetría solo están disponibles cuando una dirección IP pública está en proceso de mitigación.

Puede ver los datos de telemetría de DDoS de una dirección IP pública protegida mediante tres tipos de recursos diferentes: plan de protección contra DDoS, red virtual y dirección IP pública.

El registro se puede integrar adicionalmente con Microsoft Sentinel, Splunk (Azure Event Hubs), Log Analytics de OMS y Azure Storage para realizar análisis avanzados con la interfaz de diagnósticos de Azure Monitor.

Para más información sobre las métricas, consulte Supervisión de Azure DDoS Protection para más información sobre los registros de supervisión de DDoS Protection.

Visualización de métricas del plan de protección contra DDoS

  1. Inicie sesión en Azure Portal y seleccione el plan de protección contra DDoS.
  2. En el menú de Azure Portal, seleccione o busque y seleccione Planes de protección contra DDoS y, después, seleccione el plan de protección contra DDoS.
  3. En Supervisión, seleccione Métricas.
  4. Seleccione Agregar métrica y luego elija Ámbito.
  5. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.
  6. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.
  7. Para Métrica , seleccione Bajo ataque DDoS o no.
  8. En Agregación, seleccione el tipo Máximo.

Captura de pantalla del menú de creación de métricas de protección contra DDoS.

Visualización de métricas de la red virtual

  1. Inicie sesión en Azure Portal y vaya a la red virtual que tiene la protección contra DDoS habilitada.
  2. En Supervisión, seleccione Métricas.
  3. Seleccione Agregar métrica y luego elija Ámbito.
  4. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.
  5. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.
  6. En Métrica, seleccione la métrica elegida y, después, en Agregación, seleccione el tipo como Máximo.

Nota

Para filtrar direcciones IP, seleccione Agregar filtro. En Propiedad, seleccione Dirección IP protegida y el operador se debe establecer en =. En Valores, verá una lista desplegable de direcciones IP públicas, asociadas a la red virtual, que están protegidas con la protección contra Azure DDoS Protection.

Captura de pantalla de la configuración de diagnóstico de DDoS.

Visualización de métricas de la dirección IP pública

  1. Inicie sesión en Azure Portal y vaya a la dirección IP pública.
  2. En el menú de Azure Portal, seleccione o busque y seleccione Direcciones IP públicas y, después, seleccione la dirección IP pública.
  3. En Supervisión, seleccione Métricas.
  4. Seleccione Agregar métrica y luego elija Ámbito.
  5. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.
  6. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.
  7. En Métrica, seleccione la métrica elegida y, después, en Agregación, seleccione el tipo como Máximo.

Nota

Al cambiar la protección de IP de DDoS de habilitada a deshabilitada, los datos de telemetría del recurso de IP pública no estarán disponibles.

Visualización de las directivas de mitigación de DDoS

Azure DDoS Protection usa tres directivas de mitigación ajustadas automáticamente (TCP SYN, TCP y UDP) para cada dirección IP pública del recurso que se está protegiendo. Esto se aplica a cualquier red virtual con la protección contra DDoS habilitada.

Puede ver los límites de directiva dentro de las métricas de dirección IP pública eligiendo los Paquetes de entrada SYN para desencadenar la mitigación de DDoS, Paquetes TCP de entrada para desencadenar la mitigación de DDoS, y Paquetes UDP de entrada para desencadenar métricas de mitigación de DDoS. Asegúrese de establecer el tipo de agregación en Max.

Captura de pantalla de la visualización de directivas de mitigación.

Visualización de la telemetría del tráfico en tiempo de paz

Es importante tener en cuenta las métricas de los desencadenadores de detección TCP SYN, UDP y TCP. Estas métricas le ayudan a saber cuándo se inicia la protección contra DDoS. Asegúrese de que estos desencadenadores reflejan los niveles de tráfico normales cuando no hay ningún ataque.

Puede crear un gráfico para el recurso de dirección IP pública. En este gráfico, incluya las métricas Recuento de paquetes y Recuento de SYN. El recuento de paquetes incluye paquetes TCP y UDP. Esto muestra la suma del tráfico.

Captura de pantalla de visualización de la telemetría del tiempo de paz.

Nota:

Para realizar una comparación justa, debe convertir los datos en paquetes por segundo. Puede hacerlo dividiendo el número que ve en 60, ya que los datos representan el número de paquetes, bytes o paquetes SYN recopilados durante más de 60 segundos. Por ejemplo, si tiene 91 000 paquetes recopilados más de 60 segundos, divida 91 000 en 60 para obtener aproximadamente 1500 paquetes por segundo (pps).

Validación y prueba

Para simular un ataque DDoS para validar la telemetría de la protección contra DDoS, consulte Validación de la detección de DDoS.

Pasos siguientes

En este tutorial, ha aprendido a:

  • Configuración de alertas para métricas de protección contra DDoS
  • Ver la telemetría de protección contra DDoS
  • Visualización de las directivas de mitigación de DDoS
  • Validar y probar la telemetría de protección contra DDoS

Para obtener información sobre cómo configurar los informes de mitigación de ataques y los registros de flujo, continúe con el siguiente tutorial.

Visualización y configuración del registro de diagnóstico de DDoS