Az Azure DDoS Protection diagnosztikai naplózási riasztásainak konfigurálása
A DDoS Protection diagnosztikai naplózási riasztásai betekintést nyújtanak a DDoS-támadásokba és a kockázatcsökkentési műveletekbe. Riasztásokat konfigurálhat az összes olyan DDoS-védelemmel ellátott nyilvános IP-címhez, amelyen engedélyezte a diagnosztikai naplózást.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Diagnosztikai naplózási riasztások konfigurálása az Azure Monitor és a Logic App segítségével.
Előfeltételek
- Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- A DDoS Network Protectiont engedélyezni kell egy virtuális hálózaton, vagy a DDoS IP-védelmet nyilvános IP-címen kell engedélyezni.
- A diagnosztikai naplózás használatához először létre kell hoznia egy Log Analytics-munkaterületet, amelyen engedélyezve van a diagnosztikai beállítások.
- A DDoS Protection figyeli a virtuális hálózaton belüli erőforrásokhoz rendelt nyilvános IP-címeket. Ha nincsenek nyilvános IP-címmel rendelkező erőforrások a virtuális hálózatban, először létre kell hoznia egy nyilvános IP-című erőforrást. A Resource Manageren (nem klasszikus) keresztül üzembe helyezett összes erőforrás nyilvános IP-címét figyelheti az Azure-szolgáltatások virtuális hálózatában (beleértve az Azure Load Balancereket is, ahol a háttérbeli virtuális gépek a virtuális hálózaton találhatók), kivéve Azure-alkalmazás szolgáltatáskörnyezeteket. Az útmutató folytatásához gyorsan létrehozhat windowsos vagy Linux rendszerű virtuális gépet.
Diagnosztikai naplózási riasztások konfigurálása az Azure Monitoron keresztül
Ezekkel a sablonokkal riasztásokat konfigurálhat minden olyan nyilvános IP-címhez, amelyen engedélyezte a diagnosztikai naplózást.
Azure Monitor-riasztási szabály létrehozása
Az Azure Monitor riasztási szabálysablonja lekérdezést futtat a diagnosztikai naplókon, hogy észlelje az aktív DDoS-kockázatcsökkentést. A riasztás potenciális támadást jelez. A műveletcsoportok a riasztás eredményeként műveletek meghívására használhatók.
A sablon üzembe helyezése
Az Azure-ba való bejelentkezéshez és a sablon megnyitásához válassza az Üzembe helyezés az Azure-ban lehetőséget.
Az Egyéni üzembe helyezés lapon, a Project részletei csoportban adja meg a következő információkat.
Beállítás Érték Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Régió Válassza ki a Régiót. Munkaterület neve Adja meg a munkaterület nevét. Ebben a példában a munkaterület neve myLogAnalyticsWorkspace. Hely Adja meg az USA keleti régióját. Feljegyzés
A helynek meg kell egyeznie a munkaterület helyével.
Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.
Azure Monitor diagnosztikai naplózási riasztási szabály létrehozása a Logic App használatával
Ez a DDoS-alapú riasztásbővítési sablon üzembe helyezi egy bővített DDoS-kockázatcsökkentési riasztás szükséges összetevőit: Azure Monitor riasztási szabályt, műveletcsoportot és logikai alkalmazást. A folyamat eredménye egy e-mailes riasztás, amely a támadás alatt álló IP-cím részleteit tartalmazza, beleértve az IP-címhez társított erőforrás adatait is. Az erőforrás tulajdonosa az e-mail címzettjeként lesz hozzáadva a biztonsági csapattal együtt. Egy alapszintű alkalmazás-rendelkezésre állási tesztet is végrehajtunk, és az eredmények szerepelnek az e-mail-riasztásban.
A sablon üzembe helyezése
Az Azure-ba való bejelentkezéshez és a sablon megnyitásához válassza az Üzembe helyezés az Azure-ban lehetőséget.
Az Egyéni üzembe helyezés lapon, a Project részletei csoportban adja meg a következő információkat.
Beállítás Érték Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Régió Válassza ki a Régiót. Riasztás neve Hagyja meg az alapértelmezett beállítást. Biztonsági csapat e-mail-címe Adja meg a szükséges e-mail-címet. Vállalati tartomány Adja meg a szükséges tartományt. Munkaterület neve Adja meg a munkaterület nevét. Ebben a példában a munkaterület neve myLogAnalyticsWorkspace. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.
Az erőforrások eltávolítása
Az erőforrásokat megtarthatja a következő útmutatóhoz. Ha már nincs rá szükség, törölje a riasztásokat.
A portál tetején található keresőmezőbe írja be a Riasztások kifejezést. Válassza a Riasztások lehetőséget a keresési eredmények között.
Válassza a Riasztási szabályok lehetőséget, majd a Riasztási szabályok lapon válassza ki az előfizetését.
Válassza ki az útmutatóban létrehozott riasztásokat, majd válassza a Törlés lehetőséget.
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan konfigurálhat diagnosztikai riasztásokat az Azure Portalon keresztül.
A DDoS Protection szimulációkon keresztüli teszteléséhez folytassa a következő útmutatóval.