Az Azure DDoS Protection diagnosztikai naplózási riasztásainak konfigurálása

  • Cikk

A DDoS Protection diagnosztikai naplózási riasztásai betekintést nyújtanak a DDoS-támadásokba és a kockázatcsökkentési műveletekbe. Riasztásokat konfigurálhat az összes olyan DDoS-védelemmel ellátott nyilvános IP-címhez, amelyen engedélyezte a diagnosztikai naplózást.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Diagnosztikai naplózási riasztások konfigurálása az Azure Monitor és a Logic App segítségével.

Előfeltételek

  • Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
  • A DDoS Network Protectiont engedélyezni kell egy virtuális hálózaton, vagy a DDoS IP-védelmet nyilvános IP-címen kell engedélyezni.
  • A diagnosztikai naplózás használatához először létre kell hoznia egy Log Analytics-munkaterületet, amelyen engedélyezve van a diagnosztikai beállítások.
  • A DDoS Protection figyeli a virtuális hálózaton belüli erőforrásokhoz rendelt nyilvános IP-címeket. Ha nincsenek nyilvános IP-címmel rendelkező erőforrások a virtuális hálózatban, először létre kell hoznia egy nyilvános IP-című erőforrást. A Resource Manageren (nem klasszikus) keresztül üzembe helyezett összes erőforrás nyilvános IP-címét figyelheti az Azure-szolgáltatások virtuális hálózatában (beleértve az Azure Load Balancereket is, ahol a háttérbeli virtuális gépek a virtuális hálózaton találhatók), kivéve Azure-alkalmazás szolgáltatáskörnyezeteket. Az útmutató folytatásához gyorsan létrehozhat windowsos vagy Linux rendszerű virtuális gépet.

Diagnosztikai naplózási riasztások konfigurálása az Azure Monitoron keresztül

Ezekkel a sablonokkal riasztásokat konfigurálhat minden olyan nyilvános IP-címhez, amelyen engedélyezte a diagnosztikai naplózást.

Azure Monitor-riasztási szabály létrehozása

Az Azure Monitor riasztási szabálysablonja lekérdezést futtat a diagnosztikai naplókon, hogy észlelje az aktív DDoS-kockázatcsökkentést. A riasztás potenciális támadást jelez. A műveletcsoportok a riasztás eredményeként műveletek meghívására használhatók.

A sablon üzembe helyezése

  1. Az Azure-ba való bejelentkezéshez és a sablon megnyitásához válassza az Üzembe helyezés az Azure-ban lehetőséget.

    Button to deploy the Resource Manager template to Azure.

  2. Az Egyéni üzembe helyezés lapon, a Project részletei csoportban adja meg a következő információkat.

    Screenshot of Azure Monitor alert rule template.

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki az erőforráscsoportot.
    Régió Válassza ki a Régiót.
    Munkaterület neve Adja meg a munkaterület nevét. Ebben a példában a munkaterület neve myLogAnalyticsWorkspace.
    Hely Adja meg az USA keleti régióját.

    Feljegyzés

    A helynek meg kell egyeznie a munkaterület helyével.

  3. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Azure Monitor diagnosztikai naplózási riasztási szabály létrehozása a Logic App használatával

Ez a DDoS-alapú riasztásbővítési sablon üzembe helyezi egy bővített DDoS-kockázatcsökkentési riasztás szükséges összetevőit: Azure Monitor riasztási szabályt, műveletcsoportot és logikai alkalmazást. A folyamat eredménye egy e-mailes riasztás, amely a támadás alatt álló IP-cím részleteit tartalmazza, beleértve az IP-címhez társított erőforrás adatait is. Az erőforrás tulajdonosa az e-mail címzettjeként lesz hozzáadva a biztonsági csapattal együtt. Egy alapszintű alkalmazás-rendelkezésre állási tesztet is végrehajtunk, és az eredmények szerepelnek az e-mail-riasztásban.

A sablon üzembe helyezése

  1. Az Azure-ba való bejelentkezéshez és a sablon megnyitásához válassza az Üzembe helyezés az Azure-ban lehetőséget.

    Button to deploy the Resource Manager template to Azure.

  2. Az Egyéni üzembe helyezés lapon, a Project részletei csoportban adja meg a következő információkat.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza ki az erőforráscsoportot.
    Régió Válassza ki a Régiót.
    Riasztás neve Hagyja meg az alapértelmezett beállítást.
    Biztonsági csapat e-mail-címe Adja meg a szükséges e-mail-címet.
    Vállalati tartomány Adja meg a szükséges tartományt.
    Munkaterület neve Adja meg a munkaterület nevét. Ebben a példában a munkaterület neve myLogAnalyticsWorkspace.

  3. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

Az erőforrások eltávolítása

Az erőforrásokat megtarthatja a következő útmutatóhoz. Ha már nincs rá szükség, törölje a riasztásokat.

  1. A portál tetején található keresőmezőbe írja be a Riasztások kifejezést. Válassza a Riasztások lehetőséget a keresési eredmények között.

    Screenshot of Alerts page.

  2. Válassza a Riasztási szabályok lehetőséget, majd a Riasztási szabályok lapon válassza ki az előfizetését.

    Screenshot of Alert rules page.

  3. Válassza ki az útmutatóban létrehozott riasztásokat, majd válassza a Törlés lehetőséget.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan konfigurálhat diagnosztikai riasztásokat az Azure Portalon keresztül.

A DDoS Protection szimulációkon keresztüli teszteléséhez folytassa a következő útmutatóval.

Tesztelés szimulációkon keresztül Riasztásokmegtekintése Felhőhöz készült Microsoft Defender