DDoS-diagnosztikai naplózás megtekintése és konfigurálása

Azure DDoS Protection standard szabvány részletes támadáselemzéseket és vizualizációkat biztosít a DDoS Attack Analytics segítségével. A virtuális hálózatokat DDoS-támadásokkal szemben védő ügyfelek részletes rálátással vannak a támadási forgalomra, és a támadás mérséklése érdekében tett műveletekkel, támadáscsökkentési jelentésekkel és & forgalmi naplók segítségével. A részletes telemetria a Azure Monitor részletes metrikákat is tartalmaz a DDoS-támadások időtartama alatt. A DDoS Protection által közzétett Azure Monitor-metrikákhoz konfigurálhatók riasztások. A naplózás további integrálható a Azure Sentinel, aSplunk (Azure Event Hubs), az OMS Log Analytics és az Azure Storage szolgáltatással a Azure Monitor Diagnostics felületen keresztül történő speciális elemzéshez.

Az alábbi diagnosztikai naplók érhetők el a Azure DDoS Protection Standardhoz:

  • DDoSProtectionNotifications: Az értesítések értesítést küldnek minden olyan esetben, amikor egy nyilvános IP-erőforrást megtámadnak, és a támadás elleni védelem véget ér.
  • DDoSMitigationFlowLogs: A támadáscsökkentési forgalom naplói lehetővé teszik az eldobott forgalom, a továbbított forgalom és más érdekes adatpontok áttekintését egy aktív DDoS-támadás során közel valós időben. Az adatok állandó streamelését az Azure Sentinel-ba vagy a külső SIEM-rendszerekbe egy eseményközponton keresztül, közel valós idejű monitorozáshoz, lehetséges műveletekhez és a védelmi műveletekhez szükséges lépésekhez használhatja.
  • DDoSMitigationReports: A támadáscsökkentési jelentések a Netflow protokoll adatait használják, amelyek összesítve részletes információkat nyújtanak az erőforrást célzó támadásról. Ha egy nyilvános IP-cím erőforrása támadás alatt áll, a jelentés létrehozása a kockázatcsökkentés kezdetekor azonnal megkezdődik. 5 perc alatt létrejön egy növekményes jelentés, valamint egy kockázatcsökkentés utáni jelentés a teljes kockázatcsökkentési időszakra vonatkozóan. Ezzel biztosíthatja, hogy ha a DDoS-támadás hosszabb ideig folytatódik, 5 percenként megtekintheti a kockázatcsökkentési jelentés legfrissebb pillanatképét, valamint a támadás elleni támadások mérséklése után a teljes összegzést.
  • AllMetrics: A DDoS-támadás időtartama alatt elérhető összes lehetséges metrikát biztosítja.

Ebből az oktatóanyagból az alábbiakat sajátíthatja el:

  • Konfigurálja a DDoS diagnosztikai naplóit, beleértve az értesítéseket, a kockázatcsökkentési jelentéseket és a kockázatcsökkentési folyamatnaplókat.
  • Diagnosztikai naplózás engedélyezése minden nyilvános IP-helyen egy meghatározott hatókörben.
  • Naplóadatok megtekintése munkafüzetekben.

Előfeltételek

  • Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
  • Az oktatóanyag lépései előtt létre kell hoznia egy Standard szintű Azure DDoS védelmi tervet, és engedélyeznie kell a DDoS Protection Standard szabványt egy virtuális hálózaton.
  • A DDoS a virtuális hálózaton belüli erőforrásokhoz rendelt nyilvános IP-címeket figyeli. Ha nincsenek nyilvános IP-címmel rendelkező erőforrások a virtuális hálózatban, először létre kell hoznia egy nyilvános IP-című erőforrást. Az Azure-szolgáltatások virtuális hálózata (beleértve az Azure Load Balancereket is, ahol a háttérbeli virtuális gépek a virtuális hálózaton vannak) listában szereplő Resource Manager (nem klasszikus) használatával üzembe helyezett összes erőforrás nyilvános IP-címét figyelheti, kivéve az Azure App Service-környezeteket. Az oktatóanyag folytatásához gyorsan létrehozhat egy Windows vagy Linux rendszerű virtuális gépet.

DDoS diagnosztikai naplók konfigurálása

Ha automatikusan engedélyezni szeretné a diagnosztikai naplózást az adott környezetben található összes nyilvános IP-helyen, ugorjon a Diagnosztikai naplózás engedélyezése minden nyilvános IP-helyen szakaszra.

  1. Válassza a Minden szolgáltatás lehetőséget a portál bal felső részén.

  2. A Szűrő mezőbe írja be a Monitorozás kifejezést. Amikor a Monitorozás elem megjelenik az eredmények között, válassza ki.

  3. A Beállítások alatt válassza a Diagnosztikai beállítások elemet.

  4. Válassza ki az előfizetést és azt az erőforráscsoportot, amely a naplózni kívánt IP-címet tartalmazza.

  5. Az Erőforrástípus mezőben válassza a Nyilvános IP-cím lehetőséget, majd válassza ki azt a nyilvános IP-címet, amely számára engedélyezni szeretné a naplókat.

  6. Válassza a Diagnosztikai beállítások megadása lehetőséget. A Kategória részletei területen válassza ki az összes kívánt lehetőséget, majd kattintson a Mentés gombra.

    DDoS-diagnosztikai beállítások

  7. A Destination details (Cél adatai) alatt válassza ki az alábbi lehetőségek közül a kívánt adatokat:

    • Archiválás tárfiókba: Az adatok egy Azure Storage-fiókba írhatók. További információ erről a beállításról: Erőforrásnaplók archiválása.
    • Streamelés eseményközpontba: Lehetővé teszi, hogy a napló fogadója naplókat vegye fel egy Azure-eseményközpont használatával. Az Eseményközpontok lehetővé teszik a Splunk- vagy más SIEM-rendszerekkel való integrációt. További információ erről a lehetőségről: Erőforrásnaplók streamelése egy eseményközpontba.
    • Küldés a Log Analyticsbe: Naplókat ír a Azure Monitor szolgáltatásba. További információ erről a beállításról: Naplók gyűjtése a naplókban való Azure Monitor számára.

Naplósémák

A következő táblázat a mezőneveket és -leírásokat sorolja fel:

Mező neve Description
TimeGenerated Az értesítés létrejöttének dátuma és időpontja (UTC).
ResourceId (Erőforrás-azonosító) A nyilvános IP-cím erőforrás-azonosítója.
Kategória Az értesítésekhez ez a DDoSProtectionNotifications lesz.
ResourceGroup (Erőforráscsoport) A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport.
SubscriptionId (Előfizetés-azonosító) A DDoS Protection-csomag előfizetési azonosítója.
Erőforrás A nyilvános IP-cím neve.
ResourceType (Erőforrástípus) Ez mindig a PUBLICIPADDRESS lesz.
OperationName (Művelet neve) Az értesítésekhez ez a DDoSProtectionNotifications lesz.
Üzenetet A támadás részletei.
Típus Az értesítés típusa. A lehetséges értékek a MitigationStarted következők: . MitigationStopped.
PublicIpAddress Az Ön nyilvános IP-címe.

Diagnosztikai naplózás engedélyezése az összes nyilvános IP-helyen

Ez a beépített szabályzat automatikusan engedélyezi a diagnosztikai naplózást egy meghatározott hatókör összes nyilvános IP-naplója számára. A Azure Policy szabályzatok teljes listájáért tekintse meg Azure Policy Standard Azure DDoS Protection beépített definícióit.

Naplóadatok megtekintése munkafüzetekben

Azure Sentinel összekötők

A naplókat összekapcsolhatja a Azure Sentinel, megtekintheti és elemezheti a munkafüzetekben található adatokat, egyéni riasztásokat hozhat létre, és belefoglalhatja azokat a vizsgálati folyamatokba. A csatlakozás Azure Sentinel: CsatlakozásAzure Sentinel.

Azure Sentinel DDoS-összekötő

Azure DDoS Protection Munkafüzet

Ezzel a Azure Resource Manager (ARM) sablonnal üzembe helyezhet egy támadáselemzési munkafüzetet. Ez a munkafüzet lehetővé teszi, hogy a támadási adatokat több szűrhető panelen is ábrázolja, így könnyen megértheti, hogy mi a tét.

Üzembe helyezés az Azure-ban

DDoS Protection-munkafüzet

Ellenőrzés és tesztelés

A naplók ellenőrzéséhez DDoS-támadás szimulálására lásd: A DDoS-észlelés ellenőrzése.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Konfigurálja a DDoS diagnosztikai naplóit, beleértve az értesítéseket, a kockázatcsökkentési jelentéseket és a kockázatcsökkentési folyamatnaplókat.
  • Diagnosztikai naplózás engedélyezése minden nyilvános IP-helyen egy meghatározott hatókörben.
  • Naplóadatok megtekintése munkafüzetekben.

A következő oktatóanyagból megtudhatja, hogyan konfigurálhatja a támadási riasztásokat.