Gestire Protezione DDoS di Azure Standard nel portale di AzureManage Azure DDoS Protection Standard using the Azure portal

Informazioni su come abilitare e disabilitare la protezione dall'attacco Distributed Denial of Service (DDoS) e usare la telemetria per mitigare un attacco DDoS con Protezione DDoS Standard di Azure.Learn how to enable and disable distributed denial of service (DDoS) protection, and use telemetry to mitigate a DDoS attack with Azure DDoS Protection Standard. Protezione DDoS Standard protegge le risorse di Azure, come le macchine virtuali, i bilanciamenti del carico e i gateway applicazione a cui è stato assegnato un indirizzo IP pubblico di Azure.DDoS Protection Standard protects Azure resources such as virtual machines, load balancers, and application gateways that have an Azure public IP address assigned to it. Per altre informazioni su Protezione DDoS Standard e sulle relative funzionalità, vedere Panoramica di Protezione DDoS Standard di Azure.To learn more about DDoS Protection Standard and its capabilities, see DDoS Protection Standard overview.

Prima di completare qualsiasi passaggio in questa esercitazione, accedere al portale di Azure all'indirizzo https://portal.azure.com con un account assegnato al ruolo Collaboratore Rete o a un ruolo personalizzato a cui sono assegnate le operazioni appropriate elencate nelle Autorizzazioni.Before completing any steps in this tutorial, log in to the Azure portal at https://portal.azure.com with an account assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in Permissions.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

Creare un piano di protezione DDoSCreate a DDoS protection plan

Un piano di protezione DDoS definisce un set di reti virtuali in cui è abilitata la protezione DDoS standard per le sottoscrizioni.A DDoS protection plan defines a set of virtual networks that have DDoS protection standard enabled, across subscriptions. È possibile configurare un piano di protezione DDoS standard per l'organizzazione e collegare reti virtuali da più sottoscrizioni allo stesso piano.You can configure one DDoS protection plan for your organization and link virtual networks from multiple subscriptions to the same plan. Il piano di protezione DDoS è a sua volta associato a una sottoscrizione che viene selezionata durante la creazione del piano.The DDoS Protection Plan itself is also associated with a subscription, that you select during the creation of the plan. Il piano di protezione DDoS funziona in diverse aree e sottoscrizioni.The DDoS Protection Plan works across regions and subscriptions. Esempio: è possibile creare il piano in Region East-US e collegarsi alla sottoscrizione #1 nel tenant.Example -you can create the plan in Region East-US and link to subscription #1 in your tenant. Lo stesso piano può essere collegato a reti virtuali di altre sottoscrizioni in aree diverse, in tutto il tenant.The same plan can be linked to virtual networks from other subscriptions in different regions, across your tenant. Alla sottoscrizione a cui è associato il piano viene addebitato il costo mensile relativo al piano, nonché i costi in eccedenza, nel caso in cui gli indirizzi IP pubblici protetti siano più di 100.The subscription the plan is associated to incurs the monthly recurring bill for the plan, as well as overage charges, in case the number of protected public IP addresses exceed 100. Per altre informazioni sui prezzi di DDoS, vedere i dettagli sui prezzi.For more information on DDoS pricing, see pricing details.

Per la maggior parte delle organizzazioni, non è necessaria la creazione di più piani.Creation of more than one plan is not required for most organizations. Non è possibile spostare un piano tra le sottoscrizioni.A plan cannot be moved between subscriptions. Se si vuole modificare la sottoscrizione di un piano, è necessario eliminare il piano esistente e crearne uno nuovo.If you want to change the subscription a plan is in, you have to delete the existing plan and create a new one.

  1. Selezionare Crea una risorsa nell'angolo in alto a sinistra del portale di Azure.Select Create a resource in the upper left corner of the Azure portal.

  2. Cercare DDoS.Search for DDoS. Selezionare DDoS protection plan (Piano di protezione DDoS) quando viene visualizzato nei risultati della ricerca.When DDos protection plan appears in the search results, select it.

  3. Selezionare Create (Crea).Select Create.

  4. Immettere o selezionare i valori personalizzati, oppure immettere o selezionare i valori di esempio seguenti, quindi selezionare Crea:Enter or select your own values, or enter, or select the following example values, and then select Create:

    ImpostazioneSetting valoreValue
    NomeName myDdosProtectionPlanmyDdosProtectionPlan
    SubscriptionSubscription Selezionare la propria sottoscrizione.Select your subscription.
    Resource groupResource group Selezionare Crea nuovo e immettere myResourceGroupSelect Create new and enter myResourceGroup
    LocationLocation Stati Uniti orientaliEast US

Abilitare DDoS per una nuova rete virtualeEnable DDoS for a new virtual network

  1. Selezionare Crea una risorsa nell'angolo in alto a sinistra del portale di Azure.Select Create a resource in the upper left corner of the Azure portal.

  2. Selezionare rete e quindi rete virtuale.Select Networking, and then select Virtual network.

  3. Immettere o selezionare i valori personalizzati, oppure immettere o selezionare i valori di esempio seguenti, accettare i risultati predefiniti restanti e quindi selezionare Crea:Enter or select your own values, of enter or select the following example values, accept the remaining defaults, and then select Create:

    ImpostazioneSetting valoreValue
    NomeName myVirtualNetworkmyVirtualNetwork
    SubscriptionSubscription Selezionare la propria sottoscrizione.Select your subscription.
    Resource groupResource group Selezionare Usa esistentee quindi selezionare myResourceGroupSelect Use existing, and then select myResourceGroup
    LocationLocation Stati Uniti orientaliEast US
    Protezione DDoSDDos protection Selezionare Standard e quindi in Protezione DDoS selezionare myDdosProtectionPlanSelect Standard and then under DDoS protection, select myDdosProtectionPlan. Il piano selezionato può essere nella stessa sottoscrizione della rete virtuale o in una diversa, ma entrambe le sottoscrizioni devono essere associate allo stesso tenant di Azure Active Directory.The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

Non è possibile spostare una rete virtuale in un altro gruppo di risorse o in un'altra sottoscrizione quando la protezione DDoS standard è abilitata per la rete virtuale.You cannot move a virtual network to another resource group or subscription when DDoS Standard is enabled for the virtual network. Se si vuole spostare una rete virtuale con la protezione DDoS standard abilitata, disabilitare innanzitutto la protezione, spostare la rete virtuale e quindi abilitare la protezione DDoS standard.If you need to move a virtual network with DDoS Standard enabled, disable DDoS Standard first, move the virtual network, and then enable DDoS standard. Dopo lo spostamento, vengono reimpostate le soglie dei criteri ottimizzati automaticamente per tutti gli indirizzi IP pubblici protetti nella rete virtuale.After the move, the auto-tuned policy thresholds for all the protected public IP addresses in the virtual network are reset.

Abilitare la protezione DDoS per una rete virtuale esistenteEnable DDoS for an existing virtual network

  1. Creare un piano di protezione DDoS completando i passaggi descritti in Creare un piano di protezione DDoS, se non si dispone di un piano di protezione DDoS esistente.Create a DDoS protection plan by completing the steps in Create a DDoS protection plan, if you don't have an existing DDoS protection plan.
  2. Selezionare Crea una risorsa nell'angolo in alto a sinistra del portale di Azure.Select Create a resource in the upper left corner of the Azure portal.
  3. Immettere il nome della rete virtuale per la quale si vuole abilitare la protezione DDoS standard nella casella Cerca risorse, servizi e documentazione nella parte superiore del portale.Enter the name of the virtual network that you want to enable DDoS Protection Standard for in the Search resources, services, and docs box at the top of the portal. Quando il nome della rete virtuale viene visualizzato nei risultati della ricerca, selezionarlo.When the name of the virtual network appears in the search results, select it.
  4. Selezionare Protezione DDoS in Impostazioni.Select DDoS protection, under SETTINGS.
  5. Selezionare Standard.Select Standard. In DDoS protection plan (Piano di protezione DDoS) selezionare un piano di protezione DDoS esistente o il piano creato nel passaggio 1, quindi selezionare Salva.Under DDoS protection plan, select an existing DDoS protection plan, or the plan you created in step 1, and then select Save. Il piano selezionato può essere nella stessa sottoscrizione della rete virtuale o in una diversa, ma entrambe le sottoscrizioni devono essere associate allo stesso tenant di Azure Active Directory.The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

Comandi:Commands

Disabilitare DDoS per una rete virtualeDisable DDoS for a virtual network

  1. Immettere il nome della rete virtuale per la quale si vuole disabilitare la protezione DDoS standard nella casella Cerca risorse, servizi e documentazione nella parte superiore del portale.Enter the name of the virtual network you want to disable DDoS protection standard for in the Search resources, services, and docs box at the top of the portal. Quando il nome della rete virtuale viene visualizzato nei risultati della ricerca, selezionarlo.When the name of the virtual network appears in the search results, select it.
  2. Selezionare Protezione DDoS in Impostazioni.Select DDoS protection, under SETTINGS.
  3. Selezionare Basic in DDoS protection plan (Piano di protezione DDoS) e quindi selezionare Salva.Select Basic under DDoS protection plan and then select Save.

Comandi:Commands

Utilizzo dei piani di protezione DDoSWork with DDoS protection plans

  1. Selezionare Tutti i servizi nella parte superiore sinistra del portale.Select All services on the top, left of the portal.
  2. Immettere DDoS nella casella Filtro.Enter DDoS in the Filter box. Selezionare Piani di protezione DDoS quando viene visualizzato nei risultati della ricerca.When DDoS protection plans appear in the results, select it.
  3. Selezionare nell'elenco il piano di protezione che si vuole visualizzare.Select the protection plan you want to view from the list.
  4. Tutte le reti virtuali associate al piano sono elencate.All virtual networks associated to the plan are listed.
  5. Se si vuole eliminare un piano, è innanzitutto necessario annullare l'associazione di tutte le reti virtuali.If you want to delete a plan, you must first dissociate all virtual networks from it. Per annullare l'associazione di un piano a una rete virtuale, vedere Disabilitare DDoS per una rete virtuale.To dissociate a plan from a virtual network, see Disable DDoS for a virtual network.

Configurare gli avvisi per le metriche di protezione DDoSConfigure alerts for DDoS protection metrics

Usando la configurazione degli avvisi di Monitoraggio di Azure, è possibile selezionare una delle metriche di protezione DDoS disponibili per ricevere un avviso nel caso in cui ci sia una mitigazione attiva durante un attacco.You can select any of the available DDoS protection metrics to alert you when there’s an active mitigation during an attack, using the Azure Monitor alert configuration. Quando vengono soddisfatte le condizioni, si riceve un messaggio di posta elettronica di avviso all'indirizzo specificato:When the conditions are met, the address specified receives an alert email:

  1. Selezionare Tutti i servizi nella parte superiore sinistra del portale.Select All services on the top, left of the portal.

  2. Immettere Monitoraggio nella casella Filtro.Enter Monitor in the Filter box. Selezionare Monitoraggio quando viene visualizzato nei risultati.When Monitor appears in the results, select it.

  3. Selezionare Metriche in SERVIZI CONDIVISI.Select Metrics under SHARED SERVICES.

  4. Immettere o selezionare i valori personalizzati, oppure immettere i valori di esempio seguenti, accettare i risultati predefiniti restanti e quindi selezionare OK:Enter, or select your own values, or enter the following example values, accept the remaining defaults, and then select OK:

    ImpostazioneSetting valoreValue
    NomeName myDdosAlertmyDdosAlert
    SubscriptionSubscription Selezionare la sottoscrizione che contiene l'indirizzo IP pubblico per il quale si vogliono ricevere avvisi.Select the subscription that contains the public IP address you want to receive alerts for.
    Resource groupResource group Selezionare il gruppo di risorse che contiene l'indirizzo IP pubblico per il quale si vogliono ricevere avvisi.Select the resource group that contains the public IP address you want to receive alerts for.
    RisorsaResource Selezionare l'indirizzo IP pubblico che contiene l'indirizzo IP pubblico per il quale si vogliono ricevere avvisi.Select the public IP address that contains the public IP address you want to receive alerts for. La protezione DDoS esegue il monitoraggio degli indirizzi IP pubblici assegnati alle risorse all'interno di una rete virtuale.DDoS monitors public IP addresses assigned to resources within a virtual network. Se non si dispone di risorse con indirizzi IP pubblici nella rete virtuale, è innanzitutto necessario creare una risorsa con un indirizzo IP pubblico.If you don't have any resources with public IP addresses in the virtual network, you must first create a resource with a public IP address. È possibile eseguire il monitoraggio dell'indirizzo IP pubblico di tutte le risorse distribuite tramite Resource Manager (distribuzione classica) elencate in Rete virtuale per servizi di Azure, ad eccezione degli ambienti di Servizio app di Azure e del gateway VPN di Azure.You can monitor the public IP address of all resources deployed through Resource Manager (not classic) listed in Virtual network for Azure services, except for Azure App Service Environments and Azure VPN Gateway. Per continuare questa esercitazione, è possibile creare rapidamente una macchina virtuale Windows o Linux.To continue with this tutorial, you can quickly create a Windows or Linux virtual machine.
    MetricaMetric Sotto attacco DDoS o noUnder DDoS attack or not
    SogliaThreshold 1 - 1 indica che è in corso un attacco1 - 1 means you are under attack. 0 indica che non è in corso un attacco0 means you are not under attack.
    PeriodoPeriod Selezionare un valore di propria sceltaSelect whatever value you choose.
    Notifica tramite posta elettronicaNotify via Email Selezionare la casella di controlloCheck the checkbox
    Amministratore aggiuntivoAdditional administrator Immettere l'indirizzo di posta elettronica se non si è proprietario, collaboratore o lettore di posta elettronica per la sottoscrizioneEnter your email address if you're not an email owner, contributor, or reader for the subscription.

    Entro pochi minuti dal rilevamento dell'attacco, si riceve un messaggio di posta elettronica dalle metriche di Monitoraggio di Azure simile a quello dell'immagine seguente:Within a few minutes of attack detection, you receive an email from Azure Monitor metrics that looks similar to the following picture:

    Avviso di attacco

Per simulare un attacco DDoS per convalidare l'avviso, vedere Convalidare il rilevamento della protezione DDoS.To simulate a DDoS attack to validate your alert, see Validate DDoS detection.

È anche possibile leggere altre informazioni relative alla configurazione dei webhook e alle app per la logica per la creazione di avvisi.You can also learn more about configuring webhooks and logic apps for creating alerts.

Usare la telemetria di protezione DDoSUse DDoS protection telemetry

I dati di telemetria per un attacco vengono forniti da Monitoraggio di Azure in tempo reale.Telemetry for an attack is provided through Azure Monitor in real time. La telemetria è disponibile solo per l'intervallo di tempo durante cui viene applicata la mitigazione per un indirizzo IP pubblico.The telemetry is available only for the duration that a public IP address is under mitigation. Prima o dopo la mitigazione di un attacco, non vengono visualizzati dati di telemetria.You don't see telemetry before or after an attack is mitigated.

  1. Selezionare Tutti i servizi nella parte superiore sinistra del portale.Select All services on the top, left of the portal.
  2. Immettere Monitoraggio nella casella Filtro.Enter Monitor in the Filter box. Selezionare Monitoraggio quando viene visualizzato nei risultati.When Monitor appears in the results, select it.
  3. Selezionare metrichein servizi condivisi.Select Metrics, under SHARED SERVICES.
  4. Selezionare la sottoscrizione e il gruppo di risorse contenenti l'indirizzo IP pubblico per il quale si vogliono ottenere i dati di telemetria.Select the Subscription and Resource group that contain the public IP address that you want telemetry for.
  5. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono ottenere i dati di telemetria.Select Public IP Address for Resource type, then select the specific public IP address you want telemetry for.
  6. A sinistra dello schermo viene visualizzata una serie di Metriche disponibili.A series of Available Metrics appear on the left side of the screen. Queste metriche, quando selezionate, vengono rappresentate nel grafo delle metriche di Monitoraggio di Azure nella schermata di panoramica.These metrics, when selected, are graphed in the Azure Monitor Metrics Chart on the overview screen.
  7. Selezionare il tipo di aggregazione come MaxSelect the aggregation type as Max

I nomi delle metriche si riferiscono a diversi tipi di pacchetto e byte rispetto ai pacchetti, con una struttura di base correlata ai nomi di tag per ogni metrica, come indicato di seguito:The metric names present different packet types, and bytes vs. packets, with a basic construct of tag names on each metric as follows:

  • Dropped tag name (Nome tag eliminato), ad esempio Inbound Packets Dropped DDoS (Pacchetti in ingresso eliminati da DDoS): numero di pacchetti eliminati/sottoposti a scrubbing dal sistema di protezione DDoS.Dropped tag name (for example, Inbound Packets Dropped DDoS): The number of packets dropped/scrubbed by the DDoS protection system.
  • Forwarded tag name (Nome tag inoltrato), ad esempio Inbound Packets Forwarded DDoS (Pacchetti in ingresso inoltrati da DDoS): numero di pacchetti inoltrati dal sistema DDoS all'indirizzo VIP di destinazione (il traffico non è stato filtrato).Forwarded tag name (for example Inbound Packets Forwarded DDoS): The number of packets forwarded by the DDoS system to the destination VIP – traffic that was not filtered.
  • No tag name (Nessun nome di tag), ad esempio Inbound Packets DDoS (Pacchetti in ingresso elaborati da DDoS): numero totale di pacchetti arrivati nel sistema di scrubbing, che rappresenta la somma dei pacchetti eliminati e di quelli inoltrati.No tag name (for example Inbound Packets DDoS): The total number of packets that came into the scrubbing system – representing the sum of the packets dropped and forwarded.

Per simulare un attacco DDoS per convalidare la telemetria, vedere Convalidare il rilevamento della protezione DDoS.To simulate a DDoS attack to validate telemetry, see Validate DDoS detection.

Visualizzare i criteri di mitigazione della protezione DDoSView DDoS mitigation policies

La protezione DDoS standard applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale in cui è abilitata la protezione DDoS.DDoS Protection Standard applies three auto-tuned mitigation policies (TCP SYN, TCP & UDP) for each public IP address of the protected resource, in the virtual network that has DDoS enabled. È possibile visualizzare le soglie dei criteri selezionando i pacchetti TCP in ingresso per attivare la mitigazione DDoS e i pacchetti UDP in ingresso per attivare le metriche di mitigazione DDoS con tipo di aggregazione come "Max", come illustrato nell'immagine seguente:You can view the policy thresholds by selecting the Inbound TCP packets to trigger DDoS mitigation and Inbound UDP packets to trigger DDoS mitigation metrics with aggregation type as 'Max', as shown in the following picture:

Visualizzare i criteri di mitigazione

Le soglie dei criteri vengono configurate automaticamente tramite la profilatura del traffico di rete basato sull'apprendimento automatico di Azure.Policy thresholds are auto-configured via Azure machine learning-based network traffic profiling. La mitigazione DDoS si attiva per l'indirizzo IP sotto attacco solo quando viene superata la soglia dei criteri.Only when the policy threshold is breached does DDoS mitigation occur for the IP address under attack.

Configurare l'analisi degli attacchi DDoSConfigure DDoS attack analytics

Lo standard Protezione DDoS di Azure fornisce informazioni dettagliate sugli attacchi e ne consente la visualizzazione con l'analisi degli attacchi DDoS.Azure DDoS Protection standard provides detailed attack insights and visualization with DDoS Attack Analytics. I clienti che proteggono le reti virtuali da attacchi DDoS hanno visibilità dettagliata sul traffico degli attacchi e sulle azioni intraprese per mitigare l'attacco tramite i report sulla mitigazione dell'attacco e i log del flusso di mitigazione.Customers protecting their virtual networks against DDoS attacks have detailed visibility into attack traffic and actions taken to mitigate the attack via attack mitigation reports & mitigation flow logs.

Configurare i report sulla mitigazione degli attacchi DDoSConfigure DDoS attack mitigation reports

I report sulla mitigazione degli attacchi usano i dati del protocollo Netflow che vengono aggregati per fornire informazioni dettagliate sull'attacco alla risorsa.Attack mitigation reports uses the Netflow protocol data which is aggregated to provide detailed information about the attack on your resource. Ogni volta che una risorsa IP pubblica è sotto attacco, la generazione di report verrà avviata contemporaneamente alla mitigazione.Anytime a public IP resource is under attack, the report generation will start as soon as the mitigation starts. Verranno generati un report incrementale ogni 5 minuti e un report post-mitigazione per l'intero periodo della mitigazione.There will be an incremental report generated every 5 mins and a post-mitigation report for the whole mitigation period. Lo scopo è quello di assicurare che, qualora l'attacco DDoS prosegua per un periodo di tempo più lungo, sia possibile visualizzare lo snapshot più aggiornato del report sulla mitigazione ogni 5 minuti e un riepilogo completo al termine della mitigazione dell'attacco.This is to ensure that in an event the DDoS attack continues for a longer duration of time, you will be able to view the most current snapshot of mitigation report every 5 minutes and a complete summary once the attack mitigation is over.

  1. Selezionare Tutti i servizi nella parte superiore sinistra del portale.Select All services on the top, left of the portal.

  2. Immettere Monitoraggio nella casella Filtro.Enter Monitor in the Filter box. Selezionare Monitoraggio quando viene visualizzato nei risultati.When Monitor appears in the results, select it.

  3. Selezionare Impostazioni di diagnostica in IMPOSTAZIONI.Under SETTINGS, select Diagnostic Settings.

  4. Selezionare la sottoscrizione e il gruppo di risorse contenenti l'indirizzo IP pubblico che si vuole registrare.Select the Subscription and Resource group that contain the public IP address you want to log.

  5. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono registrare le metriche.Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. Selezionare Turn on diagnostics to collect the DDoSMitigationReports log (Attiva diagnostica per raccogliere il log DDoSMitigationReports) e quindi selezionare tutte le opzioni necessarie tra le seguenti:Select Turn on diagnostics to collect the DDoSMitigationReports log and then select as many of the following options as you require:

Sia i report incrementali che quello sulla mitigazione successivo all'attacco includono i campi seguentiBoth the incremental & post-attack mitigation reports include the following fields

  • Attack vectors (Vettori di attacco)Attack vectors
  • Traffic statistics (Statistiche sul traffico)Traffic statistics
  • Reason for dropped packets (Motivo dei pacchetti eliminati)Reason for dropped packets
  • Protocols involved (Protocolli interessati)Protocols involved
  • Top 10 source countries or regions (Primi 10 paesi o aree di origine)Top 10 source countries or regions
  • Top 10 source ASNs (Primi 10 ASN di origine)Top 10 source ASNs

Configurare i log del flusso di mitigazione degli attacchi DDoSConfigure DDoS attack mitigation flow logs

I log del flusso di mitigazione degli attacchi consentono di esaminare il traffico eliminato, il traffico inoltrato e punti dati interessanti durante un attacco DDoS attivo in tempo quasi reale.Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other interesting datapoints during an active DDoS attack in near-real time. È possibile inserire il flusso costante di questi dati nei sistemi SIEM tramite l'hub eventi per il monitoraggio in tempo quasi reale, eseguire potenziali azioni e soddisfare l'esigenza di operazioni di difesa.You can ingest the constant stream of this data into your SIEM systems via event hub for near-real time monitoring, take potential actions and address the need of your defense operations.

  1. Selezionare Tutti i servizi nella parte superiore sinistra del portale.Select All services on the top, left of the portal.

  2. Immettere Monitoraggio nella casella Filtro.Enter Monitor in the Filter box. Selezionare Monitoraggio quando viene visualizzato nei risultati.When Monitor appears in the results, select it.

  3. Selezionare Impostazioni di diagnostica in IMPOSTAZIONI.Under SETTINGS, select Diagnostic Settings.

  4. Selezionare la sottoscrizione e il gruppo di risorse contenenti l'indirizzo IP pubblico che si vuole registrare.Select the Subscription and Resource group that contain the public IP address you want to log.

  5. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono registrare le metriche.Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. Selezionare Turn on diagnostics to collect the DDoSMitigationFlowLogs log (Attiva diagnostica per raccogliere il log DDoSMitigationFlowLogs) e quindi selezionare tutte le opzioni necessarie tra le seguenti:Select Turn on diagnostics to collect the DDoSMitigationFlowLogs log and then select as many of the following options as you require:

  7. Per visualizzare i dati dei log del flusso nel dashboard di analisi di Azure, è possibile importare il dashboard di esempio da https://github.com/Anupamvi/Azure-DDoS-Protection/raw/master/flowlogsbyip.zipTo view the flow logs data in Azure analytics dashboard, you can import the sample dashboard from https://github.com/Anupamvi/Azure-DDoS-Protection/raw/master/flowlogsbyip.zip

I log del flusso conterranno i campi seguenti:Flow logs will have the following fields:

  • IP di origineSource IP
  • IP di destinazioneDestination IP
  • Porta di origineSource Port
  • Porta di destinazioneDestination port
  • Protocol type (Tipo di protocollo)Protocol type
  • Action taken during mitigation (Azione eseguita durante la mitigazione)Action taken during mitigation

L'analisi degli attacchi funziona solo se protezione DDoS standard è abilitato nella rete virtuale dell'indirizzo IP pubblico.Attack analytics will only work if DDoS Protection Standard is enabled on the virtual network of the public IP address.

Convalidare il rilevamento della protezione DDoSValidate DDoS detection

Microsoft ha collaborato con BreakingPoint Cloud per compilare un'interfaccia in cui è possibile generare il traffico per abilitare la protezione DDoS agli indirizzi IP pubblici per simulazioni.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. La simulazione BreakPoint Cloud consente di:The BreakPoint Cloud simulation allows you to:

  • Convalidare la modalità in cui la Protezione DDoS di Microsoft Azure protegge le risorse di Azure da attacchi DDoSValidate how Microsoft Azure DDoS Protection protects your Azure resources from DDoS attacks
  • Ottimizzare il processo di risposta agli eventi imprevisti durante un attacco DDoSOptimize your incident response process while under DDoS attack
  • Documentare la conformità DDoSDocument DDoS compliance
  • Eseguire il training dei team di sicurezza di reteTrain your network security teams

Visualizzare gli avvisi di protezione DDoS nel centro sicurezza di AzureView DDoS protection alerts in Azure Security Center

Il Centro sicurezza di Azure fornisce un elenco di avvisi di sicurezza, con informazioni che consentono di analizzare e correggere i problemi.Azure Security Center provides a list of security alerts, with information to help investigate and remediate problems. Questa funzionalità consente di ottenere una visualizzazione unificata degli avvisi, inclusi gli avvisi relativi agli attacchi DDoS e le azioni intraprese per attenuare l'attacco in tempi più prossimi.With this feature, you get a unified view of alerts, including DDoS attack-related alerts and the actions taken to mitigate the attack in near-time. Esistono due avvisi specifici che verranno visualizzati per qualsiasi rilevamento e mitigazione degli attacchi DDoS:There are two specific alerts that you will see for any DDoS attack detection and mitigation:

  • Attacco DDoS rilevato per l'indirizzo IP pubblico: questo avviso viene generato quando il servizio protezione DDoS rileva che uno degli indirizzi IP pubblici è la destinazione di un attacco DDoS.DDoS Attack detected for Public IP: This alert is generated when the DDoS protection service detects that one of your public IP addresses is the target of a DDoS attack.
  • Attacco DDoS mitigato per IP pubblico: questo avviso viene generato quando è stato mitigato un attacco all'indirizzo IP pubblico.DDoS Attack mitigated for Public IP: This alert is generated when an attack on the public IP address has been mitigated. Per visualizzare gli avvisi, aprire il Centro sicurezza nel portale di Azure.To view the alerts, open Security Center in the Azure portal. In protezione dalle minacceselezionare avvisi di sicurezza.Under Threat Protection, select Security alerts. Lo screenshot seguente mostra un esempio degli avvisi di attacco DDoS.The following screenshot shows an example of the DDoS attack alerts.

Avviso DDoS nel centro sicurezza di Azure

Gli avvisi includono informazioni generali sull'indirizzo IP pubblico che si trova sotto attacco, informazioni sull'Intelligence per le minacce e sulla Geo e procedure correttive.The alerts include general information about the public IP address that’s under attack, geo and threat intelligence information, and remediations steps.

AutorizzazioniPermissions

Per lavorare con i piani di protezione DDoS, l'account deve essere assegnato al ruolo Collaboratore Rete o a un ruolo personalizzato a cui sono assegnate le operazioni appropriate elencate nella tabella seguente:To work with DDoS protection plans, your account must be assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in the following table:

AzioneAction NomeName
Microsoft.Network/ddosProtectionPlans/readMicrosoft.Network/ddosProtectionPlans/read Leggere un piano di protezione DDoSRead a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/writeMicrosoft.Network/ddosProtectionPlans/write Creare o aggiornare un piano di protezione DDoSCreate or update a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/deleteMicrosoft.Network/ddosProtectionPlans/delete Eliminare un piano di protezione DDoSDelete a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/join/actionMicrosoft.Network/ddosProtectionPlans/join/action Aggiungere un piano di Protezione DDoSJoin a DDoS protection plan

Per abilitare la protezione DDoS per una rete virtuale, all'account devono anche essere assegnate le appropriate operazioni per le reti virtuali.To enable DDoS protection for a virtual network, your account must also be assigned the appropriate actions for virtual networks.

Passaggi successiviNext steps