Azure Portal を使用した Azure DDoS Protection Standard の管理Manage Azure DDoS Protection Standard using the Azure portal

分散型サービス拒否 (DDoS) Protection の有効と無効を切り替える方法と、テレメトリを使用して Azure DDoS Protection Standard で DDoS 攻撃を軽減する方法について説明します。Learn how to enable and disable distributed denial of service (DDoS) protection, and use telemetry to mitigate a DDoS attack with Azure DDoS Protection Standard. DDoS Protection Standard は、Azure パブリック IP アドレスが割り当てられた Azure リソース (仮想マシン、ロード バランサー、アプリケーション ゲートウェイなど) を保護します。DDoS Protection Standard protects Azure resources such as virtual machines, load balancers, and application gateways that have an Azure public IP address assigned to it. DDoS Protection Standard とその機能の詳細については、「Azure DDoS Protection Standard の概要」を参照してください。To learn more about DDoS Protection Standard and its capabilities, see DDoS Protection Standard overview.

このチュートリアルの手順を始める前に、ネットワークの共同作業者ロール、または「アクセス許可」の一覧で示されている適切なアクセス許可を割り当てられたカスタム ロールが割り当てられたアカウントを使って、Azure portal (https://portal.azure.com) にログインします。Before completing any steps in this tutorial, log in to the Azure portal at https://portal.azure.com with an account assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in Permissions.

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

DDoS Protection プランを作成するCreate a DDoS protection plan

DDoS Protection プランでは、サブスクリプションの境界を越えて、DDoS Protection Standard が有効になった仮想ネットワークのセットを定義します。A DDoS protection plan defines a set of virtual networks that have DDoS protection standard enabled, across subscriptions. 組織で 1 つの DDoS Protection プランを構成し、複数のサブスクリプションから同じプランに仮想ネットワークをリンクできます。You can configure one DDoS protection plan for your organization and link virtual networks from multiple subscriptions to the same plan. DDoS Protection プラン自体は、プランの作成時に選択したサブスクリプションにも関連付けられます。The DDoS Protection Plan itself is also associated with a subscription, that you select during the creation of the plan. DDoS Protection プランは、複数のリージョンおよびサブスクリプション間で動作します。The DDoS Protection Plan works across regions and subscriptions. たとえば、米国東部リージョンでプランを作成し、自分のテナントのサブスクリプション #1 にリンクすることができます。Example -you can create the plan in Region East-US and link to subscription #1 in your tenant. 同じプランを、自分のテナントを越えて、異なるリージョンの他のサブスクリプションの仮想ネットワークにリンクできます。The same plan can be linked to virtual networks from other subscriptions in different regions, across your tenant. プランが関連付けられているサブスクリプションでは、プランに対する月額料金が請求されるほか、保護されているパブリック IP アドレスの数が 100 を超える場合は超過料金が請求されます。The subscription the plan is associated to incurs the monthly recurring bill for the plan, as well as overage charges, in case the number of protected public IP addresses exceed 100. DDoS 価格について詳しくは、価格の詳細に関するページをご覧ください。For more information on DDoS pricing, see pricing details.

ほとんどの組織では、複数のプランを作成する必要はありません。Creation of more than one plan is not required for most organizations. プランをサブスクリプション間で移行することはできません。A plan cannot be moved between subscriptions. プランが関連付けられているサブスクリプションを変更する必要がある場合は、既存のプランを削除し、新しいプランを作成する必要があります。If you want to change the subscription a plan is in, you have to delete the existing plan and create a new one.

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left corner of the Azure portal.

  2. DDoS を検索します。Search for DDoS. 検索結果に [DDoS protection plan](DDoS Protection プラン) が表示されたら、それを選択します。When DDos protection plan appears in the search results, select it.

  3. 作成 を選択します。Select Create.

  4. 独自の値を入力または選択するか次の例の値を入力または選択し、 [作成] を選択します。Enter or select your own values, or enter, or select the following example values, and then select Create:

    SettingSetting Value
    NameName myDdosProtectionPlanmyDdosProtectionPlan
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [新規作成] を選択し、「myResourceGroup」と入力しますSelect Create new and enter myResourceGroup
    LocationLocation 米国東部East US

新しい仮想ネットワークに対して DDoS を有効にするEnable DDoS for a new virtual network

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left corner of the Azure portal.

  2. [ネットワーク] を選択してから、 [仮想ネットワーク] を選択します。Select Networking, and then select Virtual network.

  3. 独自の値を入力または選択するか次の例の値を入力または選択し、残りの既定値はそのまま受け入れて、 [作成] を選択します。Enter or select your own values, of enter or select the following example values, accept the remaining defaults, and then select Create:

    SettingSetting Value
    NameName myVirtualNetworkmyVirtualNetwork
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [既存のものを使用][myResourceGroup] の順に選択しますSelect Use existing, and then select myResourceGroup
    LocationLocation 米国東部East US
    DDos ProtectionDDos protection [DDos Protection][Standard] を選択し、 [myDdosProtectionPlan] を選択します。Select Standard and then under DDoS protection, select myDdosProtectionPlan. 選択したプランは仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションのどちらにあっても構いませんが、両方のサブスクリプションが同じ Azure Active Directory テナントに関連付けられている必要があります。The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

仮想ネットワークに対して DDoS Standard が有効になっている場合、仮想ネットワークを別のリソース グループまたはサブスクリプションに移動することはできません。You cannot move a virtual network to another resource group or subscription when DDoS Standard is enabled for the virtual network. DDoS Standard が有効になっている仮想ネットワークを移動する必要がある場合は、まず DDoS Standard を無効にし、仮想ネットワークを移動してから、DDoS Standard を有効にします。If you need to move a virtual network with DDoS Standard enabled, disable DDoS Standard first, move the virtual network, and then enable DDoS standard. 移動後に、仮想ネットワーク内のすべての保護されたパブリック IP アドレスの自動調整されたポリシーしきい値がリセットされます。After the move, the auto-tuned policy thresholds for all the protected public IP addresses in the virtual network are reset.

既存の仮想ネットワークに対して DDoS を有効にするEnable DDoS for an existing virtual network

  1. 既存の DDoS Protection プランがない場合は、「DDoS Protection プランを作成する」の手順を実行して DDoS Protection プランを作成します。Create a DDoS protection plan by completing the steps in Create a DDoS protection plan, if you don't have an existing DDoS protection plan.
  2. Azure Portal の左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left corner of the Azure portal.
  3. ポータルの上部にある [Search resources, services, and docs](リソース、サービス、ドキュメントの検索) ボックスに、DDoS Protection Standard を有効にする仮想ネットワークの名前を入力します。Enter the name of the virtual network that you want to enable DDoS Protection Standard for in the Search resources, services, and docs box at the top of the portal. 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。When the name of the virtual network appears in the search results, select it.
  4. [設定] で、 [DDoS Protection] を選択します。Select DDoS protection, under SETTINGS.
  5. [Standard] を選択します。Select Standard. [DDoS protection plan](DDoS Protection プラン) で、既存の DDoS Protection プランまたは手順 1. で作成したプランを選び、 [保存] を選択します。Under DDoS protection plan, select an existing DDoS protection plan, or the plan you created in step 1, and then select Save. 選択したプランは仮想ネットワークと同じサブスクリプションまたは異なるサブスクリプションのどちらにあっても構いませんが、両方のサブスクリプションが同じ Azure Active Directory テナントに関連付けられている必要があります。The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

新しい仮想ネットワークに対して DDoS を無効にするDisable DDoS for a virtual network

  1. ポータルの上部にある [Search resources, services, and docs](リソース、サービス、ドキュメントの検索) ボックスに、DDoS Protection Standard を無効にする仮想ネットワークの名前を入力します。Enter the name of the virtual network you want to disable DDoS protection standard for in the Search resources, services, and docs box at the top of the portal. 仮想ネットワークの名前が検索結果に表示されたら、それを選びます。When the name of the virtual network appears in the search results, select it.
  2. [設定] で、 [DDoS Protection] を選択します。Select DDoS protection, under SETTINGS.
  3. [DDoS protection plan](DDoS Protection プラン)[Basic] を選択し、 [保存] を選択します。Select Basic under DDoS protection plan and then select Save.

DDoS Protection プランを処理するWork with DDoS protection plans

  1. ポータルの左上にある [すべてのサービス] を選択します。Select All services on the top, left of the portal.
  2. [フィルター] ボックスに「DDoS」と入力します。Enter DDoS in the Filter box. 結果に [DDoS protection plans](DDoS Protection プラン) が表示されたら、それを選択します。When DDoS protection plans appear in the results, select it.
  3. 一覧から、表示する Protection プランを選択します。Select the protection plan you want to view from the list.
  4. プランに関連付けられているすべての仮想ネットワークが一覧表示されます。All virtual networks associated to the plan are listed.
  5. プランを削除する場合は、最初にそのプランからすべての仮想ネットワークの関連付けを解除する必要があります。If you want to delete a plan, you must first dissociate all virtual networks from it. 仮想ネットワークからプランの関連付けを解除するには、「新しい仮想ネットワークに対して DDoS を無効にする」をご覧ください。To dissociate a plan from a virtual network, see Disable DDoS for a virtual network.

DDoS Protection メトリックのアラートを構成するConfigure alerts for DDoS protection metrics

Azure Monitor のアラート構成を使用すると、利用可能な DDoS Protection メトリックをどれでも選び、攻撃中に有効な軽減策がある場合にそのメトリックのアラートを受けることができます。You can select any of the available DDoS protection metrics to alert you when there’s an active mitigation during an attack, using the Azure Monitor alert configuration. 条件が満たされると、指定したアドレスにアラート メールが届きます。When the conditions are met, the address specified receives an alert email:

  1. ポータルの左上にある [すべてのサービス] を選択します。Select All services on the top, left of the portal.

  2. [フィルター] ボックスに「Monitor」と入力します。Enter Monitor in the Filter box. 結果に [Monitor] が表示されたら、それを選択します。When Monitor appears in the results, select it.

  3. [共有サービス][メトリック] を選択します。Select Metrics under SHARED SERVICES.

  4. 独自の値を入力または選択するか次の例の値を入力し、残りの既定値はそのまま受け入れて、 [OK] を選択します。Enter, or select your own values, or enter the following example values, accept the remaining defaults, and then select OK:

    SettingSetting Value
    NameName myDdosAlertmyDdosAlert
    サブスクリプションSubscription アラートを受信するパブリック IP アドレスを含むサブスクリプションを選択します。Select the subscription that contains the public IP address you want to receive alerts for.
    リソース グループResource group アラートを受信するパブリック IP アドレスを含むリソース グループを選択します。Select the resource group that contains the public IP address you want to receive alerts for.
    ResourceResource アラートを受信するパブリック IP アドレスを含むパブリック IP アドレスを選択します。Select the public IP address that contains the public IP address you want to receive alerts for. DDoS は、仮想ネットワーク内のリソースに割り当てられているパブリック IP アドレスを監視します。DDoS monitors public IP addresses assigned to resources within a virtual network. 仮想ネットワーク内のパブリック IP アドレスを持つリソースがない場合は、最初にパブリック IP アドレスを使用してリソースを作成する必要があります。If you don't have any resources with public IP addresses in the virtual network, you must first create a resource with a public IP address. Azure App Service Environment と Azure VPN Gateway を除き、Azure サービスの仮想ネットワークに関するページに一覧表示されている Resource Manager (クラシックではない) を通じてデプロイされているすべてのリソースのパブリック IP アドレスを監視できます。You can monitor the public IP address of all resources deployed through Resource Manager (not classic) listed in Virtual network for Azure services, except for Azure App Service Environments and Azure VPN Gateway. このチュートリアルを続行するために、Windows または Linux 仮想マシンをすばやく作成できます。To continue with this tutorial, you can quickly create a Windows or Linux virtual machine.
    メトリックMetric DDoS 攻撃中かどうかUnder DDoS attack or not
    ThresholdThreshold 1 - 1 は、攻撃を受けていることを示します。1 - 1 means you are under attack. 0 は、攻撃を受けていないことを示します。0 means you are not under attack.
    期間Period 選んだ任意の値を選択します。Select whatever value you choose.
    電子メールによる通知Notify via Email チェック ボックスをオンにしますCheck the checkbox
    Additional administrator (追加の管理者)Additional administrator 電子メールの所有者、共同作成者、またはサブスクリプションの閲覧者でない場合は自分のメール アドレスを入力します。Enter your email address if you're not an email owner, contributor, or reader for the subscription.

    攻撃の検出から数分以内に、次の図のような電子メールが Azure Monitor メトリックから届きます。Within a few minutes of attack detection, you receive an email from Azure Monitor metrics that looks similar to the following picture:

    攻撃アラート

DDoS 攻撃をシミュレートしてアラートを検証するには、「DDoS 検出を検証する」をご覧ください。To simulate a DDoS attack to validate your alert, see Validate DDoS detection.

また、webhook の構成や、アラートを作成するためのロジック アプリの詳細についても学習できます。You can also learn more about configuring webhooks and logic apps for creating alerts.

DDoS Protection テレメトリを使用するUse DDoS protection telemetry

攻撃のテレメトリは、Azure Monitor 経由でリアルタイムに提供されます。Telemetry for an attack is provided through Azure Monitor in real time. このテレメトリは、パブリック IP アドレスが軽減策のもとにある期間中のみ使用できます。The telemetry is available only for the duration that a public IP address is under mitigation. 攻撃が軽減される前または軽減された後、テレメトリは表示されません。You don't see telemetry before or after an attack is mitigated.

  1. ポータルの左上にある [すべてのサービス] を選択します。Select All services on the top, left of the portal.
  2. [フィルター] ボックスに「Monitor」と入力します。Enter Monitor in the Filter box. 結果に [Monitor] が表示されたら、それを選択します。When Monitor appears in the results, select it.
  3. [共有サービス][メトリック] を選択します。Select Metrics, under SHARED SERVICES.
  4. テレメトリが必要なパブリック IP アドレスを含むサブスクリプションリソース グループを選択します。Select the Subscription and Resource group that contain the public IP address that you want telemetry for.
  5. [リソースの種類][パブリック IP アドレス] を選択し、テレメトリが必要な特定のパブリック IP アドレスを選択します。Select Public IP Address for Resource type, then select the specific public IP address you want telemetry for.
  6. 一連の [利用可能なメトリック] が画面の左側に表示されます。A series of Available Metrics appear on the left side of the screen. これらのメトリックは、選択すると、概要画面の Azure Monitor のメトリック グラフに表示されます。These metrics, when selected, are graphed in the Azure Monitor Metrics Chart on the overview screen.
  7. 集計の種類として [最大] を選択しますSelect the aggregation type as Max

メトリック名は、異なるパケットの種類と、バイト数かパケット数かを表します。各メトリックでのタグ名の基本的な構成は、次のようになっています。The metric names present different packet types, and bytes vs. packets, with a basic construct of tag names on each metric as follows:

  • Dropped (削除) タグ名 (例: Inbound Packets Dropped DDoS (DDoS 受信パケット削除数)):DDoS 保護システムによって削除/除去されたパケットの数。Dropped tag name (for example, Inbound Packets Dropped DDoS): The number of packets dropped/scrubbed by the DDoS protection system.
  • Forwarded (転送) タグ名 (例: Inbound Packets Forwarded DDoS (DDoS 受信パケット転送数)):DDoS システムによって宛先 VIP に転送されたパケットの数 (フィルター処理されなかったトラフィック)。Forwarded tag name (for example Inbound Packets Forwarded DDoS): The number of packets forwarded by the DDoS system to the destination VIP – traffic that was not filtered.
  • タグ名なし (例: Inbound Packets DDoS (DDoS 受信パケット数)):除去システムに入力されたパケットの総数 (削除および転送されたパケットの総数を表します)。No tag name (for example Inbound Packets DDoS): The total number of packets that came into the scrubbing system – representing the sum of the packets dropped and forwarded.

DDoS 攻撃をシミュレートしてテレメトリを検証するには、「DDoS 検出を検証する」をご覧ください。To simulate a DDoS attack to validate telemetry, see Validate DDoS detection.

DDoS 軽減ポリシーを表示するView DDoS mitigation policies

DDoS Protection Standard は、DDoS が有効になっている仮想ネットワーク内で、保護されたリソースのパブリック IP アドレスごとに、3 つの自動調整された軽減ポリシー (TCP SYN、TCP、UDP) を適用します。DDoS Protection Standard applies three auto-tuned mitigation policies (TCP SYN, TCP & UDP) for each public IP address of the protected resource, in the virtual network that has DDoS enabled. 次の図に示すように、 [Inbound TCP packets to trigger DDoS mitigation](DDoS 軽減をトリガーする受信 TCP パケット数)[Inbound UDP packets to trigger DDoS mitigation](DDoS 軽減をトリガーする受信 UDP パケット数) のメトリックを選択し、集計の種類を [最大] にして、ポリシーのしきい値を表示することができます。You can view the policy thresholds by selecting the Inbound TCP packets to trigger DDoS mitigation and Inbound UDP packets to trigger DDoS mitigation metrics with aggregation type as 'Max', as shown in the following picture:

軽減ポリシーを表示する

ポリシーのしきい値は、Azure Machine Learning ベースのネットワーク トラフィック プロファイルを使用して自動的に構成されます。Policy thresholds are auto-configured via Azure machine learning-based network traffic profiling. ポリシーのしきい値を超過した場合にのみ、攻撃を受けている IP アドレスに対して DDoS 軽減が行われます。Only when the policy threshold is breached does DDoS mitigation occur for the IP address under attack.

DDoS 攻撃の分析を構成するConfigure DDoS attack analytics

Azure DDoS Protection Standard では、DDoS 攻撃の分析情報により、攻撃の詳細な情報および視覚化が提供されます。Azure DDoS Protection standard provides detailed attack insights and visualization with DDoS Attack Analytics. DDoS 攻撃から仮想ネットワークを保護している場合、攻撃の軽減策レポートと軽減策フロー ログによって、攻撃のトラフィック、および攻撃を緩和するために行われたアクションの詳細を視覚的に確認できます。Customers protecting their virtual networks against DDoS attacks have detailed visibility into attack traffic and actions taken to mitigate the attack via attack mitigation reports & mitigation flow logs.

DDoS 攻撃の軽減策レポートを構成するConfigure DDoS attack mitigation reports

攻撃の軽減策レポートでは、リソースへの攻撃に関する詳細情報を提供するために集計される、Netflow プロトコル データが使用されます。Attack mitigation reports uses the Netflow protocol data which is aggregated to provide detailed information about the attack on your resource. パブリック IP リソースが攻撃を受けるたびに、軽減策が開始されるとすぐにレポートの生成が開始されます。Anytime a public IP resource is under attack, the report generation will start as soon as the mitigation starts. 5 分ごとに増分レポートが生成され、軽減策の期間全体に対して軽減策後のレポートが生成されます。There will be an incremental report generated every 5 mins and a post-mitigation report for the whole mitigation period. これにより、DDoS 攻撃が長時間継続する場合に、確実に 5 分ごとに軽減策レポートの最新のスナップショットを表示し、攻撃の軽減策が完了したら完全な概要を表示することができます。This is to ensure that in an event the DDoS attack continues for a longer duration of time, you will be able to view the most current snapshot of mitigation report every 5 minutes and a complete summary once the attack mitigation is over.

  1. ポータルの左上にある [すべてのサービス] を選択します。Select All services on the top, left of the portal.

  2. [フィルター] ボックスに「Monitor」と入力します。Enter Monitor in the Filter box. 結果に [Monitor] が表示されたら、それを選択します。When Monitor appears in the results, select it.

  3. [設定][診断設定] を選択します。Under SETTINGS, select Diagnostic Settings.

  4. ログに記録するパブリック IP アドレスを含むサブスクリプションリソース グループを選択します。Select the Subscription and Resource group that contain the public IP address you want to log.

  5. [リソースの種類][パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択します。Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. [Turn on diagnostics to collect the DDoSMitigationReports log](診断を有効にして DDoSMitigationReports ログを収集する) を選択し、必要に応じて次のオプションを任意の数だけ選択します。Select Turn on diagnostics to collect the DDoSMitigationReports log and then select as many of the following options as you require:

    • ストレージ アカウントへのアーカイブ:データは Azure Storage アカウントに書き込まれます。Archive to a storage account: Data is written to an Azure Storage account. このオプションについて詳しくは、診断ログのアーカイブに関する記事をご覧ください。To learn more about this option, see Archive diagnostic logs.
    • イベント ハブへのストリーム配信:ログの受信者が Azure Event Hub を使用してログを取得できるようにします。Stream to an event hub: Allows a log receiver to pick up logs using an Azure Event Hub. イベント ハブにより、Splunk やその他の SIEM システムとの統合が可能になります。Event hubs enable integration with Splunk or other SIEM systems. このオプションについて詳しくは、イベント ハブへの診断ログのストリーミングに関する記事をご覧ください。To learn more about this option, see Stream diagnostic logs to an event hub.
    • [Log Analytics への送信] :Azure Monitor サービスにログを書き込みます。Send to Log Analytics: Writes logs to the Azure Monitor service. このオプションについて詳しくは、Azure Monitor ログで使用するログの収集に関する記事をご覧ください。To learn more about this option, see Collect logs for use in Azure Monitor logs.

増分レポートと攻撃の軽減策後のレポートには、両方とも次のフィールドが含まれます。Both the incremental & post-attack mitigation reports include the following fields

  • 攻撃ベクトルAttack vectors
  • トラフィック統計情報Traffic statistics
  • パケットが削除された理由Reason for dropped packets
  • 関与するプロトコルProtocols involved
  • 上位 10 の攻撃元の国またはリージョンTop 10 source countries or regions
  • 上位 10 の攻撃元の ASNTop 10 source ASNs

DDoS 攻撃の軽減フロー ログを構成するConfigure DDoS attack mitigation flow logs

攻撃の軽減フロー ログを使用すると、アクティブな DDoS 攻撃中に、削除されたトラフィック、転送されたトラフィック、およびその他の有用なデータ ポイントをほぼリアルタイムで確認できます。Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other interesting datapoints during an active DDoS attack in near-real time. この一定のデータ ストリームをほぼリアルタイムに監視するために、イベント ハブを使用して SIEM システム内に取り込み、可能なアクションを実行して、防御操作の必要性に対処することができます。You can ingest the constant stream of this data into your SIEM systems via event hub for near-real time monitoring, take potential actions and address the need of your defense operations.

  1. ポータルの左上にある [すべてのサービス] を選択します。Select All services on the top, left of the portal.

  2. [フィルター] ボックスに「Monitor」と入力します。Enter Monitor in the Filter box. 結果に [Monitor] が表示されたら、それを選択します。When Monitor appears in the results, select it.

  3. [設定][診断設定] を選択します。Under SETTINGS, select Diagnostic Settings.

  4. ログに記録するパブリック IP アドレスを含むサブスクリプションリソース グループを選択します。Select the Subscription and Resource group that contain the public IP address you want to log.

  5. [リソースの種類][パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択します。Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. [Turn on diagnostics to collect the DDoSMitigationFlowLogs log](診断を有効にして DDoSMitigationFlowLogs ログを収集する) を選択し、必要に応じて次のオプションを任意の数だけ選択します。Select Turn on diagnostics to collect the DDoSMitigationFlowLogs log and then select as many of the following options as you require:

    • ストレージ アカウントへのアーカイブ:データは Azure Storage アカウントに書き込まれます。Archive to a storage account: Data is written to an Azure Storage account. このオプションについて詳しくは、診断ログのアーカイブに関する記事をご覧ください。To learn more about this option, see Archive diagnostic logs.
    • イベント ハブへのストリーム配信:ログの受信者が Azure Event Hub を使用してログを取得できるようにします。Stream to an event hub: Allows a log receiver to pick up logs using an Azure Event Hub. イベント ハブにより、Splunk やその他の SIEM システムとの統合が可能になります。Event hubs enable integration with Splunk or other SIEM systems. このオプションについて詳しくは、イベント ハブへの診断ログのストリーミングに関する記事をご覧ください。To learn more about this option, see Stream diagnostic logs to an event hub.
    • [Log Analytics への送信] :Azure Monitor サービスにログを書き込みます。Send to Log Analytics: Writes logs to the Azure Monitor service. このオプションについて詳しくは、Azure Monitor ログで使用するログの収集に関する記事をご覧ください。To learn more about this option, see Collect logs for use in Azure Monitor logs.
  7. Azure analytics ダッシュボードでフロー ログ データを表示するには、 https://github.com/Anupamvi/Azure-DDoS-Protection/raw/master/flowlogsbyip.zip からサンプル ダッシュボードをインポートします。To view the flow logs data in Azure analytics dashboard, you can import the sample dashboard from https://github.com/Anupamvi/Azure-DDoS-Protection/raw/master/flowlogsbyip.zip

フロー ログには次のフィールドがあります。Flow logs will have the following fields:

  • 発信元 IPSource IP
  • 宛先 IPDestination IP
  • 発信元ポートSource Port
  • 宛先ポートDestination port
  • プロトコルの種類Protocol type
  • 軽減時に実行されたアクションAction taken during mitigation

DDoS 検出を検証するValidate DDoS detection

マイクロソフトは BreakingPoint Cloud と提携して、シミュレーションのために DDoS Protection を有効にしたパブリック IP アドレスに対してトラフィックを生成できるインターフェイスを構築しました。Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. BreakPoint Cloud シミュレーションを使用して、以下の操作を行うことができます。The BreakPoint Cloud simulation allows you to:

  • Microsoft Azure DDoS Protection が Azure リソースを DDoS 攻撃から保護する方法を検証しますValidate how Microsoft Azure DDoS Protection protects your Azure resources from DDoS attacks
  • DDoS 攻撃を受けているときのインシデント対応プロセスを最適化しますOptimize your incident response process while under DDoS attack
  • DDoS コンプライアンスを文書化しますDocument DDoS compliance
  • ネットワーク セキュリティ チームのトレーニングを行いますTrain your network security teams

Azure Security Center の DDoS 保護アラートを表示するView DDoS protection alerts in Azure Security Center

Azure Security Center は、セキュリティ アラートの一覧と、問題の調査および修復に役立つ情報を提供します。Azure Security Center provides a list of security alerts, with information to help investigate and remediate problems. この機能により、DDoS 攻撃に関連するアラートや、ほぼリアルタイムで攻撃を軽減するために実行されるアクションを含んだ、アラートの統合ビューが得られます。With this feature, you get a unified view of alerts, including DDoS attack-related alerts and the actions taken to mitigate the attack in near-time. DDoS 攻撃の検出と軽減に対して表示される 2 つの特定のアラートがあります。There are two specific alerts that you will see for any DDoS attack detection and mitigation:

  • パブリック IP に対して検出された DDoS 攻撃:DDoS Protection サービスにより、パブリック IP アドレスのいずれかが DDoS 攻撃の対象であることが検出されると、このアラートが生成されます。DDoS Attack detected for Public IP: This alert is generated when the DDoS protection service detects that one of your public IP addresses is the target of a DDoS attack.
  • パブリック IP に対して軽減された DDoS 攻撃:このアラートは、パブリック IP アドレスへの攻撃が軽減された場合に生成されます。DDoS Attack mitigated for Public IP: This alert is generated when an attack on the public IP address has been mitigated. アラートを表示するには、Azure portal で [Security Center] を開きます。To view the alerts, open Security Center in the Azure portal. [脅威の防止] で、 [セキュリティ アラート] を選択します。Under Threat Protection, select Security alerts. 次のスクリーンショットは、DDoS 攻撃アラートの例を示します。The following screenshot shows an example of the DDoS attack alerts.

Azure Security Center での DDoS アラート

アラートには、攻撃、地域および脅威インテリジェンス情報、修復手順の下にあるパブリック IP アドレスの全般的な情報が含まれます。The alerts include general information about the public IP address that’s under attack, geo and threat intelligence information, and remediations steps.

アクセス許可Permissions

DDoS 保護プランに関する作業を行うには、使用するアカウントがネットワークの共同作業者ロール、または次の表の適切なアクションが割り当てられたカスタム ロールに、割り当てられている必要があります。To work with DDoS protection plans, your account must be assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in the following table:

ActionAction NameName
Microsoft.Network/ddosProtectionPlans/readMicrosoft.Network/ddosProtectionPlans/read DDoS 保護プランを読み取るRead a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/writeMicrosoft.Network/ddosProtectionPlans/write DDoS 保護プランを作成または更新するCreate or update a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/deleteMicrosoft.Network/ddosProtectionPlans/delete DDoS 保護プランを削除するDelete a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/join/actionMicrosoft.Network/ddosProtectionPlans/join/action DDoS 保護プランを結合するJoin a DDoS protection plan

仮想ネットワークに対する DDoS 保護を有効にするには、使うアカウントに仮想ネットワークの適切なアクションも割り当てられている必要があります。To enable DDoS protection for a virtual network, your account must also be assigned the appropriate actions for virtual networks.

次の手順Next steps