Share via

Waarschuwingen voor diagnostische logboekregistratie van Azure DDoS Protection configureren

  • Artikel

Waarschuwingen voor diagnostische logboekregistratie van DDoS Protection bieden inzicht in DDoS-aanvallen en risicobeperkingsacties. U kunt waarschuwingen configureren voor alle met DDoS beveiligde openbare IP-adressen waarvoor u diagnostische logboekregistratie hebt ingeschakeld.

In deze zelfstudie leert u het volgende:

  • Configureer waarschuwingen voor diagnostische logboekregistratie via Azure Monitor en logische app.

Vereisten

  • Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
  • DDoS-netwerkbeveiliging moet zijn ingeschakeld in een virtueel netwerk of DDoS IP-beveiliging moet zijn ingeschakeld op een openbaar IP-adres.
  • Als u diagnostische logboekregistratie wilt gebruiken, moet u eerst een Log Analytics-werkruimte maken waarvoor diagnostische instellingen zijn ingeschakeld.
  • DDoS Protection bewaakt openbare IP-adressen die zijn toegewezen aan resources binnen een virtueel netwerk. Als u geen resources met openbare IP-adressen in het virtuele netwerk hebt, moet u eerst een resource met een openbaar IP-adres maken. U kunt het openbare IP-adres controleren van alle resources die zijn geïmplementeerd via Resource Manager (niet klassiek) die worden vermeld in het virtuele netwerk voor Azure-services (inclusief Azure Load Balancers waar de back-end-VM's zich in het virtuele netwerk bevinden), met uitzondering van Azure-app Service Environments. Als u wilt doorgaan met deze handleiding, kunt u snel een virtuele Windows - of Linux-machine maken.

Waarschuwingen voor diagnostische logboekregistratie configureren via Azure Monitor

Met deze sjablonen kunt u waarschuwingen configureren voor alle openbare IP-adressen waarvoor u diagnostische logboekregistratie hebt ingeschakeld.

Waarschuwingsregel voor Azure Monitor maken

Met de azure Monitor-waarschuwingsregelsjabloon wordt een query uitgevoerd op de diagnostische logboeken om te detecteren wanneer er een actieve DDoS-beperking plaatsvindt. De waarschuwing geeft een mogelijke aanval aan. Actiegroepen kunnen worden gebruikt om acties aan te roepen als gevolg van de waarschuwing.

De sjabloon implementeren

  1. Selecteer Implementeren in Azure om u aan te melden bij Azure en de sjabloon te openen.

    Button to deploy the Resource Manager template to Azure.

  2. Voer op de pagina Aangepaste implementatie , onder Projectdetails, de volgende informatie in.

    Screenshot of Azure Monitor alert rule template.

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer uw resourcegroep.
    Regio Selecteer uw regio.
    Naam van de werkruimte Voer de naam van uw werkruimte in. In dit voorbeeld is de naam van de werkruimte myLogAnalyticsWorkspace.
    Locatie Voer VS - oost in.

    Notitie

    De locatie moet overeenkomen met de locatie van de werkruimte.

  3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken nadat de validatie is geslaagd.

Waarschuwingsregel voor diagnostische logboekregistratie van Azure Monitor maken met logische app

Met deze sjabloon voor het verrijken van DDoS-risicowaarschuwingen worden de benodigde onderdelen van een verrijkte DDoS-risicobeperkingswaarschuwing geïmplementeerd: Azure Monitor-waarschuwingsregel, actiegroep en logische app. Het resultaat van het proces is een e-mailwaarschuwing met details over het IP-adres dat wordt aangevallen, inclusief informatie over de resource die is gekoppeld aan het IP-adres. De eigenaar van de resource wordt toegevoegd als ontvanger van het e-mailbericht, samen met het beveiligingsteam. Er wordt ook een eenvoudige beschikbaarheidstest voor toepassingen uitgevoerd en de resultaten worden opgenomen in de e-mailwaarschuwing.

De sjabloon implementeren

  1. Selecteer Implementeren in Azure om u aan te melden bij Azure en de sjabloon te openen.

    Button to deploy the Resource Manager template to Azure.

  2. Voer op de pagina Aangepaste implementatie , onder Projectdetails, de volgende informatie in.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer uw resourcegroep.
    Regio Selecteer uw regio.
    Naam waarschuwing Als standaard ingesteld laten.
    E-mail van beveiligingsteam Voer het vereiste e-mailadres in.
    Bedrijfsdomein Voer het vereiste domein in.
    Naam van de werkruimte Voer de naam van uw werkruimte in. In dit voorbeeld is de naam van de werkruimte myLogAnalyticsWorkspace.

  3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken nadat de validatie is geslaagd.

Resources opschonen

U kunt uw resources bewaren voor de volgende handleiding. Als u deze niet meer nodig hebt, verwijdert u de waarschuwingen.

  1. Voer waarschuwingen in het zoekvak boven aan de portal in. Selecteer Waarschuwingen in de zoekresultaten.

    Screenshot of Alerts page.

  2. Selecteer Waarschuwingsregels en selecteer vervolgens uw abonnement op de pagina Waarschuwingsregels.

    Screenshot of Alert rules page.

  3. Selecteer de waarschuwingen die in deze handleiding zijn gemaakt en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u diagnostische waarschuwingen configureert via Azure Portal.

Als u DDoS Protection wilt testen via simulaties, gaat u verder met de volgende handleiding.

Testen via simulatiesWaarschuwingen weergeven in Microsoft Defender voor Cloud