Samouczek: wyświetlanie i konfigurowanie telemetrii usługi Azure DDoS Protection

  • Artykuł

Usługa Azure DDoS Protection udostępnia szczegółowe informacje o atakach i wizualizacje za pomocą analizy ataków DDoS. Klienci chroniący swoje sieci wirtualne przed atakami DDoS mają szczegółowy wgląd w ruch ataków i działania podjęte w celu wyeliminowania ataku za pośrednictwem raportów ograniczania ryzyka ataków i dzienników przepływu ograniczania ryzyka. Rozbudowane dane telemetryczne są udostępniane za pośrednictwem usługi Azure Monitor, w tym szczegółowe metryki w czasie ataku DDoS. Można skonfigurować alerty dla dowolnych metryk usługi Azure Monitor ujawnionych przez usługę DDoS Protection. Rejestrowanie można dodatkowo zintegrować z usługami Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics i Azure Storage w celu przeprowadzenia zaawansowanej analizy za pośrednictwem interfejsu diagnostyki usługi Azure Monitor.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Wyświetlanie danych telemetrycznych usługi Azure DDoS Protection
  • Wyświetlanie zasad ograniczania ryzyka usługi Azure DDoS Protection
  • Weryfikowanie i testowanie danych telemetrycznych usługi Azure DDoS Protection

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

  • Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Przed wykonaniem kroków opisanych w tym samouczku należy najpierw utworzyć atak symulacji DDoS w celu wygenerowania danych telemetrycznych. Dane telemetryczne są rejestrowane podczas ataku. Aby uzyskać więcej informacji, zobacz Testowanie ochrony przed atakami DDoS za pomocą symulacji.

Wyświetlanie danych telemetrycznych usługi Azure DDoS Protection

Dane telemetryczne w przypadku ataku są udostępniane za pośrednictwem usługi Azure Monitor w czasie rzeczywistym. Chociaż wyzwalacze ograniczania ryzyka dla protokołu TCP SYN, protokół TCP i UDP są dostępne w czasie pokoju, inne dane telemetryczne są dostępne tylko wtedy, gdy publiczny adres IP został objęty ograniczeniem ryzyka.

Dane telemetryczne DDoS dla chronionego publicznego adresu IP można wyświetlić za pomocą trzech różnych typów zasobów: plan ochrony przed atakami DDoS, sieć wirtualna i publiczny adres IP.

Aby uzyskać więcej informacji na temat metryk, zobacz Monitorowanie usługi Azure DDoS Protection , aby uzyskać szczegółowe informacje na temat dzienników monitorowania usługi DDoS Protection.

Wyświetlanie metryk z planu ochrony przed atakami DDoS

  1. Zaloguj się do witryny Azure Portal i wybierz plan ochrony przed atakami DDoS.
  2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Plany ochrony przed atakami DDoS, a następnie wybierz plan ochrony przed atakami DDoS.
  3. W obszarze Monitorowanie wybierz pozycję Metryki.
  4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  7. W obszarze Metryka wybierz pozycję W obszarze Atak DDoS lub nie.
  8. Wybierz typ agregacji jako Wartość maksymalna.

Screenshot of creating DDoS protection metrics menu.

Wyświetlanie metryk z sieci wirtualnej

  1. Zaloguj się do witryny Azure Portal i przejdź do sieci wirtualnej z włączoną ochroną przed atakami DDoS.
  2. W obszarze Monitorowanie wybierz pozycję Metryki.
  3. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  4. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  5. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  6. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

Uwaga

Aby filtrować adresy IP, wybierz pozycję Dodaj filtr. W obszarze Właściwość wybierz pozycję Chroniony adres IP, a operator powinien mieć wartość =. W obszarze Wartości zostanie wyświetlona lista rozwijana publicznych adresów IP skojarzonych z siecią wirtualną, która jest chroniona przez usługę Azure DDoS Protection.

Screenshot of DDoS diagnostic settings.

Wyświetlanie metryk z publicznego adresu IP

  1. Zaloguj się do witryny Azure Portal i przejdź do publicznego adresu IP.
  2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Publiczne adresy IP, a następnie wybierz swój publiczny adres IP.
  3. W obszarze Monitorowanie wybierz pozycję Metryki.
  4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  7. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

Uwaga

W przypadku zmiany ochrony adresów IP przed atakami DDoS z włączonej na wyłączoną dane telemetryczne dla zasobu publicznego adresu IP nie będą dostępne.

Wyświetlanie zasad ograniczania ryzyka ataków DDoS

Usługa Azure DDoS Protection stosuje trzy automatycznie dostrojone zasady ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu w sieci wirtualnej z włączoną ochroną przed atakami DDoS. Progi zasad można wyświetlić, wybierając pakiety TCP dla ruchu przychodzącego w celu wyzwolenia ograniczania ryzyka ataków DDoS i pakietów UDP dla ruchu przychodzącego w celu wyzwolenia metryk ograniczania ryzyka ataków DDoS z typem agregacji "Max", jak pokazano na poniższej ilustracji:

Screenshot of viewing mitigation policies.

Zweryfikuj i przetestuj

Aby zasymulować atak DDoS w celu zweryfikowania telemetrii ochrony przed atakami DDoS, zobacz Weryfikowanie wykrywania ataków DDoS.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Konfigurowanie alertów dla metryk ochrony przed atakami DDoS
  • Wyświetlanie danych telemetrycznych ochrony przed atakami DDoS
  • Wyświetlanie zasad ograniczania ryzyka ataków DDoS
  • Weryfikowanie i testowanie telemetrii ochrony przed atakami DDoS

Aby dowiedzieć się, jak skonfigurować raporty ograniczania ryzyka ataków i dzienniki przepływu, przejdź do następnego samouczka.

Wyświetlanie i konfigurowanie rejestrowania diagnostycznego dotyczącego ataków DDoS