Gerenciar a Proteção contra DDoS do Azure Standard usando o Portal do AzureManage Azure DDoS Protection Standard using the Azure portal

Saiba como habilitar e desabilitar a proteção contra DDoS (ataque de negação de serviço distribuído) e usar a telemetria para atenuar ataques contra DDoS com a Proteção contra DDoS Standard do Azure.Learn how to enable and disable distributed denial of service (DDoS) protection, and use telemetry to mitigate a DDoS attack with Azure DDoS Protection Standard. A Proteção contra DDoS Standard protege os recursos do Azure como máquinas virtuais, balanceadores de carga e gateways de aplicativo que têm um endereço IP público do Azure atribuído a eles.DDoS Protection Standard protects Azure resources such as virtual machines, load balancers, and application gateways that have an Azure public IP address assigned to it. Para saber mais sobre a Proteção contra DDoS Standard e suas funcionalidades, consulte Visão geral da Proteção contra DDoS Standard.To learn more about DDoS Protection Standard and its capabilities, see DDoS Protection Standard overview.

Antes de concluir qualquer etapa neste tutorial, faça logon no portal do Azure em https://portal.azure.com com uma conta atribuída à função contribuidor de rede ou a uma função personalizada que as ações adequadas atribuídas estão listadas em Permissões.Before completing any steps in this tutorial, log in to the Azure portal at https://portal.azure.com with an account assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in Permissions.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.If you don't have an Azure subscription, create a free account before you begin.

Criar um plano de proteção contra DDoSCreate a DDoS protection plan

Um plano de proteção contra DDoS define um conjunto de redes virtuais que têm um padrão de proteção DDoS habilitada, entre assinaturas.A DDoS protection plan defines a set of virtual networks that have DDoS protection standard enabled, across subscriptions. Você pode configurar um plano de proteção contra DDoS para sua organização e vincular redes virtuais de várias assinaturas para o mesmo plano.You can configure one DDoS protection plan for your organization and link virtual networks from multiple subscriptions to the same plan. O plano de proteção contra DDoS também está associado a uma assinatura, que você seleciona durante a criação do plano.The DDoS Protection Plan itself is also associated with a subscription, that you select during the creation of the plan. O plano de proteção contra DDoS funciona em regiões e assinaturas.The DDoS Protection Plan works across regions and subscriptions. Exemplo – você pode criar o plano na região leste-EUA e vincular à assinatura #1 em seu locatário.Example -you can create the plan in Region East-US and link to subscription #1 in your tenant. O mesmo plano pode ser vinculado a redes virtuais de outras assinaturas em regiões diferentes, em seu locatário.The same plan can be linked to virtual networks from other subscriptions in different regions, across your tenant. A assinatura do plano está associada a gerar a fatura mensal recorrente para o plano, bem como encargos excedentes, caso o número de endereços IP públicos protegidos exceder 100.The subscription the plan is associated to incurs the monthly recurring bill for the plan, as well as overage charges, in case the number of protected public IP addresses exceed 100. Para obter mais informações sobre os preços de DDoS, consulte Detalhes do preço.For more information on DDoS pricing, see pricing details.

A criação de mais de um plano não é necessária para a maioria das organizações.Creation of more than one plan is not required for most organizations. O plano não pode ser movido entre as assinaturas.A plan cannot be moved between subscriptions. Se você quiser alterar a assinatura de um plano, você precisa excluir o plano existente e criar um novo.If you want to change the subscription a plan is in, you have to delete the existing plan and create a new one.

  1. Selecione criar um recurso no canto superior esquerdo da portal do Azure.Select Create a resource in the upper left corner of the Azure portal.

  2. Pesquise por DDoS.Search for DDoS. Quando o plano de proteção contra DDoS aparecer nos resultados da pesquisa, selecione-o.When DDoS protection plan appears in the search results, select it.

  3. Selecione Criar.Select Create.

  4. Insira ou selecione seus próprios valores, ou insira ou selecione os seguintes valores de exemplo e, em seguida, selecione Criar:Enter or select your own values, or enter, or select the following example values, and then select Create:

    ConfiguraçãoSetting ValorValue
    NomeName myDdosProtectionPlanmyDdosProtectionPlan
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Selecione criar novo e insira o myresourceattributeSelect Create new and enter myResourceGroup
    LocalizaçãoLocation Leste dos EUAEast US

Habilitar DDoS para uma nova rede virtualEnable DDoS for a new virtual network

  1. Selecione criar um recurso no canto superior esquerdo da portal do Azure.Select Create a resource in the upper left corner of the Azure portal.

  2. Selecione Rede e, sem seguida, selecione Rede Virtual.Select Networking, and then select Virtual network.

  3. Insira ou selecione seus próprios valores, ou insira ou selecione os valores de exemplo a seguir, aceite os padrões restantes e, em seguida, selecione Criar:Enter or select your own values, of enter or select the following example values, accept the remaining defaults, and then select Create:

    ConfiguraçãoSetting ValorValue
    NomeName myVirtualNetworkmyVirtualNetwork
    SubscriptionSubscription Selecione sua assinatura.Select your subscription.
    Resource groupResource group Clique em Usar existente e selecione myResourceGroupSelect Use existing, and then select myResourceGroup
    LocalizaçãoLocation Leste dos EUAEast US
    Proteção contra DDoS StandardDDoS Protection Standard Selecione Habilitar.Select Enable. O plano selecionado pode estar na mesma assinatura ou em assinatura diferente que a rede virtual, mas ambas as assinaturas devem estar associadas ao mesmo locatário do Azure Active Directory.The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

Você não pode mover uma rede virtual para outro grupo de recursos ou assinatura quando o DDoS padrão está habilitado para a rede virtual.You cannot move a virtual network to another resource group or subscription when DDoS Standard is enabled for the virtual network. Se você precisar mover uma rede virtual com um padrão de DDoS habilitado, desabilite o padrão de DDoS primeiro, mova a rede virtual e, em seguida, habilite padrão de DDoS.If you need to move a virtual network with DDoS Standard enabled, disable DDoS Standard first, move the virtual network, and then enable DDoS standard. Após a movimentação, os limites da política ajustados automaticamente para todos os endereços IP públicos protegidos na rede virtual são redefinidos.After the move, the auto-tuned policy thresholds for all the protected public IP addresses in the virtual network are reset.

Habilitar DDoS para uma rede virtual existenteEnable DDoS for an existing virtual network

  1. Crie um plano de proteção contra DDoS completando as etapas em Criar um plano de proteção contra DDoS, se você não tiver um plano de proteção contra DDoS existente.Create a DDoS protection plan by completing the steps in Create a DDoS protection plan, if you don't have an existing DDoS protection plan.
  2. Selecione criar um recurso no canto superior esquerdo da portal do Azure.Select Create a resource in the upper left corner of the Azure portal.
  3. Insira o nome da rede virtual para a qual você deseja habilitar o padrão de proteção contra DDoS na caixa de documentos, serviços e recursos de pesquisa na parte superior do portal.Enter the name of the virtual network that you want to enable DDoS Protection Standard for in the Search resources, services, and docs box at the top of the portal. Quando o nome da rede virtual for exibido nos resultados da pesquisa, selecione-o.When the name of the virtual network appears in the search results, select it.
  4. Selecione Proteção contra DDoS, em Configurações.Select DDoS protection, under SETTINGS.
  5. Selecione Padrão.Select Standard. Em Plano de proteção contra DDoS, selecione um plano de proteção contra DDoS existente ou o plano que você criou na etapa 1 e, em seguida, selecione Salvar.Under DDoS protection plan, select an existing DDoS protection plan, or the plan you created in step 1, and then select Save. O plano selecionado pode estar na mesma assinatura ou em assinatura diferente que a rede virtual, mas ambas as assinaturas devem estar associadas ao mesmo locatário do Azure Active Directory.The plan you select can be in the same, or different subscription than the virtual network, but both subscriptions must be associated to the same Azure Active Directory tenant.

ComandosCommands

Desabilitar DDoS para uma rede virtualDisable DDoS for a virtual network

  1. Insira o nome da rede virtual a qual você deseja desabilitar o padrão de proteção contra DDoS na caixa de documentos, serviços e recursos de pesquisa na parte superior do portal.Enter the name of the virtual network you want to disable DDoS protection standard for in the Search resources, services, and docs box at the top of the portal. Quando o nome da rede virtual for exibido nos resultados da pesquisa, selecione-o.When the name of the virtual network appears in the search results, select it.
  2. Selecione em proteção contra DDoS Standard, selecione desabilitar.Select Under DDoS Protection Standard, select Disable.

ComandosCommands

Trabalhar com Planos de proteção contra DDoSWork with DDoS protection plans

  1. Selecione Todos os serviços na parte superior esquerda do portal.Select All services on the top, left of the portal.
  2. Digite DDoS na caixa Filtro.Enter DDoS in the Filter box. Selecione Plano de proteção contra DDoS quando aparecer nos resultados.When DDoS protection plans appear in the results, select it.
  3. Selecione o plano de proteção que você deseja exibir na lista.Select the protection plan you want to view from the list.
  4. Todas as redes virtuais associadas ao plano são listadas.All virtual networks associated to the plan are listed.
  5. Se você quiser excluir um plano, primeiro você deve desassociar todas as redes virtuais dele.If you want to delete a plan, you must first dissociate all virtual networks from it. Para desassociar um plano de uma rede virtual, consulte Desabilitar DDoS para uma rede virtual.To dissociate a plan from a virtual network, see Disable DDoS for a virtual network.

Configurar alertas para métricas de proteção contra DDoSConfigure alerts for DDoS protection metrics

Selecione uma das métricas de proteção contra DDoS disponíveis para alertá-lo quando houver uma mitigação ativa durante um ataque usando a configuração de alerta do Azure Monitor.You can select any of the available DDoS protection metrics to alert you when there’s an active mitigation during an attack, using the Azure Monitor alert configuration. Quando as condições forem atendidas, o endereço especificado receberá um email de alerta:When the conditions are met, the address specified receives an alert email:

  1. Selecione Todos os serviços na parte superior esquerda do portal.Select All services on the top, left of the portal.

  2. Digite Monitor na caixa Filtro.Enter Monitor in the Filter box. Selecione Monitorar quando aparecer nos resultados.When Monitor appears in the results, select it.

  3. Selecione Métricas em Serviços Compartilhados.Select Metrics under SHARED SERVICES.

  4. Insira ou selecione seus próprios valores, ou insira os valores de exemplo a seguir, aceite os padrões restantes e, em seguida, selecione Ok:Enter, or select your own values, or enter the following example values, accept the remaining defaults, and then select OK:

    ConfiguraçãoSetting ValorValue
    NomeName myDdosAlertmyDdosAlert
    SubscriptionSubscription Selecione a assinatura que contém o endereço IP público para o qual você deseja receber alertas.Select the subscription that contains the public IP address you want to receive alerts for.
    Resource groupResource group Selecione o grupo de recursos que contém o endereço IP público para o qual você deseja receber alertas.Select the resource group that contains the public IP address you want to receive alerts for.
    RecursoResource Selecione o endereço IP público que contém o endereço IP público para o qual você deseja receber alertas.Select the public IP address that contains the public IP address you want to receive alerts for. DDoS monitora os endereços IP públicos atribuídos aos recursos em uma rede virtual.DDoS monitors public IP addresses assigned to resources within a virtual network. Se você não tiver todos os recursos com endereços IP públicos na rede virtual, você deve primeiro criar um recurso com um endereço IP público.If you don't have any resources with public IP addresses in the virtual network, you must first create a resource with a public IP address. Você pode monitorar o endereço IP público de todos os recursos implantados por meio de Gerenciador de Recursos (não clássico) listado em Rede Virtual para os serviços do Azure, exceto para os Ambientes de Serviço de Aplicativo do Azure e o Gateway de VPN do Azure.You can monitor the public IP address of all resources deployed through Resource Manager (not classic) listed in Virtual network for Azure services, except for Azure App Service Environments and Azure VPN Gateway. Para continuar este tutorial, você pode criar rapidamente uma máquina virtual do Windows ou Linux.To continue with this tutorial, you can quickly create a Windows or Linux virtual machine.
    MétricaMetric Sob ataque DDoS ou nãoUnder DDoS attack or not
    LimiteThreshold 1 - 1 significa que você está sob ataque.1 - 1 means you are under attack. 0 significa que você não está sob ataque.0 means you are not under attack.
    PeríodoPeriod Selecione o valor que você escolher.Select whatever value you choose.
    Notificar por emailNotify via Email Marque a caixa de seleçãoCheck the checkbox
    Administrador adicionalAdditional administrator Insira seu endereço de email se você não é um proprietário de email, colaborador ou leitor para a assinatura.Enter your email address if you're not an email owner, contributor, or reader for the subscription.

    Em poucos minutos de detecção de ataque, você receberá um email de métricas de Azure Monitor que é semelhante a figura a seguir:Within a few minutes of attack detection, you receive an email from Azure Monitor metrics that looks similar to the following picture:

    Alerta de ataque

Para simular um ataque de DDoS para validar seu alerta, consulte Validar detecção de DDoS.To simulate a DDoS attack to validate your alert, see Validate DDoS detection.

Você também pode aprender mais sobre configuração de webhooks e aplicativos lógicos para criação de alertas.You can also learn more about configuring webhooks and logic apps for creating alerts.

Usar telemetria da proteção contra DDoSUse DDoS protection telemetry

A telemetria de um ataque é fornecida por meio do Azure Monitor em tempo real.Telemetry for an attack is provided through Azure Monitor in real time. A telemetria está disponível somente durante o tempo pelo qual um endereço IP público está sob mitigação.The telemetry is available only for the duration that a public IP address is under mitigation. Você não vê a telemetria antes nem depois de um ataque ser mitigado.You don't see telemetry before or after an attack is mitigated.

  1. Selecione Todos os serviços na parte superior esquerda do portal.Select All services on the top, left of the portal.
  2. Digite Monitor na caixa Filtro.Enter Monitor in the Filter box. Selecione Monitorar quando aparecer nos resultados.When Monitor appears in the results, select it.
  3. Selecione métricas, em serviços compartilhados.Select Metrics, under SHARED SERVICES.
  4. Selecione a Assinatura e o Grupo de recursos que contêm o endereço IP público para o qual você deseja a telemetria.Select the Subscription and Resource group that contain the public IP address that you want telemetry for.
  5. Selecione Endereço IP público para Tipo de recurso, em seguida, selecione o endereço IP público específico para o qual você deseja a telemetria.Select Public IP Address for Resource type, then select the specific public IP address you want telemetry for.
  6. Uma série de Métricas Disponíveis aparecem no lado esquerdo da tela.A series of Available Metrics appear on the left side of the screen. Quando selecionadas, essas métricas são mostradas no Gráfico de Métricas do Azure Monitor na tela de visão geral.These metrics, when selected, are graphed in the Azure Monitor Metrics Chart on the overview screen.
  7. Selecione o tipo de agregação como máximoSelect the aggregation type as Max

Os nomes de métrica apresentam diferentes tipos de pacotes e bytes versus pacotes, com um constructo básico de nomes de marcação em cada métrica, da seguinte maneira:The metric names present different packet types, and bytes vs. packets, with a basic construct of tag names on each metric as follows:

  • Nome de marcação removido (por exemplo, Pacotes de Entrada Removidos por DDoS): o número de pacotes removidos pelo sistema de proteção contra DDoS.Dropped tag name (for example, Inbound Packets Dropped DDoS): The number of packets dropped/scrubbed by the DDoS protection system.
  • Nome de marcação encaminhado (por exemplo, Pacotes de Entrada Encaminhados por DDoS): o número de pacotes encaminhados pelo sistema de DDoS para o VIP de destino – tráfego que não foi filtrado.Forwarded tag name (for example Inbound Packets Forwarded DDoS): The number of packets forwarded by the DDoS system to the destination VIP – traffic that was not filtered.
  • Nenhum nome de marca (por exemplo: Pacotes de Entrada de DDoS): o número total de pacotes que entraram no sistema de depuração – que representa a soma dos pacotes ignorados e encaminhados.No tag name (for example Inbound Packets DDoS): The total number of packets that came into the scrubbing system – representing the sum of the packets dropped and forwarded.

Para simular um ataque de DDoS para validar a telemetria, consulte Validar detecção de DDoS.To simulate a DDoS attack to validate telemetry, see Validate DDoS detection.

Exibir políticas de mitigação de DDoSView DDoS mitigation policies

A Proteção contra DDoS padrão aplica TCP SYN, TCP e UDP (três políticas de mitigação ajustadas automaticamente) para cada endereço IP público do recurso protegido, na rede virtual que tem o DDoS habilitado.DDoS Protection Standard applies three auto-tuned mitigation policies (TCP SYN, TCP & UDP) for each public IP address of the protected resource, in the virtual network that has DDoS enabled. Você pode exibir os limites da política selecionando os pacotes TCP de entrada para disparar a mitigação de DDoS e pacotes UDP de entrada para disparar métricas de mitigação de DDoS com o tipo de agregação como ' Max ', conforme mostrado na figura a seguir:You can view the policy thresholds by selecting the Inbound TCP packets to trigger DDoS mitigation and Inbound UDP packets to trigger DDoS mitigation metrics with aggregation type as 'Max', as shown in the following picture:

Exibir políticas de mitigação

Os limites da política são configurados automaticamente por meio da nossa criação de perfil de tráfego de rede baseada em aprendizado de máquina do Azure.Policy thresholds are auto-configured via Azure machine learning-based network traffic profiling. Somente quando o limite da política for excedido, ocorre a mitigação de DDoS para o endereço IP sob ataque.Only when the policy threshold is breached does DDoS mitigation occur for the IP address under attack.

Configurar a análise de ataque de DDoSConfigure DDoS attack analytics

O padrão de Proteção contra DDoS do Azure fornece informações detalhadas de ataque e visualização com Análise de Ataque de DDoS.Azure DDoS Protection standard provides detailed attack insights and visualization with DDoS Attack Analytics. Os clientes que protegem suas redes virtuais contra ataques de DDoS têm visibilidade detalhada sobre o tráfego de ataque e as ações tomadas para reduzir o ataque por meio de relatórios de mitigação de ataque e logs de fluxo de mitigação.Customers protecting their virtual networks against DDoS attacks have detailed visibility into attack traffic and actions taken to mitigate the attack via attack mitigation reports & mitigation flow logs.

Configurar relatórios de mitigação de ataque de DDoSConfigure DDoS attack mitigation reports

Relatórios de mitigação de ataque usam os dados do protocolo Netflow agregados para fornecer informações detalhadas sobre o ataque em seu recurso.Attack mitigation reports uses the Netflow protocol data which is aggregated to provide detailed information about the attack on your resource. Sempre que um recurso IP público estiver sob ataque, a geração de relatórios começará assim que a atenuação for iniciada.Anytime a public IP resource is under attack, the report generation will start as soon as the mitigation starts. Também será gerado um relatório de incremental a cada 5 minutos e um relatório de pós-atenuação para todo o período de mitigação.There will be an incremental report generated every 5 mins and a post-mitigation report for the whole mitigation period. Isso é para garantir que, no caso de o ataque de DDoS continuar por mais tempo, você poderá exibir o instantâneo mais recentes do relatório de atenuação a cada 5 minutos e um resumo completo quando a mitigação de ataque estiver concluída.This is to ensure that in an event the DDoS attack continues for a longer duration of time, you will be able to view the most current snapshot of mitigation report every 5 minutes and a complete summary once the attack mitigation is over.

  1. Selecione Todos os serviços na parte superior esquerda do portal.Select All services on the top, left of the portal.

  2. Digite Monitor na caixa Filtro.Enter Monitor in the Filter box. Selecione Monitorar quando aparecer nos resultados.When Monitor appears in the results, select it.

  3. Em Configurações, selecione Configurações de diagnóstico.Under SETTINGS, select Diagnostic Settings.

  4. Selecione a Assinatura e o Grupo de recursos que contêm o endereço IP público que você deseja registrar.Select the Subscription and Resource group that contain the public IP address you want to log.

  5. Selecione Endereço IP público para Tipo de recurso, em seguida, selecione o endereço IP público específico para o qual você deseja registrar métricas.Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. Selecione Ativar diagnóstico para coletar o log DDoSMitigationReports e, em seguida, selecione tantas opções a seguir quanto você precisar:Select Turn on diagnostics to collect the DDoSMitigationReports log and then select as many of the following options as you require:

    • Arquivar em uma conta de armazenamento: os dados são gravados em uma conta de armazenamento do Azure.Archive to a storage account: Data is written to an Azure Storage account. Para saber mais sobre essa opção, consulte arquivar logs de recursos.To learn more about this option, see Archive resource logs.
    • Transmitir para um hub de eventos: permite que um destinatário de log colete os logs usando um Hub de Eventos do Azure.Stream to an event hub: Allows a log receiver to pick up logs using an Azure Event Hub. Os Hubs de Eventos habilitam a integração com o Splunk ou outros sistemas SIEM.Event hubs enable integration with Splunk or other SIEM systems. Para saber mais sobre essa opção, consulte transmitir logs de recursos para um hub de eventos.To learn more about this option, see Stream resource logs to an event hub.
    • Enviar para log Analytics: grava logs no serviço Azure monitor.Send to Log Analytics: Writes logs to the Azure Monitor service. Para saber mais sobre essa opção, consulte coletar logs para uso em logs de Azure monitor.To learn more about this option, see Collect logs for use in Azure Monitor logs.

Os relatórios de mitigação incrementais e pós-ataque incluem os seguintes camposBoth the incremental & post-attack mitigation reports include the following fields

  • Vetores de ataqueAttack vectors
  • Estatísticas de tráfegoTraffic statistics
  • Motivo para pacotes ignoradosReason for dropped packets
  • Protocolos envolvidosProtocols involved
  • Principais 10 regiões ou países de origemTop 10 source countries or regions
  • Principais 10 ASNs de origemTop 10 source ASNs

Configurar logs de fluxo de mitigação de ataque de DDoSConfigure DDoS attack mitigation flow logs

Os Logs de Fluxo de Mitigação de Ataque permitem examinar o tráfego ignorado, o tráfego encaminhado e outros datapoints interessante durante um ataque de DDoS ativo quase em tempo real.Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other interesting datapoints during an active DDoS attack in near-real time. Você pode ingerir o fluxo constante desses dados em seus sistemas SIEM por meio do hub de eventos para o monitoramento quase em tempo real, realizar ações possíveis e atender à necessidade de suas operações de defesa.You can ingest the constant stream of this data into your SIEM systems via event hub for near-real time monitoring, take potential actions and address the need of your defense operations.

  1. Selecione Todos os serviços na parte superior esquerda do portal.Select All services on the top, left of the portal.

  2. Digite Monitor na caixa Filtro.Enter Monitor in the Filter box. Selecione Monitorar quando aparecer nos resultados.When Monitor appears in the results, select it.

  3. Em Configurações, selecione Configurações de diagnóstico.Under SETTINGS, select Diagnostic Settings.

  4. Selecione a Assinatura e o Grupo de recursos que contêm o endereço IP público que você deseja registrar.Select the Subscription and Resource group that contain the public IP address you want to log.

  5. Selecione Endereço IP público para Tipo de recurso, em seguida, selecione o endereço IP público específico para o qual você deseja registrar métricas.Select Public IP Address for Resource type, then select the specific public IP address you want to log metrics for.

  6. Selecione Ativar diagnóstico para coletar o log DDoSMitigationFlowLogs e, em seguida, selecione tantas opções a seguir quanto você precisar:Select Turn on diagnostics to collect the DDoSMitigationFlowLogs log and then select as many of the following options as you require:

    • Arquivar em uma conta de armazenamento: os dados são gravados em uma conta de armazenamento do Azure.Archive to a storage account: Data is written to an Azure Storage account. Para saber mais sobre essa opção, consulte arquivar logs de recursos.To learn more about this option, see Archive resource logs.
    • Transmitir para um hub de eventos: permite que um destinatário de log colete os logs usando um Hub de Eventos do Azure.Stream to an event hub: Allows a log receiver to pick up logs using an Azure Event Hub. Os Hubs de Eventos habilitam a integração com o Splunk ou outros sistemas SIEM.Event hubs enable integration with Splunk or other SIEM systems. Para saber mais sobre essa opção, consulte transmitir logs de recursos para um hub de eventos.To learn more about this option, see Stream resource logs to an event hub.
    • Enviar para log Analytics: grava logs no serviço Azure monitor.Send to Log Analytics: Writes logs to the Azure Monitor service. Para saber mais sobre essa opção, consulte coletar logs para uso em logs de Azure monitor.To learn more about this option, see Collect logs for use in Azure Monitor logs.
  7. Para exibir os dados de logs de fluxo na pasta de trabalho do Azure Analytics, você pode importar o painel de exemplo de https://github.com/Azure/Azure-Network-Security/tree/master/Azure%20DDoS%20Protection/Azure%20DDoS%20Protection%20WorkbookTo view the flow logs data in Azure analytics Workbook, you can import the sample dashboard from https://github.com/Azure/Azure-Network-Security/tree/master/Azure%20DDoS%20Protection/Azure%20DDoS%20Protection%20Workbook

Os logs de fluxo terão os seguintes campos:Flow logs will have the following fields:

  • IP de origemSource IP
  • IP de destinoDestination IP
  • Porta de origemSource Port
  • Porta de destinoDestination port
  • Tipo de protocoloProtocol type
  • Ação executada durante a mitigaçãoAction taken during mitigation

A análise de ataque só funcionará se a proteção contra DDoS Standard estiver habilitada na rede virtual do endereço IP público.Attack analytics will only work if DDoS Protection Standard is enabled on the virtual network of the public IP address.

Validar detecção de DDoSValidate DDoS detection

A Microsoft firmou parceria com BreakingPoint Cloud para criar uma interface em que você pode gerar tráfego contra endereços IP públicos com a Proteção contra DDoS habilitada para fins de simulação.Microsoft has partnered with BreakingPoint Cloud to build an interface where you can generate traffic against DDoS Protection-enabled public IP addresses for simulations. A simulação do BreakPoint Cloud permitirá que você:The BreakPoint Cloud simulation allows you to:

  • Valide como a Proteção contra DDoS do Microsoft Azure protege seus recursos do Azure contra ataques de DDoSValidate how Microsoft Azure DDoS Protection protects your Azure resources from DDoS attacks
  • Otimize o processo de resposta a incidentes durante ataques de DDoSOptimize your incident response process while under DDoS attack
  • Documente a conformidade de DDoSDocument DDoS compliance
  • Treine suas equipes de segurança de redeTrain your network security teams

Exibir alertas de proteção contra DDoS na central de segurança do AzureView DDoS protection alerts in Azure Security Center

A central de segurança do Azure fornece uma lista de alertas de segurança, com informações para ajudar a investigar e corrigir problemas.Azure Security Center provides a list of security alerts, with information to help investigate and remediate problems. Com esse recurso, você obtém uma exibição unificada de alertas, incluindo alertas relacionados a ataques de DDoS e as ações tomadas para mitigar o ataque em tempo quase futuro.With this feature, you get a unified view of alerts, including DDoS attack-related alerts and the actions taken to mitigate the attack in near-time. Há dois alertas específicos que você verá para qualquer detecção e mitigação de ataque de DDoS:There are two specific alerts that you will see for any DDoS attack detection and mitigation:

  • Ataque de DDoS detectado para IP público: esse alerta é gerado quando o serviço de proteção contra DDoS detecta que um de seus endereços IP públicos é o destino de um ataque de DDoS.DDoS Attack detected for Public IP: This alert is generated when the DDoS protection service detects that one of your public IP addresses is the target of a DDoS attack.
  • Ataque de DDoS mitigado para IP público: esse alerta é gerado quando um ataque no endereço IP público é mitigado.DDoS Attack mitigated for Public IP: This alert is generated when an attack on the public IP address has been mitigated. Para exibir os alertas, abra a central de segurança no portal do Azure.To view the alerts, open Security Center in the Azure portal. Em proteção contra ameaças, selecione alertas de segurança.Under Threat Protection, select Security alerts. A captura de tela a seguir mostra um exemplo dos alertas de ataque de DDoS.The following screenshot shows an example of the DDoS attack alerts.

Alerta de DDoS na central de segurança do Azure

Os alertas incluem informações gerais sobre o endereço IP público que está sob ataque, informações de inteligência geográfica e contra ameaças e etapas de correção.The alerts include general information about the public IP address that’s under attack, geo and threat intelligence information, and remediations steps.

Permissões e restriçõesPermissions and restrictions

Para trabalhar com os planos de proteção DDoS, sua conta deve ser atribuída à função de colaborador da rede ou a uma função personalizada à qual são atribuídas as ações apropriadas listadas na tabela a seguir:To work with DDoS protection plans, your account must be assigned to the network contributor role or to a custom role that is assigned the appropriate actions listed in the following table:

AçãoAction NomeName
Microsoft.Network/ddosProtectionPlans/readMicrosoft.Network/ddosProtectionPlans/read Ler um plano de proteção DDoSRead a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/writeMicrosoft.Network/ddosProtectionPlans/write Criar ou atualizar um plano de proteção DDoSCreate or update a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/deleteMicrosoft.Network/ddosProtectionPlans/delete Excluir um plano de proteção contra DDoSDelete a DDoS protection plan
Microsoft.Network/ddosProtectionPlans/join/actionMicrosoft.Network/ddosProtectionPlans/join/action Participar de um plano de proteção DDoSJoin a DDoS protection plan

Para habilitar a proteção DDoS a uma rede virtual, sua conta deve também ser atribuída a ações apropriadas para redes virtuais.To enable DDoS protection for a virtual network, your account must also be assigned the appropriate actions for virtual networks.

Azure PolicyAzure Policy

Para clientes que têm várias assinaturas e que desejam garantir que um único plano para a proteção contra DDoS do Azure Standard esteja implantado em seu locatário para controle de custo, você pode usar Azure Policy para restringir a criação de planos padrão de proteção contra DDoS do Azure.For customers who have various subscriptions, and who want to ensure a single plan for Azure DDoS Protection Standard is deployed across their tenant for cost control, you can use Azure Policy to restrict creation of Azure DDoS Protection Standard plans. Essa política bloqueará a criação de qualquer plano de DDoS, a menos que a assinatura tenha sido marcada anteriormente como uma exceção.This policy will block the creation of any DDoS plans, unless the subscription has been previously marked as an exception. Essa política também mostrará uma lista de todas as assinaturas que têm um plano de DDoS implantado, mas não devem, marcá-las como fora de conformidade.This policy will also show a list of all subscriptions that have a DDoS plan deployed but should not, marking them as out of compliance.

Próximas etapasNext steps