Share via

Tutorial: Exibir e configurar a telemetria de proteção contra DDoS do Azure

  • Artigo

A Proteção contra DDoS do Azure oferece informações e visualizações detalhadas de padrões de ataque por meio da Análise de Ataques DDoS. Ele fornece aos clientes uma visibilidade abrangente do tráfego de ataques e ações de mitigação por meio de relatórios e logs de fluxo. Durante um ataque DDoS, métricas detalhadas estão disponíveis por meio do Azure Monitor, que também permite configurações de alerta com base nessas métricas.

Neste tutorial, irá aprender a:

  • Exibir a telemetria da Proteção contra DDoS do Azure
  • Exibir políticas de mitigação da Proteção contra DDoS do Azure
  • Validar e testar a telemetria da Proteção contra DDoS do Azure

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
  • Antes de concluir as etapas neste tutorial, você deve primeiro criar um ataque de simulação DDoS para gerar a telemetria. Os dados de telemetria são gravados durante um ataque. Para obter mais informações, consulte Testar proteção contra DDoS por meio de simulação.

Exibir a telemetria da Proteção contra DDoS do Azure

A telemetria de um ataque é disponibilizada através do Azure Monitor em tempo real. Enquanto os gatilhos de mitigação para TCP SYN, TCP & UDP estão disponíveis durante o tempo de paz, outra telemetria está disponível somente quando um endereço IP público está sob mitigação.

Você pode exibir a telemetria DDoS para um endereço IP público protegido por meio de três tipos de recursos diferentes: plano de proteção contra DDoS, rede virtual e endereço IP público.

O registo pode ser ainda mais integrado com o Microsoft Sentinel, o Splunk (Hubs de Eventos do Azure), o OMS Log Analytics e o Armazenamento do Azure para análise avançada através da interface do Azure Monitor Diagnostics.

Para obter mais informações sobre métricas, consulte Monitorando a Proteção contra DDoS do Azure para obter detalhes sobre os logs de monitoramento da Proteção contra DDoS.

Ver métricas do plano de proteção contra DDoS

  1. Entre no portal do Azure e selecione seu plano de proteção contra DDoS.
  2. No menu do portal do Azure, selecione ou pesquise e selecione planos de proteção contra DDoS e, em seguida, selecione seu plano de proteção contra DDoS.
  3. Em Monitorização, selecione Métricas.
  4. Selecione Adicionar métrica e, em seguida, selecione Escopo.
  5. No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
  6. Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
  7. Em Métrica, selecione Sob ataque DDoS ou não.
  8. Selecione o tipo de agregação como Max.

Captura de tela da criação do menu de métricas de proteção contra DDoS.

Ver métricas da rede virtual

  1. Entre no portal do Azure e navegue até sua rede virtual que tenha a proteção contra DDoS habilitada.
  2. Em Monitorização, selecione Métricas.
  3. Selecione Adicionar métrica e, em seguida, selecione Escopo.
  4. No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
  5. Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
  6. Em Métrica, selecione a métrica escolhida e, em Agregação , selecione o tipo como Máximo.

Nota

Para filtrar Endereços IP, selecione Adicionar filtro. Em Propriedade, selecione Endereço IP protegido e o operador deve ser definido como =. Em Valores, você verá uma lista suspensa de endereços IP públicos, associados à rede virtual, protegidos pela Proteção contra DDoS do Azure.

Captura de ecrã das definições de diagnóstico de DDoS.

Ver métricas do endereço IP público

  1. Entre no portal do Azure e navegue até seu endereço IP público.
  2. No menu do portal do Azure, selecione ou pesquise e selecione Endereços IP públicos e, em seguida, selecione seu endereço IP público.
  3. Em Monitorização, selecione Métricas.
  4. Selecione Adicionar métrica e, em seguida, selecione Escopo.
  5. No menu Selecione um escopo, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
  6. Selecione Endereço IP público para Tipo de recurso , selecione o endereço IP público específico para o qual deseja registrar métricas e selecione Aplicar.
  7. Em Métrica, selecione a métrica escolhida e, em Agregação , selecione o tipo como Máximo.

Nota

Ao alterar a proteção IP DDoS de habilitado para desativado, a telemetria para o recurso IP público não estará disponível.

Exibir políticas de mitigação de DDoS

A Proteção contra DDoS do Azure usa três políticas de mitigação ajustadas automaticamente (TCP, SYN, TCP e UDP) para cada endereço IP público do recurso que está sendo protegido. Isso se aplica a qualquer rede virtual com proteção contra DDoS habilitada.

Você pode ver os limites de política em suas métricas de endereço IP público escolhendo os pacotes SYN de entrada para acionar a mitigação de DDoS, os pacotes TCP de entrada para disparar a mitigação de DDoS e os pacotes UDP de entrada para disparar métricas de mitigação de DDoS. Certifique-se de definir o tipo de agregação como Max.

Captura de ecrã a mostrar a visualização de políticas de mitigação.

Ver telemetria de tráfego em tempo de paz

É importante ficar de olho nas métricas dos gatilhos de deteção TCP SYN, UDP e TCP. Essas métricas ajudam você a saber quando a proteção contra DDoS é iniciada. Certifique-se de que esses gatilhos reflitam os níveis normais de tráfego quando não houver ataque.

Você pode criar um gráfico para o recurso de endereço IP público. Neste gráfico, inclua as métricas Contagem de Pacotes e Contagem SYN. A contagem de pacotes inclui pacotes TCP e UDP. Isso mostra a soma do tráfego.

Captura de tela da visualização da telemetria em tempo de paz.

Nota

Para fazer uma comparação justa, você precisa converter os dados em pacotes por segundo. Você pode fazer isso dividindo o número que vê por 60, pois os dados representam o número de pacotes, bytes ou pacotes SYN coletados ao longo de 60 segundos. Por exemplo, se você tiver 91.000 pacotes coletados em 60 segundos, divida 91.000 por 60 para obter aproximadamente 1.500 pacotes por segundo (pps).

Validar e testar

Para simular um ataque DDoS para validar a telemetria de proteção contra DDoS, consulte Validar deteção de DDoS.

Próximos passos

Neste tutorial, ficou a saber como:

  • Configurar alertas para métricas de proteção contra DDoS
  • Exibir telemetria de proteção contra DDoS
  • Exibir políticas de mitigação de DDoS
  • Validar e testar a telemetria de proteção contra DDoS

Para saber como configurar relatórios de mitigação de ataques e logs de fluxo, continue para o próximo tutorial.

Ver e configurar o registo de diagnósticos do DDoS