Självstudie: Visa och konfigurera Telemetri för Azure DDoS-skydd

Azure DDoS Protection erbjuder djupgående insikter och visualiseringar av attackmönster via DDoS Attack Analytics. Det ger kunderna omfattande insyn i angreppstrafik och åtgärdsåtgärder via rapporter och flödesloggar. Under en DDoS-attack är detaljerade mått tillgängliga via Azure Monitor, vilket också tillåter aviseringskonfigurationer baserat på dessa mått.

I den här självstudien får du lära dig att:

• Visa Telemetri för Azure DDoS Protection
• Visa policyer för Azure DDoS Protection-åtgärder
• Validera och testa Telemetri för Azure DDoS Protection

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Förutsättningar

• Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
• Innan du kan slutföra stegen i den här självstudien måste du först skapa en DDoS-simuleringsattack för att generera telemetrin. Telemetridata registreras under en attack. Mer information finns i Testa DDoS Protection via simulering.

Visa Telemetri för Azure DDoS Protection

Telemetri för ett angrepp tillhandahålls i realtid via Azure Monitor. Även om åtgärdsutlösare för TCP SYN, TCP och UDP är tillgängliga under fredstid, är annan telemetri endast tillgänglig när en offentlig IP-adress har åtgärdats.

Du kan visa DDoS-telemetri för en skyddad offentlig IP-adress via tre olika resurstyper: DDoS-skyddsplan, virtuellt nätverk och offentlig IP-adress.

Loggning kan integreras ytterligare med Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.

Mer information om mått finns i Övervaka Azure DDoS Protection för mer information om DDoS Protection-övervakningsloggar.

Visa mått från DDoS-skyddsplan

1. Logga in på Azure-portalen och välj din DDoS-skyddsplan.
2. På Menyn i Azure-portalen väljer eller söker du efter och väljer DDoS-skyddsplaner och väljer sedan din DDoS-skyddsplan.
3. Gå till Övervakning och välj Mått.
4. Välj Lägg till mått och välj sedan Omfång.
5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
7. För Mått väljer du Under DDoS-attack eller inte.
8. Välj aggregeringstypen som Max.

Visa mått från Virtual Network

1. Logga in på Azure-portalen och bläddra till det virtuella nätverk som har DDoS-skydd aktiverat.
2. Gå till Övervakning och välj Mått.
3. Välj Lägg till mått och välj sedan Omfång.
4. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
5. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
6. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

Kommentar

Om du vill filtrera IP-adresser väljer du Lägg till filter. Under Egenskap väljer du Skyddad IP-adress och operatorn ska vara inställd på =. Under Värden visas en listruta med offentliga IP-adresser som är associerade med det virtuella nätverket och som skyddas av Azure DDoS Protection.

Visa mått från offentlig IP-adress

1. Logga in på Azure-portalen och bläddra till din offentliga IP-adress.
2. På Menyn i Azure-portalen väljer eller söker du efter och väljer Offentliga IP-adresser och väljer sedan din offentliga IP-adress.
3. Gå till Övervakning och välj Mått.
4. Välj Lägg till mått och välj sedan Omfång.
5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
7. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

Kommentar

När du ändrar DDoS IP-skydd från aktiverat till inaktiverat blir telemetri för den offentliga IP-resursen inte tillgänglig.

Visa DDoS-åtgärdsprinciper

Azure DDoS Protection använder tre automatiskt justerade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för resursen som skyddas. Detta gäller för alla virtuella nätverk med DDoS-skydd aktiverat.

Du kan se principgränserna i dina offentliga IP-adressmått genom att välja inkommande SYN-paket för att utlösa DDoS-begränsning, inkommande TCP-paket för att utlösa DDoS-åtgärd och inkommande UDP-paket för att utlösa DDoS-åtgärdsmått . Se till att ange aggregeringstypen till Max.

Visa telemetri för fredstidstrafik

Det är viktigt att hålla ett öga på måtten för TCP SYN-, UDP- och TCP-identifieringsutlösare. Dessa mått hjälper dig att veta när DDoS-skyddet startar. Se till att dessa utlösare återspeglar de normala trafiknivåerna när det inte sker någon attack.

Du kan skapa ett diagram för den offentliga IP-adressresursen. I det här diagrammet inkluderar du måtten Antal paket och SYN-antal. Antalet paket innehåller både TCP- och UDP-paket. Här visas summan av trafiken.

Kommentar

För att göra en rättvis jämförelse måste du konvertera data till paket per sekund. Du kan göra detta genom att dividera antalet du ser med 60, eftersom data representerar antalet paket, byte eller SYN-paket som samlats in under 60 sekunder. Om du till exempel har 91 000 paket insamlade under 60 sekunder delar du upp 91 000 med 60 för att få cirka 1 500 paket per sekund (pps).

Validera och testa

Information om hur du simulerar en DDoS-attack för att verifiera DDoS-skyddstelemetri finns i Verifiera DDoS-identifiering.

Nästa steg

I den här självstudiekursen lärde du dig att:

• Konfigurera aviseringar för DDoS-skyddsmått
• Visa telemetri för DDoS-skydd
• Visa DDoS-åtgärdsprinciper
• Validera och testa telemetri för DDoS-skydd

Om du vill lära dig hur du konfigurerar rapporter om attackreducering och flödesloggar fortsätter du till nästa självstudie.

Visa och konfigurera diagnostisk loggning för DDoS-skydd