DDoS konuma uyarılarını görüntüleme ve yapılandırma

Azure DDoS koruması standardı, DDoS saldırı analiziyle ayrıntılı saldırı öngörüleri ve görselleştirmeleri sağlar. Sanal ağlarını DDoS saldırılarına karşı koruyan müşteriler, saldırı saldırılarına karşı saldırı ve risk azaltma & raporları aracılığıyla saldırının etkilerini azaltmak için gerçekleştirilen saldırı ve eylemler hakkında ayrıntılı görünürlük sağlar. Zengin telemetri, DDoS saldırısının süresi boyunca ayrıntılı ölçümler dahil olmak üzere Azure Izleyici aracılığıyla sunulur. DDos Koruması tarafından sunulan tüm Azure İzleyici ölçümleri için uyarı yapılandırılabilir. Günlüğe kaydetme, Azure Izleme tanılama arabirimi aracılığıyla Azure Sentinel, splunk (Azure Event Hubs), OMS Log Analytics ve gelişmiş analiz Için Azure depolama ile daha da tümleştirilebilir.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Azure İzleyici aracılığıyla yapılandırma
  • Portal aracılığıyla uyarıları yapılandırma
  • Azure Güvenlik Merkezi'nde uyarıları görüntüleme
  • Uyarılarınızı doğrulama ve test etme

Ön koşullar

  • Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
  • Bu öğreticideki adımları tamamlayabilmeniz için önce bir Azure DDoS standart koruma planı oluşturmanız ve DDoS koruma standardının bir sanal ağ üzerinde etkinleştirilmesi gerekir.
  • DDoS, bir sanal ağ içindeki kaynaklara atanan genel IP adreslerini izler. Sanal ağda genel IP adresi olan hiç kaynağınız yoksa önce genel IP adresiyle bir kaynak oluşturmanız gerekir. Azure App Service ortamları dışında, Azure hizmetleri Için sanal ağda (arka uç sanal makinelerin sanal ağda bulunduğu Azure yük dengeleyiciler dahil) (klasik değil), Kaynak Yöneticisi aracılığıyla dağıtılan tüm KAYNAKLARıN genel IP adresini izleyebilirsiniz. Bu öğreticiye devam etmek için hızlı bir şekilde Windows veya Linux sanal makinesi oluşturabilirsiniz.

Azure İzleyici aracılığıyla yapılandırma

Bu şablonlar sayesinde, tanılama oturum açmayı etkinleştirdiğiniz tüm genel IP adresleri için uyarıları yapılandıracaksınız. Bu nedenle, bu uyarı şablonlarını kullanabilmeniz için önce Tanılama ayarları etkin olan bir Log Analytics çalışma alanına ihtiyacınız olacaktır. Bkz. DDoS tanılama günlüğünü görüntüleme ve yapılandırma.

Azure Izleyici uyarı kuralı

Bu Azure izleyici uyarı kuralı , etkin bir DDoS risk azaltma ne zaman meydana geldiğini algılamak için basit bir sorgu çalıştırır. Bu, olası bir saldırı olduğunu gösterir. Eylem grupları, uyarının sonucu olarak eylemleri çağırmak için kullanılabilir.

Azure’a dağıtın

Mantıksal uygulama ile Azure Izleyici uyarı kuralı

Bu şablon , zenginleştirilmiş bir DDoS azaltma uyarısının gerekli bileşenlerini dağıtır: Azure izleyici uyarı kuralı, eylem grubu ve mantıksal uygulama. İşlemin sonucu, IP adresi hakkında, IP ile ilişkili kaynakla ilgili bilgiler dahil olmak üzere, saldırı kapsamındaki IP adresiyle ilgili ayrıntıların bulunduğu bir e-posta uyarısıdır. Kaynağın sahibi, güvenlik ekibi ile birlikte e-postanın bir alıcısı olarak eklenir. Temel bir uygulama kullanılabilirlik testi de gerçekleştirilir ve sonuçlar e-posta uyarısına eklenir.

Azure’a dağıtın

Portal aracılığıyla uyarıları yapılandırma

Azure Izleyici uyarı yapılandırması kullanılarak saldırı sırasında etkin bir risk azaltma olduğunda sizi uyarmak için kullanılabilir DDoS koruma ölçümlerinden herhangi birini seçebilirsiniz.

  1. Azure Portal oturum açın ve DDoS koruma planınıza gidin.

  2. İzleme seçeneğinin altından Ölçümler’i seçin.

  3. Gri gezinti çubuğunda Yeni uyarı kuralı' nı seçin.

  4. Kendi değerlerinizi girin veya seçin veya aşağıdaki örnek değerleri girin, kalan Varsayılanları kabul edin ve ardından Uyarı kuralı oluştur' u seçin:

    Ayar Değer
    Kapsam Kaynak seç seçeneğini belirleyin.
    Günlüğe kaydetmek istediğiniz genel IP adresini içeren aboneliği seçin, kaynak türü için genel IP adresi ' ni seçin ve ardından ÖLÇÜMLERINI günlüğe kaydetmek istediğiniz belirli genel IP adresini seçin.
    Bitti seçeneğini belirleyin.
    Koşul Koşul Seç' i seçin.
    Sinyal adı altında, DDoS saldırısı altında öğesini seçin.
    İşleç altında, büyüktür veya eşittir' i seçin.
    Toplama türü altında en fazla' yı seçin.
    Eşik değeri altında 1 girin. For DDoS saldırısı veya ölçüm değil için 0 , saldırı altında değil, saldırı altında olduğunuz anlamına gelir .
    Bitti seçeneğini belirleyin.
    Eylemler Eylem grubu Ekle' yi seçin.
    Eylem grubu oluştur'u seçin.
    Bildirimler' in altında, bildirim türü altında e-posta/SMS ileti/gönderim/ses' i seçin
    Ad' ın altında, Myundersaldırıda Kemailalert' i girin.
    Düzenle düğmesine tıklayın, ardından e-posta ' i seçin ve aşağıdaki seçeneklerden birçoğu gerekir ve ardından Tamam' ı seçin.
    Gözden geçir ve oluştur’u seçin.
    Uyarı kuralı ayrıntıları Uyarı kuralı adı altında, Myddosalert yazın.

Birkaç dakikalık saldırı algılamasında, Azure Izleyici ölçümlerinden aşağıdaki resme benzer bir e-posta almalısınız:

Saldırı Uyarısı

Ayrıca, uyarı oluşturmak için Web kancaları ve Logic Apps yapılandırma hakkında daha fazla bilgi edinebilirsiniz.

Azure Güvenlik Merkezi'nde uyarıları görüntüleme

Azure Güvenlik Merkezi, sorunları araştırmaya ve düzeltmeye yardımcı olacak bilgiler içeren güvenlik uyarılarınınbir listesini sağlar. Bu özellikle, DDoS saldırılarıyla ilgili uyarılar ve saldırıyı neredeyse güncel olarak azaltmak için gerçekleştirilecek eylemler dahil olmak üzere uyarıların birleştirilmiş bir görünümünü alırsınız. Tüm DDoS saldırıları algılama ve risk azaltma için göreceğiniz iki özel uyarı vardır:

  • Genel IP Için DDoS saldırısı algılandı: Bu uyarı, DDoS Koruması hizmeti, genel IP adreslerinizin bir DDoS saldırısının hedefi olduğunu algıladığında üretilir.
  • Genel IP Için DDoS saldırısı azaltılmıştır: Bu uyarı, genel IP adresindeki bir saldırı azaltıldığında oluşturulur. Uyarıları görüntülemek için Azure portal Güvenlik Merkezi 'ni açın. Tehdit koruması altında güvenlik uyarıları' nı seçin. Aşağıdaki ekran görüntüsünde, DDoS saldırı uyarılarının bir örneği gösterilmektedir.

Azure Güvenlik Merkezi 'nde DDoS uyarısı

Uyarılar, saldırı altında genel IP adresi, coğrafi ve tehdit bilgileri ve düzeltmeler adımları hakkında genel bilgiler içerir.

Doğrula ve test et

Uyarıları doğrulamak için DDoS saldırısının benzetimini yapmak için bkz. DDoS algılamayı doğrulama.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Azure İzleyici aracılığıyla yapılandırma
  • Portal aracılığıyla uyarıları yapılandırma
  • Azure Güvenlik Merkezi'nde uyarıları görüntüleme
  • Uyarılarınızı doğrulama ve test etme

DDoS saldırısını test etme ve benzetimini yapma hakkında bilgi edinmek için bkz. simülasyon test Kılavuzu: