Sdílet prostřednictvím


Kurz: Zobrazení a konfigurace telemetrie ochrany před útoky Azure DDoS

V tomto kurzu se naučíte:

  • Zobrazení telemetrie služby Azure DDoS Protection
  • Zobrazení zásad zmírnění rizik služby Azure DDoS Protection
  • Ověření a testování telemetrie služby Azure DDoS Protection

Azure DDoS Protection nabízí podrobné přehledy a vizualizace vzorů útoků prostřednictvím analýzy útoků DDoS. Poskytuje zákazníkům komplexní přehled o útocích a akcích pro zmírnění rizik prostřednictvím sestav a protokolů toků. Během útoku DDoS jsou prostřednictvím služby Azure Monitor k dispozici podrobné metriky, které také umožňují konfigurace výstrah na základě těchto metrik.

Požadavky

Zobrazení telemetrie služby Azure DDoS Protection

Telemetrie k útokům je k dispozici prostřednictvím služby Azure Monitor v reálném čase. I když triggery zmírnění rizik pro TCP SYN jsou během doby klidu k dispozici, ostatní telemetrie jsou k dispozici pouze v případě, že došlo ke zmírnění rizik veřejné IP adresy.

Telemetrii DDoS pro chráněnou veřejnou IP adresu můžete zobrazit prostřednictvím tří různých typů prostředků: plánu ochrany před útoky DDoS, virtuální sítě a veřejné IP adresy.

Protokolování je možné dále integrovat se službou Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics a Azure Storage pro pokročilou analýzu prostřednictvím diagnostického rozhraní služby Azure Monitor.

Další informace o metrikách najdete v tématu Monitorování služby Azure DDoS Protection , kde najdete podrobnosti o protokolech monitorování DDoS Protection.

Zobrazení metrik z plánu ochrany před útoky DDoS

  1. Přihlaste se k webu Azure Portal a vyberte svůj plán ochrany před útoky DDoS.

  2. V nabídce webu Azure Portal vyberte nebo vyhledejte a vyberte plány ochrany před útoky DDoS a pak vyberte plán ochrany před útoky DDoS.

  3. V oblasti Monitorování vyberte Metriky.

  4. Vyberte Přidat metriku a pak vyberte Obor.

  5. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.

  6. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.

  7. Pro metriku vyberte v části Útok DDoS nebo ne.

  8. Vyberte typ Agregace jako Max.

    Snímek obrazovky s vytvářením nabídky metrik ochrany před útoky DDoS

Zobrazení metrik z virtuální sítě

  1. Přihlaste se k webu Azure Portal a přejděte do své virtuální sítě s povolenou ochranou před útoky DDoS.

  2. V oblasti Monitorování vyberte Metriky.

  3. Vyberte Přidat metriku a pak vyberte Obor.

  4. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.

  5. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.

  6. V části Metrika vyberte zvolenou metriku a pak v části Agregace vyberte typ jako Max.

    Snímek obrazovky s nastavením diagnostiky DDoS v Rámci Azure

Poznámka:

Pokud chcete filtrovat IP adresy, vyberte Přidat filtr. V části Vlastnost vyberte Chráněná IP adresa a operátor by měl být nastaven na =. V části Hodnoty se zobrazí rozevírací seznam veřejných IP adres přidružených k virtuální síti, které jsou chráněné službou Azure DDoS Protection.

Zobrazení metrik z veřejné IP adresy

  1. Přihlaste se k webu Azure Portal a přejděte na svou veřejnou IP adresu.
  2. V nabídce webu Azure Portal vyberte nebo vyhledejte veřejné IP adresy a pak vyberte vaši veřejnou IP adresu.
  3. V oblasti Monitorování vyberte Metriky.
  4. Vyberte Přidat metriku a pak vyberte Obor.
  5. V nabídce Vybrat obor vyberte předplatné , které obsahuje veřejnou IP adresu, kterou chcete protokolovat.
  6. Vyberte veřejnou IP adresu pro typ prostředku a pak vyberte konkrétní veřejnou IP adresu, pro kterou chcete protokolovat metriky, a pak vyberte Použít.
  7. V části Metrika vyberte zvolenou metriku a pak v části Agregace vyberte typ jako Max.

Poznámka:

Při změně ochrany IP adres před útoky DDoS z povolené na zakázáno nebude k dispozici telemetrie pro prostředek veřejné IP adresy.

Zobrazení zásad omezení rizik útoků DDoS

Azure DDoS Protection používá tři automaticky upravené zásady zmírnění rizik (TCP SYN, TCP a UDP) pro každou veřejnou IP adresu chráněného prostředku. To platí pro všechny virtuální sítě s povolenou ochranou před útoky DDoS.

Limity zásad v rámci metrik veřejné IP adresy můžete zobrazit tak, že zvolíte příchozí pakety SYN, které aktivují zmírnění rizik útoků DDoS, příchozí pakety TCP pro aktivaci zmírnění rizik útoků DDoS a příchozí pakety UDP pro aktivaci metrik omezení rizik útoků DDoS. Nezapomeňte nastavit typ agregace na Max.

Snímek obrazovky se zobrazením zásad pro zmírnění rizik

Zobrazení telemetrie provozu doby klidu

Je důležité sledovat metriky triggerů detekce TCP SYN, UDP a TCP. Tyto metriky vám pomůžou zjistit, kdy se spustí ochrana před útoky DDoS. Ujistěte se, že tyto triggery odrážejí normální úrovně provozu, když nedojde k žádnému útoku.

Můžete vytvořit graf pro prostředek veřejné IP adresy. V tomto grafu uveďte metriky Počet paketů a Počet synů. Počet paketů zahrnuje pakety TCP i UDP. Zobrazí se součet provozu.

Snímek obrazovky se zobrazením telemetrie doby klidu

Poznámka:

Abyste mohli provést spravedlivé porovnání, musíte data převést na pakety za sekundu. Můžete to udělat tak, že vydělíte číslo, které vidíte, číslem 60, protože data představují počet paketů, bajtů nebo paketů SYN shromážděných za 60 sekund. Pokud máte například 91 000 paketů shromážděných více než 60 sekund, vydělte 91 000 60, abyste získali přibližně 1 500 paketů za sekundu (pps).

Ověření a test

Pokud chcete simulovat útok DDoS za účelem ověření telemetrie ochrany před útoky DDoS, přečtěte si téma Ověření detekce DDoS.

Další kroky

V tomto kurzu jste se naučili, jak:

  • Konfigurace upozornění pro metriky ochrany před útoky DDoS
  • Zobrazení telemetrie ochrany před útoky DDoS
  • Zobrazení zásad omezení rizik útoků DDoS
  • Ověření a testování telemetrie ochrany před útoky DDoS

Pokud chcete zjistit, jak nakonfigurovat sestavy a protokoly toku pro zmírnění útoků, pokračujte dalším kurzem.