Tutorial: Anzeigen und Konfigurieren von Azure DDoS Protection-Telemetriedaten

  • Artikel

Azure DDoS Protection liefert mit DDoS-Angriffsanalysen ausführliche Einblicke zu Angriffen und ermöglicht eine Visualisierung. Kunden, die ihre virtuellen Netzwerke vor DDoS-Angriffen schützen, verfügen über detaillierte Einblicke in den Datenverkehr von Angriffen und die Aktionen, die zur Eindämmung des Angriffs durchgeführt werden. Hierfür werden Berichte zur Angriffsentschärfung und Protokolle zum Verlauf der Entschärfung genutzt. Über Azure Monitor werden umfangreiche Telemetriedaten bereitgestellt. Diese umfassen u. a. detaillierte Metriken während der Dauer eines DDoS-Angriffs. Warnungen können für beliebige durch den DDoS-Schutz verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.

In diesem Tutorial lernen Sie Folgendes:

  • Anzeigen von Azure DDoS Protection-Telemetriedaten
  • Anzeigen von Azure DDoS Protection-Entschärfungsrichtlinien
  • Überprüfen und Testen von Azure DDoS Protection-Telemetriedaten

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Bevor Sie die Schritte in diesem Lernprogramm ausführen können, müssen Sie zuerst einen DDoS-Simulationsangriff erstellen, um die Telemetrie zu generieren. Telemetriedaten werden während eines Angriffs aufgezeichnet. Weitere Informationen finden Sie unter Test DDoS Protection through simulation.

Anzeigen von Azure DDoS Protection-Telemetriedaten

Die Telemetrie für einen Angriff wird in Echtzeit durch Azure Monitor bereitgestellt. Während Entschärfungstrigger für TCP SYN, TCP & UDP in Zeiten ohne Vorkommnisse verfügbar sind, sind andere Telemetriedaten nur verfügbar, wenn eine öffentliche IP-Adresse entschärft wurde.

Sie können DDoS-Telemetriedaten für eine geschützte öffentliche IP-Adresse über drei verschiedene Ressourcentypen anzeigen: DDoS-Schutzplan, virtuelles Netzwerk und öffentliche IP-Adresse.

Weitere Informationen zu Metriken finden Sie unter Überwachen von Azure DDoS Protection. Dort erhalten Sie auch Informationen zu DDoS Protection-Überwachungsprotokollen.

Anzeigen von Metriken aus dem DDoS-Schutzplan

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihren DDoS-Schutzplan aus.
  2. Wählen Sie im Menü des Azure-Portals die Option DDoS-Schutzpläne aus, oder suchen Sie danach, und wählen Sie dann Ihren DDoS-Schutzplan aus.
  3. Wählen Sie unter Überwachung die Option Metriken aus.
  4. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  7. Wählen Sie für Metrik die Option Unter DDoS-Angriff oder nicht aus.
  8. Wählen Sie als Typ der Aggregation die Option Max aus.

Screenshot of creating DDoS protection metrics menu.

Anzeigen von Metriken aus dem virtuellem Netzwerk

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem virtuellen Netzwerk, für das ein DDoS-Schutzplan aktiviert ist.
  2. Wählen Sie unter Überwachung die Option Metriken aus.
  3. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  4. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  5. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  6. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

Hinweis

Um IP-Adressen zu filtern, wählen Sie Filter hinzufügen aus. Wählen Sie unter Eigenschaft die Option Geschützte IP-Adresse aus. Der Operator sollte auf = festgelegt sein. Unter Werte wird eine Dropdownliste der dem virtuellen Netzwerk zugeordneten öffentlichen IP-Adressen angezeigt, die mit Azure DDoS Protection geschützt werden.

Screenshot of DDoS diagnostic settings.

Anzeigen von Metriken aus „Öffentliche IP-Adresse“

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer öffentlichen IP-Adresse.
  2. Wählen Sie im Menü des Azure-Portals die Option Öffentliche IP-Adressen aus, oder suchen Sie danach, und wählen Sie dann Ihre öffentliche IP-Adresse aus.
  3. Wählen Sie unter Überwachung die Option Metriken aus.
  4. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  7. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

Hinweis

Wenn Sie den DDoS-IP-Schutz von aktiviert in deaktiviert ändern, sind keine Telemetriedaten für die öffentliche IP-Ressource verfügbar.

Anzeigen von DDoS-Entschärfungsrichtlinien

Azure DDoS Protection wendet drei automatisch abgestimmte Entschärfungsrichtlinien (TCP SYN, TCP & UDP) für jede öffentliche IP-Adresse der geschützten Ressource im virtuellen Netzwerk an, in dem der DDoS-Schutz aktiviert ist. Sie können die Richtlinienschwellenwerte anzeigen, indem Sie die Metriken Eingehende TCP-Pakete zum Auslösen der DDoS-Entschärfung und Eingehende UDP-Pakete zum Auslösen der DDoS-Entschärfung mit dem Aggregationstyp als „Max“ auswählen, wie in der folgenden Abbildung gezeigt wird:

Screenshot of viewing mitigation policies.

Überprüfen und Testen

Informationen dazu, wie Sie zum Überprüfen der DDoS Protection-Telemetriedaten einen DDoS-Angriff simulieren, finden Sie unter Überprüfen der DDoS-Erkennung.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Konfigurieren von Warnungen für DDoS-Schutzmetriken
  • Anzeigen von DDoS Protection-Telemetriedaten
  • Anzeigen von DDoS-Entschärfungsrichtlinien
  • Überprüfen und Testen von DDoS Protection-Telemetriedaten

Weitere Informationen zur Konfiguration von Risikominderungsberichten und Datenflussprotokollen finden Sie im nächsten Tutorial.

Anzeigen und Konfigurieren der DDoS-Diagnoseprotokollierung