Tutorial: Anzeigen und Konfigurieren der Azure DDoS Protection-Diagnoseprotokollierung

Azure DDoS Protection liefert mit DDoS-Angriffsanalysen ausführliche Einblicke zu Angriffen und ermöglicht eine Visualisierung. Kunden, die ihre virtuellen Netzwerke vor DDoS-Angriffen schützen, verfügen dank der Berichte zur Angriffsentschärfung und der Protokolle zum Verlauf der Entschärfung über detaillierte Informationen zum Angriffsgeschehen & den zur Abwehr durchgeführten Aktionen. Über Azure Monitor werden umfangreiche Telemetriedaten bereitgestellt. Diese umfassen u. a. detaillierte Metriken während der Dauer eines DDoS-Angriffs. Warnungen können für beliebige durch den DDoS-Schutz verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.

Für Azure DDoS Protection sind die folgenden Diagnoseprotokolle verfügbar:

  • DDoSProtectionNotifications: Sie erhalten immer eine Benachrichtigung, wenn eine Ressource mit öffentlicher IP-Adresse angegriffen wird und wenn der Angriff entschärft wurde.
  • DDoSMitigationFlowLogs: Mit Datenflussprotokollen zur Entschärfung von Angriffen können Sie den verworfenen Datenverkehr, weitergeleiteten Datenverkehr und andere interessante Datenpunkte bei einem aktiven DDoS-Angriff nahezu in Echtzeit überprüfen. Sie können den konstanten Datenstrom dieser Daten in Microsoft Sentinel oder Ihren SIEM-Drittanbietersystemen per Event Hub erfassen, um eine Überwachung nahezu in Echtzeit zu ermöglichen, gegebenenfalls Aktionen durchzuführen und Ihre erforderlichen Abwehrmaßnahmen zu ermitteln.
  • DDoSMitigationReports: Für Berichte zur Entschärfung von Angriffen werden die NetFlow-Protokolldaten verwendet. Diese Daten werden aggregiert, um ausführliche Informationen zum Angriff auf Ihre Ressource zu liefern. Jedes Mal, wenn eine öffentliche IP-Ressource angegriffen wird, beginnt die Berichterstellung, sobald der Entschärfungsvorgang gestartet wurde. Alle fünf Minuten wird ein inkrementeller Bericht generiert, und für den gesamten Entschärfungszeitraum wird ein Abschlussbericht erstellt. So wird sichergestellt, dass Sie bei einem länger andauernden DDoS-Angriff die aktuellste Momentaufnahme des Berichts zur Entschärfung (alle fünf Minuten) und eine vollständige Zusammenfassung nach Abschluss der Entschärfung anzeigen können.
  • AllMetrics: Dieses Protokoll enthält alle Metriken, die während eines DDoS-Angriffs verfügbar sind.

In diesem Tutorial lernen Sie Folgendes:

  • Konfigurieren von Azure DDoS Protection-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
  • Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
  • Anzeigen von Protokolldaten in Arbeitsmappen

Voraussetzungen

  • Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
  • Um die Schritte in diesem Tutorial auszuführen, müssen Sie zunächst einen Azure DDoS Protection-Plan erstellen. In einem virtuellen Netzwerk muss DDoS-Netzwerkschutz aktiviert sein, oder für eine öffentliche IP-Adresse muss DDoS-IP-Schutz aktiviert sein.
  • DDoS überwacht öffentliche IP-Adressen, die Ressourcen in einem virtuellen Netzwerk zugewiesen sind. Wenn Sie keine Ressourcen mit öffentlichen IP-Adressen im virtuellen Netzwerk besitzen, müssen Sie zunächst eine Ressource mit einer öffentlichen IP-Adresse erstellen. Sie können die öffentliche IP-Adresse aller Ressourcen (einschließlich Azure Load Balancer-Instanzen, bei denen sich die virtuellen Back-End-Computer im virtuellen Netzwerk befinden) überwachen, die über Resource Manager (nicht klassisch) bereitgestellt werden und unter virtuelles Netzwerk für Azure-Dienste aufgeführt sind, mit Ausnahme der Ressourcen für Azure App Service-Umgebungen. Um mit diesem Tutorial fortzufahren, können Sie schnell einen virtuellen Windows- oder Linux-Computer erstellen.

Konfigurieren der Azure DDoS Protection-Diagnoseprotokolle

Wenn Sie die Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einer Umgebung automatisch aktivieren möchten, fahren Sie mit Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen fort.

  1. Wählen Sie oben im Portal auf der linken Seite Alle Dienste aus.

  2. Geben Sie Monitor in das Feld Filter ein. Wenn Monitor in den Ergebnissen angezeigt wird, wählen Sie diese Angabe aus.

  3. Klicken Sie unter Einstellungen auf Diagnoseeinstellungen.

  4. Wählen Sie das Abonnement und die Ressourcengruppe aus, die die öffentliche zu protokollierende IP-Adresse enthält.

  5. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse aus und dann die öffentliche IP-Adresse, für die Protokolle aktiviert werden sollen.

  6. Klicken Sie auf Diagnoseeinstellung hinzufügen. Wählen Sie unter Kategoriedetails unter den folgenden Optionen die von Ihnen benötigten aus, und klicken Sie dann auf Speichern.

    Screenshot: DDoS-Diagnoseeinstellungen

  7. Wählen Sie unter Zieldetails unter den folgenden Optionen die von Ihnen benötigten aus:

Abfragen von Azure DDOS Protection-Protokollen im Log Analytics-Arbeitsbereich

Weitere Informationen zu Protokollschemas finden Sie unter Überwachen von Azure DDoS Protection.

DDoSProtectionNotifications-Protokolle

  1. Wählen Sie im Blatt Log Analytics-Arbeitsbereich Ihren Log Analytics-Arbeitsbereich aus.

  2. Wählen Sie unter Allgemein die Option Protokolle aus.

  3. Geben Sie im Abfrage-Explorer die folgende Kusto-Abfrage ein, und ändern Sie den Zeitbereich in „Benutzerdefiniert“ und in die letzten drei Monate. Wählen Sie dann „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Ändern Sie zum Anzeigen von DDoSMitigationFlowLogs die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Ändern Sie zum Anzeigen von DDoSMitigationReports die Abfrage wie folgt, behalten Sie den gleichen Zeitbereich bei, und wählen Sie „Ausführen“ aus.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen

Diese integrierte Richtlinie aktiviert automatisch Diagnoseprotokollierung für alle öffentlichen IP-Protokolle in einem definierten Bereich. Eine vollständige Liste der integrierten Richtlinien finden Sie unter Integrierte Azure Policy-Definitionen für Azure DDoS Protection.

Anzeigen von Protokolldaten in Arbeitsmappen

Microsoft Sentinel-Datenconnector

Sie können Protokolle mit Microsoft Sentinel verbinden, Ihre Daten in Arbeitsmappen anzeigen und analysieren, benutzerdefinierte Warnungen erstellen und dies in Untersuchungsprozesse integrieren. Informationen zum Herstellen einer Verbindung mit Microsoft Sentinel finden Sie unter Verbinden mit Microsoft Sentinel.

Screenshot: Microsoft Sentinel-DDoS-Connector

Azure DDoS Protection-Arbeitsmappe

Zum Bereitstellen einer Arbeitsmappe zur Angriffsanalyse können Sie diese ARM-Vorlage (Azure Resource Manager) verwenden. Mit dieser Arbeitsmappe können Sie Angriffsdaten in mehreren filterbaren Panels visualisieren, um leicht nachzuvollziehen, was auf dem Spiel steht.

In Azure bereitstellen

Screenshot: Azure DDoS Protection-Arbeitsmappe

Überprüfen und Testen

Um einen DDoS-Angriff zum Überprüfen Ihrer Protokolle zu simulieren, lesen Sie die Informationen unter Testen mit Simulationspartnern.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Konfigurieren von Azure DDoS Protection-Diagnoseprotokollen, einschließlich Benachrichtigungen, Entschärfungsberichten und Entschärfungs-Datenflussprotokollen
  • Aktivieren der Diagnoseprotokollierung für alle öffentlichen IP-Adressen in einem definierten Bereich
  • Anzeigen von Protokolldaten in Arbeitsmappen

Informationen zur Konfiguration von Angriffswarnungen finden Sie im nächsten Tutorial.