Tutorial: Anzeigen und Konfigurieren von Azure DDoS Protection-Telemetriedaten

Azure DDoS Protection liefert mit DDoS-Angriffsanalysen ausführliche Einblicke zu Angriffen und ermöglicht eine Visualisierung. Kunden, die ihre virtuellen Netzwerke vor DDoS-Angriffen schützen, verfügen dank der Berichte zur Angriffsentschärfung und der Protokolle zum Verlauf der Entschärfung über detaillierte Informationen zum Angriffsgeschehen & den zur Abwehr durchgeführten Aktionen. Über Azure Monitor werden umfangreiche Telemetriedaten bereitgestellt. Diese umfassen u. a. detaillierte Metriken während der Dauer eines DDoS-Angriffs. Warnungen können für beliebige durch den DDoS-Schutz verfügbar gemachte Azure Monitor-Metriken konfiguriert werden. Die Protokollierung kann zudem mit Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics und Azure Storage für die erweiterte Analyse über die Schnittstelle für die Azure Monitor-Diagnose integriert werden.

In diesem Tutorial lernen Sie Folgendes:

  • Anzeigen von Azure DDoS Protection-Telemetriedaten
  • Anzeigen von Azure DDoS Protection-Entschärfungsrichtlinien
  • Überprüfen und Testen von Azure DDoS Protection-Telemetriedaten

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Um die Schritte in diesem Tutorial auszuführen, müssen Sie zunächst einen Azure DDoS Protection-Plan erstellen. In einem virtuellen Netzwerk muss DDoS-Netzwerkschutz aktiviert sein, oder für eine öffentliche IP-Adresse muss DDoS-IP-Schutz aktiviert sein.
  • DDoS überwacht öffentliche IP-Adressen, die Ressourcen in einem virtuellen Netzwerk zugewiesen sind. Wenn Sie keine Ressourcen mit öffentlichen IP-Adressen im virtuellen Netzwerk besitzen, müssen Sie zunächst eine Ressource mit einer öffentlichen IP-Adresse erstellen. Sie können die öffentliche IP-Adresse aller Ressourcen (einschließlich Azure Load Balancer-Instanzen, bei denen sich die virtuellen Back-End-Computer im virtuellen Netzwerk befinden) überwachen, die über Resource Manager (nicht klassisch) bereitgestellt werden und unter virtuelles Netzwerk für Azure-Dienste aufgeführt sind, mit Ausnahme der Ressourcen für Azure App Service-Umgebungen. Um mit diesem Tutorial fortzufahren, können Sie schnell einen virtuellen Windows- oder Linux-Computer erstellen.

Anzeigen von Azure DDoS Protection-Telemetriedaten

Die Telemetrie für einen Angriff wird in Echtzeit durch Azure Monitor bereitgestellt. Während Entschärfungstrigger für TCP SYN, TCP & UDP in Zeiten ohne Vorkommnisse verfügbar sind, sind andere Telemetriedaten nur verfügbar, wenn eine öffentliche IP-Adresse entschärft wurde.

Sie können DDoS-Telemetriedaten für eine geschützte öffentliche IP-Adresse über drei verschiedene Ressourcentypen anzeigen: DDoS-Schutzplan, virtuelles Netzwerk und öffentliche IP-Adresse.

Weitere Informationen zu Metriken finden Sie unter Überwachen von Azure DDoS Protection. Dort erhalten Sie auch Informationen zu DDoS Protection-Überwachungsprotokollen.

Anzeigen von Metriken aus dem DDoS-Schutzplan

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihren DDoS-Schutzplan aus.
  2. Wählen Sie im Menü des Azure-Portals die Option DDoS-Schutzpläne aus, oder suchen Sie danach, und wählen Sie dann Ihren DDoS-Schutzplan aus.
  3. Wählen Sie unter Überwachung die Option Metriken aus.
  4. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  7. Wählen Sie für Metrik die Option Unter DDoS-Angriff oder nicht aus.
  8. Wählen Sie als Typ der Aggregation die Option Max aus.

Screenshot: Erstellen von DDoS-Schutz, Menü „Metriken“.

Anzeigen von Metriken aus dem virtuellem Netzwerk

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem virtuellen Netzwerk, für das ein DDoS-Schutzplan aktiviert ist.
  2. Wählen Sie unter Überwachung die Option Metriken aus.
  3. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  4. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  5. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  6. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

Hinweis

Um IP-Adressen zu filtern, wählen Sie Filter hinzufügen aus. Wählen Sie unter Eigenschaft die Option Geschützte IP-Adresse aus. Der Operator sollte auf = festgelegt sein. Unter Werte wird eine Dropdownliste der dem virtuellen Netzwerk zugeordneten öffentlichen IP-Adressen angezeigt, die mit Azure DDoS Protection geschützt werden.

Screenshot: DDoS-Diagnoseeinstellungen

Anzeigen von Metriken aus „Öffentliche IP-Adresse“

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrer öffentlichen IP-Adresse.
  2. Wählen Sie im Menü des Azure-Portals die Option Öffentliche IP-Adressen aus, oder suchen Sie danach, und wählen Sie dann Ihre öffentliche IP-Adresse aus.
  3. Wählen Sie unter Überwachung die Option Metriken aus.
  4. Wählen Sie Metrik hinzufügen und dann Bereich aus.
  5. Wählen Sie im Menü „Bereich auswählen“ das Abonnement aus, in dem die öffentliche IP-Adresse enthalten ist, die Sie protokollieren möchten.
  6. Wählen Sie unter Ressourcentyp die Option Öffentliche IP-Adresse und dann die jeweilige öffentliche IP-Adresse aus, für die Metriken protokolliert werden sollen. Wählen Sie anschließend Übernehmen aus.
  7. Wählen Sie unter Metrik die gewünschte Metrik und dann unter Aggregation den Typ Max aus.

Hinweis

Wenn Sie den DDoS-IP-Schutz von aktiviert in deaktiviert ändern, sind keine Telemetriedaten für die öffentliche IP-Ressource verfügbar.

Anzeigen von DDoS-Entschärfungsrichtlinien

Azure DDoS Protection wendet drei automatisch optimierte Entschärfungsrichtlinien (TCP-SYN, TCP und UDP) auf jede öffentliche IP-Adresse der geschützten Ressource in dem virtuellen Netzwerk an, für das der DDoS-Schutz aktiviert ist. Sie können die Richtlinienschwellenwerte anzeigen, indem Sie die Metriken Eingehende TCP-Pakete zum Auslösen der DDoS-Entschärfung und Eingehende UDP-Pakete zum Auslösen der DDoS-Entschärfung mit dem Aggregationstyp als „Max“ auswählen, wie in der folgenden Abbildung gezeigt wird:

Screenshot: Anzeigen der Risikominderungsrichtlinien.

Überprüfen und Testen

Informationen dazu, wie Sie zum Überprüfen der DDoS Protection-Telemetriedaten einen DDoS-Angriff simulieren, finden Sie unter Überprüfen der DDoS-Erkennung.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

  • Konfigurieren von Warnungen für DDoS-Schutzmetriken
  • Anzeigen von DDoS Protection-Telemetriedaten
  • Anzeigen von DDoS-Entschärfungsrichtlinien
  • Überprüfen und Testen von DDoS Protection-Telemetriedaten

Weitere Informationen zur Konfiguration von Risikominderungsberichten und Datenflussprotokollen finden Sie im nächsten Tutorial.