Configuración de alertas de registros de diagnóstico de Azure DDoS Protection

  • Artículo

Las alertas de registro de diagnóstico de DDoS Protection proporcionan visibilidad de los ataques DDoS y las acciones de mitigación. Puede configurar alertas para todas las IP públicas protegidas contra DDoS en las que haya habilitado el registro de diagnóstico.

En este tutorial, aprenderá a:

  • Configuración de alertas de registro de diagnóstico mediante Azure Monitor y Logic Apps.

Requisitos previos

  • Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
  • DDoS Network Protection debe estar habilitada en una red virtual o la Protección de IP de DDoS debe estar habilitada en una dirección IP pública.
  • Para usar el registro de diagnóstico, primero debe crear un área de trabajo de Log Analytics con la configuración de diagnóstico habilitada.
  • DDoS Protection supervisa las direcciones IP públicas asignadas a los recursos en una red virtual. Si no tiene ningún recurso con direcciones IP públicas en la red virtual, primero debe crear un recurso con una dirección IP pública. Puede supervisar la dirección IP pública de todos los recursos implementados a través de Resource Manager (no clásico) que aparecen en Red virtual para servicios de Azure (incluidas las instancias de Azure Load Balancer donde las máquinas virtuales de back-end se encuentran en la red virtual), excepto para entornos de Azure App Service. Para continuar con esta guía, puede crear rápidamente una máquina virtual Windows o Linux.

Configuración de alertas de registro de diagnóstico mediante Azure Monitor

Con estas plantillas, podrá configurar alertas para todas las direcciones IP públicas en las que haya habilitado el registro de diagnóstico.

Creación de una regla de alertas de Azure Monitor

La plantilla de reglas de alertas de Azure Monitor ejecutará una consulta en los registros de diagnóstico para detectar cuándo se está produciendo una mitigación de DDoS activa. La alerta indica un posible ataque. Los grupos de acciones se pueden usar para invocar acciones como resultado de la alerta.

Implementación de la plantilla

  1. Seleccione Implementar en Azure para iniciar sesión en Azure y abrir la plantilla.

    Button to deploy the Resource Manager template to Azure.

  2. En la página Implementación personalizada, en Detalles del proyecto, ingrese la siguiente información.

    Screenshot of Azure Monitor alert rule template.

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione su grupo de recursos.
    Region Seleccione la región.
    Nombre del área de trabajo Escriba el nombre del área de trabajo. En este ejemplo, el nombre del área de trabajo es myLogAnalyticsWorkspace.
    Location Escriba Este de EE. UU.

    Nota:

    La ubicación debe coincidir con la ubicación del área de trabajo.

  3. Seleccione Revisar y crear y, a continuación, seleccione Crear una vez que se supere la validación.

Creación de una regla de alertas de registro de diagnóstico de Azure Monitor con Logic App

En esta plantilla de enriquecimiento de alertas de mitigación de DDoS se implementan los componentes necesarios de una alerta de mitigación de DDoS enriquecida: una regla de alerta, un grupo de acciones y un aplicación lógica de Azure Monitor. El resultado del proceso es una alerta por correo electrónico con detalles sobre la dirección IP víctima del ataque, incluida información sobre el recurso asociado a la dirección IP. El propietario del recurso se agrega como destinatario del correo electrónico, junto con el equipo de seguridad. También se realiza una prueba de disponibilidad de la aplicación básica y los resultados se incluyen en la alerta por correo electrónico.

Implementación de la plantilla

  1. Seleccione Implementar en Azure para iniciar sesión en Azure y abrir la plantilla.

    Button to deploy the Resource Manager template to Azure.

  2. En la página Implementación personalizada, en Detalles del proyecto, ingrese la siguiente información.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Configuración Valor
    Subscription Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione su grupo de recursos.
    Region Seleccione la región.
    Nombre de la alerta Deje el valor predeterminado.
    Correo electrónico del equipo de seguridad Ingrese la dirección de correo electrónico requerida.
    Dominio de empresa Ingrese el dominio necesario.
    Nombre del área de trabajo Escriba el nombre del área de trabajo. En este ejemplo, el nombre del área de trabajo es myLogAnalyticsWorkspace.

  3. Seleccione Revisar y crear y, a continuación, seleccione Crear una vez que se supere la validación.

Limpieza de recursos

Puede mantener los recursos para la guía siguiente. Si ya no es necesario, elimine las alertas.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Alertas. Seleccione Alertas en los resultados de la búsqueda.

    Screenshot of Alerts page.

  2. Seleccione Reglas de alerta y, luego, en la página Reglas de alerta, seleccione la suscripción.

    Screenshot of Alert rules page.

  3. Seleccione las alertas creadas en esta guía y, luego, seleccione Eliminar.

Pasos siguientes

En este tutorial, ha aprendido a configurar alertas de diagnóstico a través de Azure Portal.

Para probar DDoS Protection a través de simulaciones, continúe con la siguiente guía.

Prueba a través de simulacionesVer alertas en Microsoft Defender for Cloud