Tutoriel : Afficher et configurer la télémétrie d’Azure DDoS Protection

Azure DDoS Protection fournit une visualisation et des insights détaillés sur les attaques avec l’analyse des attaques DDoS. Les clients qui protègent leurs réseaux virtuels contre les attaques DDoS ont une visibilité détaillée du trafic des attaques et des mesures prises pour leur prévention par le biais de rapports de prévention des attaques et de journaux de flux de prévention des attaques. La télémétrie enrichie est exposée via Azure Monitor et inclut des métriques détaillées pendant la durée d’une attaque DDoS. La génération d’alertes peut être configurée pour l’une des métriques Azure Monitor exposées par DDoS Protection. La journalisation peut également être intégrée à Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics et Stockage Azure pour l’analyse avancée par le biais de l’interface de diagnostic d’Azure Monitor.

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Consulter les données de télémétrie d’Azure DDoS Protection
  • Consulter les stratégies d’atténuation d’Azure DDoS Protection
  • Valider et tester la télémétrie d’Azure DDoS Protection

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Prérequis

  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
  • Avant d’exécuter la procédure indiquée dans ce tutoriel, vous devez créer une simulation d’attaque DDoS pour générer les données de télémétrie. Les données de télémétrie sont enregistrées lors d’une attaque. Pour en savoir plus, consultez Tester DDoS Protection via des simulations.

Consulter les données de télémétrie d’Azure DDoS Protection

Les données de télémétrie pour une attaque sont fournies par le biais d’Azure Monitor en temps réel. Bien que les déclencheurs d'atténuation pour TCP SYN, TCP & UDP soient disponibles pendant les périodes de repos, d’autres données de télémétrie sont uniquement disponibles quand une adresse IP publique a été atténuée.

Vous pouvez afficher les données de télémétrie DDoS pour une adresse IP publique protégée par le biais de trois types de ressources différents : le plan de protection DDoS, le réseau virtuel et l’adresse IP publique.

Pour plus d’informations sur les métriques, consultez Monitoring d’Azure DDoS Protection afin d’obtenir plus d’informations sur les journaux de monitoring de DDoS Protection.

Afficher les métriques du plan de protection DDoS

  1. Connectez-vous au portail Azure et sélectionnez votre plan de protection DDoS.
  2. Dans le menu du portail Azure, sélectionnez ou recherchez et sélectionnez Plans de protection DDoS, puis sélectionnez votre plan de protection DDoS.
  3. Sous Supervision, sélectionnez Métriques.
  4. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.
  5. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.
  6. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.
  7. Pour Métrique, sélectionnez Sous attaque DDoS ou non.
  8. Définissez le type d’agrégation sur Max.

Screenshot of creating DDoS protection metrics menu.

Afficher les métriques du réseau virtuel

  1. Connectez-vous au portail Azure et accédez au réseau virtulel sur lequel est activé votre plan de protection DDoS.
  2. Sous Supervision, sélectionnez Métriques.
  3. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.
  4. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.
  5. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.
  6. Sous Métrique, sélectionnez la métrique choisie, puis sous Agrégation, sélectionnez le type Max.

Notes

Pour filtrer les adresses IP, sélectionnez Ajouter un filtre. Sous Propriété, sélectionnez Adresse IP protégée, et l’opérateur doit être défini sur =. Sous Valeurs, vous voyez une liste déroulante d’IP publiques, associées au réseau virtuel, qui sont protégées par Azure DDoS Protection.

Screenshot of DDoS diagnostic settings.

Afficher les métriques de l’adresse IP publique

  1. Connectez-vous au portail Azure et accédez à votre adresse IP publique.
  2. Dans le menu du portail Azure, sélectionnez ou recherchez et sélectionnez Adresses IP publiques, puis sélectionnez votre adresse IP publique.
  3. Sous Supervision, sélectionnez Métriques.
  4. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.
  5. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.
  6. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.
  7. Sous Métrique, sélectionnez la métrique choisie, puis sous Agrégation, sélectionnez le type Max.

Notes

Lors du passage de la protection IP DDoS d’activée à désactivée, les données de télémétrie pour la ressource IP publique ne seront pas disponibles.

Voir les stratégies d’atténuation des risques liés à DDoS

Azure DDoS Protection applique trois stratégies d’atténuation paramétrées automatiquement (TCP SYN, TCP &UDP) pour chaque adresse IP publique de la ressource protégée, dans le réseau virtuel sur lequel la protection DDoS est activée. Vous pouvez voir les seuils de stratégie en sélectionnant les métriques Paquets TCP entrants pour déclencher l’atténuation des risques liés à DDoS et Paquets UDP entrants pour déclencher l’atténuation des risques liés à DDoS avec le type d’agrégation défini sur « Max », comme indiqué dans l’image suivante :

Screenshot of viewing mitigation policies.

Valider et tester

Pour simuler une attaque DDoS afin de valider la télémétrie de la protection DDoS, consultez validation de la détection DDoS.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Configurer des alertes pour les métriques du service de protection DDoS
  • Afficher la télémétrie de la protection DDoS
  • Voir les stratégies d’atténuation des risques liés à DDoS
  • Valider et tester la télémétrie de la protection DDoS

Pour savoir comment configurer les rapports de prévention des attaques et les journaux de flux, passez au tutoriel suivant.