Esercitazione: visualizzare i log di Protezione DDoS di Azure nell'area di lavoro Log Analytics
In questa esercitazione apprenderai a:
- Visualizzare i log di diagnostica di Protezione DDoS di Azure, tra cui notifiche, report di mitigazione e log dei flussi di mitigazione.
I log di diagnostica di Protezione DDoS consentono di visualizzare le notifiche di Protezione DDoS, i report di mitigazione e i log dei flussi di mitigazione dopo un attacco DDoS. È possibile visualizzare questi log nell'area di lavoro Log Analytics.
I report sulla mitigazione degli attacchi usano i dati del protocollo Netflow che vengono aggregati per fornire informazioni dettagliate sull'attacco alla risorsa. Ogni volta che una risorsa IP pubblica è sotto attacco, si avvia la generazione di report contestualmente alla mitigazione. Verranno generati un report incrementale ogni 5 minuti e un report post-mitigazione per l'intero periodo della mitigazione. Lo scopo è quello di garantire che, in caso di attacco DDoS per un periodo di tempo prolungato, sia possibile visualizzare lo snapshot più recente del report sulla mitigazione ogni 5 minuti, e un riepilogo completo al termine della mitigazione dell'attacco.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
- La protezione di rete DDoS deve essere abilitata in una rete virtuale oppure una Protezione IP DDoS deve essere abilitata in un indirizzo IP pubblico.
- Configurare i log di diagnostica di Protezione DDoS. Per altre informazioni, vedere Configurare i log di diagnostica.
- Simulare un attacco usando uno dei partner di simulazione. Per altre informazioni, vedere Testare con i partner di simulazione.
Visualizzare nell'area di lavoro Log Analytics
Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale, immettere area di lavoro Log Analytics. Selezionare Area di lavoro Log Analytics nei risultati della ricerca.
Nel pannello Aree di lavoro Log Analytics selezionare l'area di lavoro.
Nella scheda a sinistra selezionare Log. Qui viene visualizzato il query esploratore. Uscire dal pannello Query per usare la pagina Log.
Nella pagina Log, digitare la query e quindi premere Esegui per visualizzare i risultati.
Eseguire query sui log di Protezione DDoS di Azure nell'area di lavoro Log Analytics
Per maggiori informazioni sugli schemi di log, vedere Visualizzare i log di diagnostica.
Log DDoSProtectionNotifications
Nel pannello Aree di lavoro Log Analytics selezionare l'area di lavoro Log Analytics.
Nel riquadro sinistro, selezionare Log.
In query Esploratore, digitare la query Kusto seguente e modificare l'intervallo di tempo in Personalizzato e modificare l'intervallo di tempo agli ultimi tre mesi. Quindi premere Esegui.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"Per visualizzare DDoSMitigationFlowLogs, modificare la query nel modo seguente, mantenere lo stesso intervallo di tempo e premere Esegui.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"Per visualizzare DDoSMitigationReports, modificare la query nel modo seguente, mantenere lo stesso intervallo di tempo e premere Esegui.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Query di log di esempio
Notifiche di Protezione DDoS
Si riceverà una notifica ogni volta che una risorsa IP pubblica è sotto attacco e quando la mitigazione degli attacchi è finita.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
La tabella seguente elenca i nomi dei campi e le descrizioni:
| Nome del campo | Descrizione |
|---|---|
| TimeGenerated | La data e l’ora in cui è stata creata la notifica, in formato UTC. |
| ResourceId | ID risorsa dell'indirizzo IP pubblico. |
| Categoria | Per le notifiche, sarà DDoSProtectionNotifications. |
| ResourceGroup | Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale. |
| SubscriptionId | ID sottoscrizione del piano di protezione DDoS. |
| Conto risorse | Nome dell'indirizzo IP pubblico. |
| ResourceType | Sarà sempre PUBLICIPADDRESS. |
| OperationName | Per le notifiche, questo corrisponde a DDoSProtectionNotifications. |
| Messaggio | Dettagli dell'attacco. |
| Type | Tipo di notifica. I valori possibili includono MitigationStarted. MitigationStopped. |
| PublicIpAddress | Indirizzo IP pubblico. |
DDoS Mitigation FlowLogs
I log del flusso di mitigazione degli attacchi consentono di esaminare il traffico eliminato, il traffico inoltrato e punti dati interessanti durante un attacco DDoS attivo quasi in tempo reale. È possibile inserire il flusso costante di questi dati in Microsoft Sentinel o nei sistemi SIEM di terze parti tramite l'hub eventi per il monitoraggio quasi in tempo reale, eseguire potenziali azioni e soddisfare l'esigenza di operazioni di difesa.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
La tabella seguente elenca i nomi dei campi e le descrizioni:
| Nome del campo | Descrizione |
|---|---|
| TimeGenerated | La data e l’ora in cui è stata creata il log del flusso, in formato UTC. |
| ResourceId | ID risorsa dell'indirizzo IP pubblico. |
| Categoria | Per i log dei flussi, questo corrisponde a DDoSMitigationFlowLogs. |
| ResourceGroup | Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale. |
| SubscriptionId | ID sottoscrizione del piano di protezione DDoS. |
| Conto risorse | Nome dell'indirizzo IP pubblico. |
| ResourceType | Sarà sempre PUBLICIPADDRESS. |
| OperationName | Per i log dei flussi, questo corrisponde a DDoSMitigationFlowLogs. |
| Messaggio | Dettagli dell'attacco. |
| SourcePublicIpAddress | Indirizzo IP pubblico del client che genera traffico verso l'indirizzo IP pubblico. |
| SourcePort | Numero di porta compreso tra 0 e 65535. |
| DestPublicIpAddress | Indirizzo IP pubblico. |
| DestPort | Numero di porta compreso tra 0 e 65535. |
| Protocollo | Tipo di protocollo. I valori possibili sono tcp, udp, other. |
Report di mitigazione DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
La tabella seguente elenca i nomi dei campi e le descrizioni:
| Nome del campo | Descrizione |
|---|---|
| TimeGenerated | La data e l’ora in cui è stata creata la notifica, in formato UTC. |
| ResourceId | ID risorsa dell'indirizzo IP pubblico. |
| Categoria | Per i report di mitigazione, questo corrisponde a DDoSMitigationReports. |
| ResourceGroup | Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale. |
| SubscriptionId | ID sottoscrizione del piano di protezione DDoS. |
| Conto risorse | Nome dell'indirizzo IP pubblico. |
| ResourceType | Sarà sempre PUBLICIPADDRESS. |
| OperationName | Per i report di mitigazione, questo corrisponde a DDoSMitigationReports. |
| ReportType | I valori possibili sono Incremental e PostMitigation. |
| MitigationPeriodStart | La data e l’ora in cui è iniziata la mitigazione, in formato UTC. |
| MitigationPeriodEnd | La data e l’ora in cui è terminata la mitigazione, in formato UTC. |
| IPAddress | Indirizzo IP pubblico. |
| AttackVectors | Riduzione delle prestazioni dei tipi di attacco. Le chiavi includono TCP SYN flood, TCP flood, UDP reflection UDP flood e Other packet flood. |
| TrafficOverview | Riduzione delle prestazioni del traffico di attacco. Le chiavi includono Total packets, Total packets dropped, Total TCP packets dropped Total TCP packets, Total UDP packets, Total UDP packets dropped, Total Other packets e Total Other packets dropped. |
| Protocolli | Suddivisione dei protocolli inclusi. Le chiavi includono TCP, UDP e Other. |
| DropReasons | Analisi delle cause dei pacchetti eliminati. Le chiavi includono Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded e Packet was forwarded to service. I motivi di rilascio non validi per le violazioni del protocollo fanno riferimento a pacchetti non validi. |
| TopSourceCountries | Suddivisione dei primi 10 paesi di origine nel traffico in ingresso. |
| TopSourceCountriesForDroppedPackets | Analisi dei primi 10 paesi di origine per il traffico di attacco limitato. |
| TopSourceASNs | Analisi delle prime 10 origini di numeri di sistema autonomi (ASN) del traffico in ingresso. |
| SourceContinents | Analisi del continente di origine per il traffico in ingresso. |
| Type | Tipo di notifica. I valori possibili includono MitigationStarted. MitigationStopped. |
Passaggi successivi
In questa esercitazione, si è appreso come visualizzare i log di diagnostica di Protezione DDoS in un'area di lavoro Log Analytics. Per maggiori informazioni sui passaggi consigliati da seguire quando si riceve un attacco DDoS, vedere questi passaggi successivi.