Configurare gli avvisi di registrazione diagnostica di Protezione DDoS di Azure

  • Articolo

Gli avvisi di registrazione diagnostica di Protezione DDoS offrono visibilità sugli attacchi DDoS e sulle azioni di mitigazione. È possibile configurare gli avvisi per tutti gli indirizzi IP pubblici protetti da DDoS in cui è stata abilitata la registrazione diagnostica.

In questa esercitazione apprenderai a:

  • Configurare gli avvisi di registrazione diagnostica tramite Monitoraggio di Azure e App per la logica.

Prerequisiti

  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • La protezione di rete DDoS deve essere abilitata in una rete virtuale o in una protezione IP DDoS deve essere abilitata in un indirizzo IP pubblico.
  • Per usare la registrazione diagnostica, è prima necessario creare un'area di lavoro Log Analytics con le impostazioni di diagnostica abilitate.
  • Protezione DDoS monitora gli indirizzi IP pubblici assegnati alle risorse all'interno di una rete virtuale. Se non si dispone di risorse con indirizzi IP pubblici nella rete virtuale, è innanzitutto necessario creare una risorsa con un indirizzo IP pubblico. È possibile monitorare l'indirizzo IP pubblico di tutte le risorse distribuite tramite Resource Manager (non versione classica) elencate in Rete virtuale per i servizi di Azure (inclusi i servizi di bilanciamento del carico di Azure in cui le macchine virtuali back-end si trovano nella rete virtuale), ad eccezione degli ambienti del servizio app Azure. Per continuare con questa guida, è possibile creare rapidamente una macchina virtuale Windows o Linux .

Configurare gli avvisi di registrazione diagnostica tramite Monitoraggio di Azure

Con questi modelli sarà possibile configurare gli avvisi per tutti gli indirizzi IP pubblici su cui è stata abilitata la registrazione diagnostica.

Creare una regola di avviso di Monitoraggio di Azure

Il modello di regola di avviso di Monitoraggio di Azure eseguirà una query sui log di diagnostica per rilevare quando si verifica una mitigazione DDoS attiva. L'avviso indica un potenziale attacco. I gruppi di azioni possono essere usati per richiamare le azioni in seguito all'avviso.

Distribuire il modello

  1. Selezionare Distribuisci in Azure per accedere ad Azure e aprire il modello.

    Button to deploy the Resource Manager template to Azure.

  2. Nella pagina Distribuzione personalizzata, in Dettagli progetto immettere le informazioni seguenti.

    Screenshot of Azure Monitor alert rule template.

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse.
    Area Selezionare un valore per Area.
    Nome dell'area di lavoro Immettere il nome dell'area di lavoro. In questo esempio il nome dell'area di lavoro è myLogAnalyticsWorkspace.
    Ufficio Immettere Stati Uniti orientali.

    Nota

    La posizione deve corrispondere alla posizione dell'area di lavoro.

  3. Selezionare Rivedi e crea e quindi crea dopo il passaggio della convalida.

Creare una regola di avviso per la registrazione diagnostica di Monitoraggio di Azure con App per la logica

Questo modello di arricchimento degli avvisi di mitigazione DDoS distribuisce i componenti necessari di un avviso di mitigazione DDoS arricchito: regola di avviso di Monitoraggio di Azure, gruppo di azioni e app per la logica. Il risultato del processo è un avviso di posta elettronica con i dettagli sull'indirizzo IP sotto attacco, incluse le informazioni sulla risorsa associata all'IP. Il proprietario della risorsa viene aggiunto come destinatario del messaggio di posta elettronica, insieme al team di sicurezza. Viene eseguito anche un test di disponibilità dell'applicazione di base e i risultati sono inclusi nell'avviso di posta elettronica.

Distribuire il modello

  1. Selezionare Distribuisci in Azure per accedere ad Azure e aprire il modello.

    Button to deploy the Resource Manager template to Azure.

  2. Nella pagina Distribuzione personalizzata, in Dettagli progetto immettere le informazioni seguenti.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse.
    Area Selezionare un valore per Area.
    Nome avviso Lasciare il valore predefinito.
    Messaggio di posta elettronica del team di sicurezza Immettere l'indirizzo di posta elettronica richiesto.
    Dominio aziendale Immettere il dominio richiesto.
    Nome dell'area di lavoro Immettere il nome dell'area di lavoro. In questo esempio il nome dell'area di lavoro è myLogAnalyticsWorkspace.

  3. Selezionare Rivedi e crea e quindi crea dopo il passaggio della convalida.

Pulire le risorse

È possibile mantenere le risorse per la guida successiva. Se non è più necessario, eliminare gli avvisi.

  1. Nella casella di ricerca nella parte superiore del portale immettere Avvisi. Selezionare Avvisi nei risultati della ricerca.

    Screenshot of Alerts page.

  2. Selezionare Regole di avviso, quindi nella pagina Regole di avviso selezionare la sottoscrizione.

    Screenshot of Alert rules page.

  3. Selezionare gli avvisi creati in questa guida e quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione si è appreso come configurare gli avvisi di diagnostica tramite portale di Azure.

Per testare la protezione DDoS tramite simulazioni, continuare con la guida successiva.

Eseguire test tramite simulazioni Visualizzaregli avvisi in Microsoft Defender per il cloud