Esercitazione: Visualizzare e configurare i dati di telemetria di protezione DDoS di Azure

  • Articolo
  • 4 minuti per la lettura

Protezione DDoS di Azure offre informazioni dettagliate sugli attacchi e visualizzazioni con Analisi degli attacchi DDoS. I clienti che proteggono le reti virtuali dagli attacchi DDoS hanno visibilità dettagliata sul traffico di attacco e sulle azioni eseguite per mitigare l'attacco tramite i log del flusso di mitigazione dei report & di mitigazione degli attacchi. I dati di telemetria avanzati vengono esposti tramite Monitoraggio di Azure, incluse le metriche dettagliate durante la durata di un attacco DDoS. Gli avvisi possono essere configurati per una delle metriche di monitoraggio di Azure esposte dalla protezione DDoS. La registrazione può essere ulteriormente integrata con Microsoft Sentinel, Splunk (Hub eventi di Azure), OMS Log Analytics e Archiviazione di Azure per l'analisi avanzata tramite l'interfaccia diagnostica di Monitoraggio di Azure.

In questa esercitazione si apprenderà come:

  • Visualizzare i dati di telemetria di Protezione DDoS di Azure
  • Visualizzare i criteri di mitigazione della protezione DDoS di Azure
  • Convalidare e testare i dati di telemetria di Protezione DDoS di Azure

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

  • Prima di poter completare la procedura descritta in questa esercitazione, è prima necessario creare un piano di protezione DDoS di Azure. Protezione rete DDoS deve essere abilitata in una rete virtuale o in Protezione IP DDoS deve essere abilitata in un indirizzo IP pubblico.
  • La protezione DDoS esegue il monitoraggio degli indirizzi IP pubblici assegnati alle risorse all'interno di una rete virtuale. Se non si dispone di risorse con indirizzi IP pubblici nella rete virtuale, è innanzitutto necessario creare una risorsa con un indirizzo IP pubblico. È possibile monitorare l'indirizzo IP pubblico di tutte le risorse distribuite tramite Resource Manager (non classico) elencate nella rete virtuale per i servizi di Azure (inclusi i servizi di bilanciamento del carico di Azure in cui si trovano le macchine virtuali back-end), ad eccezione degli ambienti Servizio app di Azure. Per continuare questa esercitazione, è possibile creare rapidamente una macchina virtuale Windows o Linux.

Visualizzare i dati di telemetria di Protezione DDoS di Azure

I dati di telemetria per un attacco vengono forniti da Monitoraggio di Azure in tempo reale. Mentre i trigger di mitigazione per TCP SYN, TCP & UDP è disponibile durante il tempo di pace, altri dati di telemetria sono disponibili solo quando un indirizzo IP pubblico è stato sottoposto a mitigazione.

È possibile visualizzare i dati di telemetria DDoS per un indirizzo IP pubblico protetto tramite tre tipi di risorse diversi: piano di protezione DDoS, rete virtuale e indirizzo IP pubblico.

Per altre informazioni sulle metriche, vedere Monitoraggio della protezione DDoS di Azure per informazioni dettagliate sui log di monitoraggio della protezione DDoS.

Visualizzare le metriche dal piano di protezione DDoS

  1. Accedere alla portale di Azure e selezionare il piano di protezione DDoS.
  2. Nel menu portale di Azure selezionare o cercare e selezionare piani di protezione DDoS e quindi selezionare il piano di protezione DDoS.
  3. In Monitoraggio selezionare Metrica.
  4. Selezionare Aggiungi metrica e quindi Ambito.
  5. Nel menu Seleziona un ambito selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.
  6. Selezionare Indirizzo IP pubblico per tipo di risorsa e quindi selezionare l'indirizzo IP pubblico specifico per cui si desidera registrare le metriche e quindi selezionare Applica.
  7. Per Metrica selezionare In attacco DDoS o meno.
  8. Selezionare il tipo di aggregazione come Max.

Screenshot della creazione di menu delle metriche di protezione DDoS.

Visualizzare le metriche dalla rete virtuale

  1. Accedere alla portale di Azure e passare alla rete virtuale con protezione DDoS abilitata.
  2. In Monitoraggio selezionare Metrica.
  3. Selezionare Aggiungi metrica e quindi Ambito.
  4. Nel menu Seleziona un ambito selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.
  5. Selezionare Indirizzo IP pubblico per tipo di risorsa e quindi selezionare l'indirizzo IP pubblico specifico per cui si desidera registrare le metriche e quindi selezionare Applica.
  6. In Metrica selezionare la metrica scelta e quindi in Aggregazione selezionare tipo come Max.

Nota

Per filtrare gli indirizzi IP selezionare Aggiungi filtro. In Proprietà selezionare Indirizzo IP protetto e l'operatore deve essere impostato su =. In Valori verrà visualizzato un elenco a discesa di indirizzi IP pubblici, associati alla rete virtuale, protetti da Protezione DDoS di Azure.

Screenshot delle impostazioni di diagnostica DDoS.

Visualizzare le metriche dall'indirizzo IP pubblico

  1. Accedere al portale di Azure e passare all'indirizzo IP pubblico.
  2. Nel menu portale di Azure selezionare o cercare e selezionare Indirizzi IP pubblici e quindi selezionare l'indirizzo IP pubblico.
  3. In Monitoraggio selezionare Metrica.
  4. Selezionare Aggiungi metrica e quindi Ambito.
  5. Nel menu Seleziona un ambito selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.
  6. Selezionare Indirizzo IP pubblico per tipo di risorsa e quindi selezionare l'indirizzo IP pubblico specifico per cui si desidera registrare le metriche e quindi selezionare Applica.
  7. In Metrica selezionare la metrica scelta e quindi in Aggregazione selezionare tipo come Max.

Nota

Quando si modifica la protezione IP DDoS da abilitata a disabilitata, i dati di telemetria per la risorsa IP pubblica non saranno disponibili.

Visualizzare i criteri di mitigazione della protezione DDoS

Protezione DDoS di Azure applica tre criteri di mitigazione ottimizzati automaticamente (TCP SYN, TCP & UDP) per ogni indirizzo IP pubblico della risorsa protetta, nella rete virtuale con protezione DDoS abilitata. È possibile visualizzare le soglie dei criteri selezionando i pacchetti TCP in ingresso per attivare la mitigazione DDoS e i pacchetti UDP in ingresso per attivare le metriche di mitigazione DDoS con tipo di aggregazione come 'Max', come illustrato nell'immagine seguente:

Screenshot della visualizzazione dei criteri di mitigazione.

Convalidare e testare

Per simulare un attacco DDoS per convalidare i dati di telemetria della protezione DDoS, vedere Convalidare il rilevamento DDoS.

Passaggi successivi

In questa esercitazione sono state illustrate le procedure per:

  • Configurare gli avvisi per le metriche di protezione DDoS
  • Visualizzare i dati di telemetria di protezione DDoS
  • Visualizzare i criteri di mitigazione della protezione DDoS
  • Convalidare e testare i dati di telemetria di protezione DDoS

Per informazioni su come configurare i report di mitigazione degli attacchi e i log del flusso, continuare con l'esercitazione successiva.

Visualizzare e configurare la registrazione diagnostica DDoS