チュートリアル: Azure DDoS 保護テレメトリを表示および構成する
Azure DDoS Protection では、DDoS 攻撃の分析情報により、攻撃の詳細な情報および視覚化が提供されます。 DDoS 攻撃から仮想ネットワークを保護している場合、攻撃の軽減策レポートと軽減策フロー ログによって、攻撃のトラフィック、および攻撃を緩和するために行われたアクションの詳細を視覚的に確認できます。 豊富なテレメトリは、DDoS 攻撃の間に、詳細なメトリックを含む Azure Monitor を通じて公開されます。 DDoS Protection によって公開される Azure Monitor の任意のメトリックに対して、アラートを構成することができます。 Azure Monitor 診断インターフェイスを介した高度な分析用に、ログを Microsoft Sentinel、Splunk (Azure Event Hubs)、OMS Log Analytics、Azure Storage とさらに統合できます。
このチュートリアルで学習する内容は次のとおりです。
- Azure DDoS Protection テレメトリを表示する
- Azure DDoS Protection 軽減ポリシーを表示する
- Azure DDoS Protection テレメトリの検証とテストを行う
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
前提条件
- Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
- このチュートリアルの手順を完了するには、まず DDoS シミュレーション攻撃を作成してテレメトリを生成する必要があります。 テレメトリ データは、攻撃中に記録されます。 詳細については、シミュレーションを使用した DDoS Protection のテストに関する記事を参照してください。
Azure DDoS Protection テレメトリを表示する
攻撃のテレメトリは、Azure Monitor 経由でリアルタイムに提供されます。 TCP SYN、TCP、および UDP の軽減トリガーは、平時に使用できます。他のテレメトリは、パブリック IP アドレスに軽減策が適用されている場合にのみ使用できます。
保護されたパブリック IP アドレスの DDoS テレメトリは、DDoS 保護プラン、仮想ネットワーク、およびパブリック IP アドレスの 3 つの異なるリソースの種類を介して表示できます。
メトリックの詳細については、「Azure DDoS Protection の監視」で DDoS Protection 監視ログの詳細を参照してください。
DDoS 保護プランからのメトリックを表示する
- Azure portal にサインインし、対象の DDoS 保護プランを選択します。
- Azure portal メニューで、[DDoS 保護プラン] を選択または検索して選択し、DDoS 保護プランを選択します。
- [監視] で [メトリック] を選びます。
- [メトリックの追加] を選んでから、[スコープ] を選びます。
- [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
- [リソースの種類] で [パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
- [メトリック] で、[DDoS 攻撃中かどうか] を選択します。
- 集計の種類として [最大] を選択します。
仮想ネットワークからのメトリックを表示する
- Azure portal にサインインし、DDoS 保護が有効になっている対象の仮想ネットワークに移動します。
- [監視] で [メトリック] を選びます。
- [メトリックの追加] を選んでから、[スコープ] を選びます。
- [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
- [リソースの種類] で [パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
- [メトリック] から目的のメトリックを選択し、集計の種類として [最大] を選択します。
Note
IP アドレスをフィルター処理するには、[フィルターを追加する] を選択します。 [プロパティ] で、[Protected IP Address](保護された IP アドレス) を選択します。演算子は = に設定する必要があります。 [値] の下に、仮想ネットワークに関連付けられていて、Azure DDoS Protection によって保護される、パブリック IP アドレスのドロップダウンが表示されます。
パブリック IP アドレスからのメトリックを表示する
- Azure portal にサインインし、対象のパブリック IP アドレスに移動します。
- Azure portal メニューで [パブリック IP アドレス] を選択 (または検索して選択) し、パブリック IP アドレスを選択します。
- [監視] で [メトリック] を選びます。
- [メトリックの追加] を選んでから、[スコープ] を選びます。
- [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
- [リソースの種類] で [パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
- [メトリック] から目的のメトリックを選択し、集計の種類として [最大] を選択します。
Note
DDoS IP 保護を有効から無効に変更すると、パブリック IP リソースのテレメトリは利用できなくなります。
DDoS 軽減ポリシーを表示する
Azure DDoS Protection は、DDoS 保護が有効になっている仮想ネットワークで、保護されたリソースのパブリック IP アドレスごとに 3 つの自動チューニングされた軽減ポリシー (TCP SYN、TCP、UDP) を適用します。 次の図に示すように、[Inbound TCP packets to trigger DDoS mitigation](DDoS 軽減をトリガーする受信 TCP パケット数) と [Inbound UDP packets to trigger DDoS mitigation](DDoS 軽減をトリガーする受信 UDP パケット数) のメトリックを選択し、集計の種類を [最大] にして、ポリシーのしきい値を表示することができます。
検証とテスト
DDoS 攻撃をシミュレートして DDoS 保護テレメトリを検証す方法については、DDoS 検出の検証に関する記事を参照してください。
次のステップ
このチュートリアルでは、以下の内容を学習しました。
- DDoS Protection メトリックのアラートを構成する
- DDoS 保護テレメトリを表示する
- DDoS 軽減ポリシーを表示する
- DDoS 保護テレメトリを検証し、テストする
攻撃の軽減策レポートとフロー ログの構成方法を学習するには、次のチュートリアルに進んでください。