ポータルを使用して Azure DDoS Protection メトリック アラートを構成する

  • [アーティクル]

DDoS Protection メトリック アラートは、攻撃が検出されたときに、Azure portal、メール、SMS メッセージ、プッシュ、または音声通知を通じてチームにアラートを送信するための重要な手順です。

このチュートリアルでは、以下の内容を学習します。

  • Azure Monitor を使用してメトリクスを構成します。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます
  • DDoS Network Protection を仮想ネットワークで有効にする必要があります。または、DDoS IP Protection をパブリック IP アドレスで有効にする必要があります。
  • DDoS Protection により、仮想ネットワーク内のリソースに割り当てられているパブリック IP アドレスが監視されます。 仮想ネットワーク内のパブリック IP アドレスを持つリソースがない場合は、最初にパブリック IP アドレスを使用してリソースを作成する必要があります。 Azure App Service Environment を除き、Azure サービスの仮想ネットワークに関する記事に一覧表示されている Resource Manager (クラシックではない) を通じてデプロイされている、すべてのリソースのパブリック IP アドレスを監視できます (バックエンド仮想マシンが仮想ネットワーク内にある Azure Load Balancer を含む)。 このチュートリアルを続行することで、Windows または Linux の仮想マシンをすばやく作成できます。  

ポータルを使用してメトリック アラートを構成する

Azure Monitor のアラート構成を使うと、利用可能な Azure DDoS Protection メトリックをどれでも選び、攻撃中に有効な軽減策がある場合にアラートを受けることができます。

  1. Azure portal にサインインします。

  2. ポータルの上部にある検索ボックスに、「アラート」と入力します。 検索結果にある [アラート] を選択します。

  3. ナビゲーションバーで [+ 作成] を選択して、[アラート ルール] を選択します。

    アラート作成のスクリーンショット。

  4. [アラート ルールの作成] ページで、[+ スコープの選択] を選択し、[リソースの選択] ページで次の情報を選択します。

    DDoS Protection 攻撃アラート スコープの選択のスクリーンショット。

    設定
    サブスクリプション別でフィルター ログに記録するパブリック IP アドレスが含まれているサブスクリプションを選択します。
    リソースの種類でフィルター [パブリック IP アドレス] を選択します。
    リソース メトリックをログに記録する具体的なパブリック IP アドレスを選択します。

  5. [完了] を選択して、[Next: Condition](次へ: 条件) を選択します。

  6. [条件] ページで [+ 条件の追加] を選択し、[Search by signal name](シグナル名で検索) 検索ボックスで [Under DDoS attack or not](DDoS 攻撃中かどうか) を選択します。

    DDoS Protection 攻撃アラート条件の追加操作のスクリーンショット。

  7. [アラート ルールの作成] ページで、次の情報を入力または選択します。 DDoS Protection 攻撃アラート シグナルの追加操作のスクリーンショット。

    設定
    しきい値 既定値のままにします。
    集計の種類 既定値のままにします。
    演算子 [次の値以上] を選択します。
    ユニット 既定値のままにします。
    しきい値 1 を入力します。 [DDoS 攻撃中かどうか] メトリックの場合、0 は攻撃を受けていないことを示し、1 は攻撃を受けていることを示します。

  8. [Next: Actions](次へ: アクション) を選択してから、[+ Create action group](+ アクション グループの作成) を選択します。

アクション グループの作成

  1. [Create action group](アクション グループの作成) ページで次の情報を入力してから、[Next: Notifications](次へ: 通知) を選択します。 DDoS Protection 攻撃アラート アクション グループ基本の追加操作のスクリーンショット。

    設定
    サブスクリプション ログを記録するパブリック IP アドレスが含まれる Azure サブスクリプションを選択します。
    リソース グループ リソース グループを選択します。
    Region 既定値のままにします。
    アクション グループ myDDoSAlertsActionGroup」と入力します。
    表示名 myDDoSAlerts」と入力します。

  2. [通知] タブの [通知の種類] で、[メール/SMS メッセージ/プッシュ/音声] を選択します。 [名前] の下側に、「myUnderAttackEmailAlert」と入力します。

    DDoS Protection 攻撃アラート通知の種類の追加操作のスクリーンショット。

  3. [Email/SMS message/Push/Voice](Email/SMS メッセージ/プッシュ/音声) ページで、[Email] チェック ボックスをオンにして、必要なメールアドレスを入力します。 [OK] を選択します。

    DDoS Protection 攻撃アラート通知ページの追加操作のスクリーンショット。

  4. [確認および作成] を選択し、次に [作成] を選択します。

ポータルを使用してアラートの構成を続行する

  1. [Next: Details](次へ: 詳細) を選択します。

    DDoS Protection 攻撃アラート詳細ページの追加操作のスクリーンショット。

  2. [詳細] タブの [Alert rule details](アラート ルールの詳細) の下側に、次の情報を入力します。

    設定
    重大度 [2 - 警告] を選択します。
    アラート ルール名 myDDoSAlert」と入力します。

  3. [確認と作成] を選択し、検証に成功したら [作成] を選択します。

攻撃の検出から数分以内に、次の図のような電子メールが Azure Monitor メトリックから届くはずです。

DDoS 攻撃アラートのスクリーンショット。

また、webhook の構成や、アラートを作成するためのロジック アプリの詳細についても学習できます。

リソースをクリーンアップする

次のチュートリアルのためにリソースを保持しておくことができます。 不要になった場合は、アラートを削除します。

  1. ポータルの上部にある検索ボックスに、「アラート」と入力します。 検索結果にある [アラート] を選択します。

    [アラート] ページのスクリーンショット。

  2. 警告ルールを選択します。

    [アラート ルール] ページのスクリーンショット。

  3. [アラート ルール] ページで、サブスクリプションを選択します。

  4. このチュートリアルで作成したアラートを選択して、[削除] を選択します。

次のステップ

このチュートリアルでは、Azure portal を使用したメトリック アラートの構成方法について説明しました。

診断ログを構成するには、次のチュートリアルに進みます。

診断ログの構成シミュレーションによるテストMicrosoft Defender for Cloud でのアラートの表示