Azure DDoS Protection 진단 로깅 경고 구성

  • 아티클

DDoS Protection 진단 로깅 경고는 DDoS 공격 및 완화 작업에 대한 가시성을 제공합니다. 진단 로깅을 사용하도록 설정한 모든 DDoS 보호된 공용 IP 주소에 대한 경고를 구성할 수 있습니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • Azure Monitor 및 논리 앱을 통해 진단 로깅 경고를 구성합니다.

필수 조건

  • Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
  • DDoS 네트워크 보호는 가상 네트워크에서 사용하도록 설정해야 하며, 공용 IP 주소에서 DDoS IP 보호를 사용하도록 설정해야 합니다.
  • 진단 로깅을 사용하려면 먼저 진단 설정을 사용하도록 설정된 Log Analytics 작업 영역을 만들어야 합니다.
  • DDoS Protection은 가상 네트워크 내의 리소스에 할당된 공용 IP 주소를 모니터링합니다. 가상 네트워크에 공용 IP 주소가 있는 리소스가 없으면 먼저 공용 IP 주소를 사용하여 리소스를 만들어야 합니다. Azure App Service Environment를 제외하고 Azure 서비스용 가상 네트워크(백 엔드 가상 머신이 가상 네트워크에 있는 Azure Load Balancer 포함)에 나열된 Resource Manager(클래식 아님)를 통해 배포된 모든 리소스의 공용 IP 주소를 모니터링할 수 있습니다. 이 가이드를 계속 진행하려면 Windows 또는 Linux 가상 머신을 빠르게 만들면 됩니다.

Azure Monitor를 통해 진단 로깅 경고 구성

이러한 템플릿을 사용하여 진단 로깅을 사용하도록 설정한 모든 공용 IP 주소에 대한 경고를 구성할 수 있습니다.

Azure Monitor 경고 규칙 만들기

Azure Monitor 경고 규칙 템플릿은 활성 DDoS 완화가 발생하는 시기를 탐지하기 위해 진단 로그에 대해 쿼리를 실행합니다. 경고는 잠재적인 공격을 나타냅니다. 작업 그룹은 경고의 결과로 작업을 호출하는 데 사용할 수 있습니다.

템플릿 배포

  1. Azure에 배포를 선택하여 Azure에 로그인하고 템플릿을 엽니다.

    Button to deploy the Resource Manager template to Azure.

  2. 사용자 지정 배포 페이지의 프로젝트 세부 정보에서 다음 정보를 입력합니다.

    Screenshot of Azure Monitor alert rule template.

    설정
    Subscription Azure 구독을 선택합니다.
    리소스 그룹 리소스 그룹을 선택합니다.
    지역 지역을 선택합니다.
    작업 영역 이름 작업 영역 이름을 입력합니다. 이 예제에서 작업 영역 이름myLogAnalyticsWorkspace입니다.
    위치 미국 동부를 입력합니다.

    참고 항목

    위치는 작업 영역의 위치와 일치해야 합니다.

  3. 검토 + 만들기를 선택하고 유효성 검사를 통과한 후 만들기를 선택합니다.

Logic App을 사용하여 Azure Monitor 진단 로깅 경고 규칙 만들기

이 DDoS 마이그레이션 경고 강화 템플릿은 보강된 DDoS 완화 경고의 필수 구성 요소(Azure Monitor 경고 규칙, 작업 그룹 및 논리 앱)를 배포합니다. 이 프로세스의 결과는 해당 IP와 연결된 리소스에 대한 정보 등 공격을 받는 IP 주소에 대한 세부 정보를 포함하는 이메일 경고입니다. 리소스 소유자는 보안 팀과 함께 이메일의 받는 사람으로 추가됩니다. 기본 애플리케이션 가용성 테스트도 수행되며 결과는 이메일 경고에 포함됩니다.

템플릿 배포

  1. Azure에 배포를 선택하여 Azure에 로그인하고 템플릿을 엽니다.

    Button to deploy the Resource Manager template to Azure.

  2. 사용자 지정 배포 페이지의 프로젝트 세부 정보에서 다음 정보를 입력합니다.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    설정
    Subscription Azure 구독을 선택합니다.
    리소스 그룹 리소스 그룹을 선택합니다.
    지역 지역을 선택합니다.
    경고 이름 기본값으로 둡니다.
    보안 팀 이메일 필요한 이메일 주소를 입력합니다.
    회사 도메인 필요한 도메인을 입력합니다.
    작업 영역 이름 작업 영역 이름을 입력합니다. 이 예제에서 작업 영역 이름myLogAnalyticsWorkspace입니다.

  3. 검토 + 만들기를 선택하고 유효성 검사를 통과한 후 만들기를 선택합니다.

리소스 정리

다음 가이드를 위해 리소스를 보관할 수 있습니다. 더 이상 필요하지 않은 경우 경고를 삭제합니다.

  1. 포털 맨 위에 있는 검색 상자에 경고를 입력합니다. 검색 결과에서 경고를 선택합니다.

    Screenshot of Alerts page.

  2. 경고 규칙을 선택한 다음 경고 규칙 페이지에서 구독을 선택합니다.

    Screenshot of Alert rules page.

  3. 이 가이드에서 만든 경고를 선택한 다음, 삭제를 선택합니다.

다음 단계

이 자습서에서는 Azure Portal을 통해 진단 경고를 구성하는 방법을 알아보았습니다.

시뮬레이션을 통해 DDoS Protection을 테스트하려면 다음 가이드를 계속 진행합니다.

시뮬레이션을 통해 테스트클라우드용 Microsoft Defender에서 경고 보기