자습서: Azure DDoS 보호 원격 분석 보기 및 구성

  • 아티클

자습서: Azure DDoS Protection은 DDoS 공격 분석을 통해 자세한 공격 인사이트와 시각화를 제공합니다. DDoS 공격으로부터 자신의 가상 네트워크를 보호하는 고객은 공격 완화 보고서 및 완화 흐름 로그를 통해 공격 트래픽과 공격을 완화하는 데 수행된 작업에 대해 자세히 파악할 수 있습니다. DDoS 공격 기간 동안 상세 메트릭을 비롯한 다양한 원격 분석이 Azure Monitor를 통해 노출됩니다. DDoS Protection에서 노출하는 Azure Monitor 메트릭에 대한 경고를 구성할 수 있습니다. 로깅은 Azure Monitor 진단 인터페이스를 통한 고급 분석을 위해 Microsoft Sentinel, Splunk(Azure Event Hubs), OMS Log Analytics, Azure Storage와 추가로 통합될 수 있습니다.

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • Azure DDoS Protection 원격 분석 보기
  • Azure DDoS Protection 완화 정책 보기
  • Azure DDoS Protection 원격 분석 유효성 검사 및 테스트

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

필수 조건

  • Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
  • 이 자습서의 단계를 완료하려면 먼저 DDoS 시뮬레이션 공격을 만들어 원격 분석을 만들어야 합니다. 원격 분석 데이터는 공격 중에 기록됩니다. 자세한 내용은 시뮬레이션을 통해 DDoS Protection 테스트를 참조하세요.

Azure DDoS Protection 원격 분석 보기

공격에 대한 원격 분석이 Azure Monitor를 통해 실시간으로 제공됩니다. TCP SYN용 완화 트리거인 TCP 및 UDP는 편한 시간에 사용할 수 있지만, 다른 원격 분석은 공용 IP 주소가 완화된 경우에만 사용할 수 있습니다.

세 가지 리소스 종류인 DDoS 보호 계획, 가상 네트워크, 공용 IP 주소를 통해 보호된 공용 IP 주소에 대한 DDoS 원격 분석을 볼 수 있습니다.

메트릭에 대한 자세한 내용은 DDoS Protection 모니터링 로그에 대한 자세한 내용은 Azure DDoS Protection 모니터링을 참조하세요.

DDoS 보호 계획에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호 계획을 선택합니다.
  2. Azure Portal 메뉴에서 DDoS 보호 계획을 선택하거나 검색한 다음, DDoS 보호 계획을 선택합니다.
  3. 모니터링에서 메트릭을 선택합니다.
  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.
  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.
  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.
  7. 메트릭DDoS 공격 진행 여부를 선택합니다.
  8. 집계 유형을 최대로 선택합니다.

Screenshot of creating DDoS protection metrics menu.

가상 네트워크에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호가 사용으로 설정된 가상 네트워크로 이동합니다.
  2. 모니터링에서 메트릭을 선택합니다.
  3. 메트릭 추가를 선택한 다음, 범위를 선택합니다.
  4. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.
  5. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.
  6. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

참고 항목

IP 주소를 필터링하려면 필터 추가를 선택합니다. 속성에서 보호된 IP 주소를 선택하고 연산자를 =로 설정해야 합니다. 에는 Azure DDoS Protection을 사용하여 보호되는 가상 네트워크와 연결된 공용 IP 주소의 드롭다운이 표시됩니다.

Screenshot of DDoS diagnostic settings.

공용 IP 주소에서 메트릭 보기

  1. Azure Portal에 로그인하고 공용 IP 주소로 이동합니다.
  2. Azure Portal 메뉴에서 공용 IP 주소를 선택하거나 검색하고 선택한 다음, 공용 IP 주소를 선택합니다.
  3. 모니터링에서 메트릭을 선택합니다.
  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.
  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.
  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.
  7. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

참고 항목

DDoS IP Protection을 사용에서 사용 안 함으로 변경하면 공용 IP 리소스에 대한 원격 분석을 사용할 수 없습니다.

DDoS 완화 정책 보기

Azure DDoS Protection은 DDoS 보호가 사용하도록 설정된 가상 네트워크에서 보호되는 리소스의 각 공용 IP 주소에 대해 자동 조정된 세 가지 완화 정책(TCP SYN, TCP 및 UDP)을 적용합니다. 다음 그림과 같이 DDoS 완화를 트리거하는 인바운드 TCP 패킷집계 유형이 '최대'인 DDoS 완화를 트리거하는 인바운드 UDP 패킷 메트릭을 선택하여 정책 임계값을 볼 수 있습니다.

Screenshot of viewing mitigation policies.

유효성 검사 및 테스트

DDoS 공격을 시뮬레이션하여 DDoS 보호 원격 분석의 유효성을 검사하려면 DDoS 탐지 유효성 검사를 참조하세요.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

  • DDoS 보호 메트릭에 대한 경고 구성
  • DDoS 보호 원격 분석 보기
  • DDoS 완화 정책 보기
  • DDoS 보호 원격 분석 유효성 검사 및 테스트

공격 완화 보고서 및 흐름 로그를 구성하는 방법을 알아보려면 다음 자습서를 계속 진행하세요.

DDoS 진단 로깅 보기 및 구성