Azure DDoS Protection-logboeken weergeven in Log Analytics-werkruimte
Diagnostische logboeken van DDoS Protection bieden u de mogelijkheid om DDoS Protection-meldingen, risicobeperkingsrapporten en risicobeperkingsstroomlogboeken na een DDoS-aanval weer te geven. U kunt deze logboeken weergeven in uw Log Analytics-werkruimte.
In deze zelfstudie leert u het volgende:
- diagnostische logboeken van Azure DDoS Protection weergeven, waaronder meldingen, risicobeperkingsrapporten en stroomlogboeken voor risicobeperking.
Vereisten
- Een Azure-account met een actief abonnement. Gratis een account maken
- DDoS-netwerkbeveiliging moet zijn ingeschakeld in een virtueel netwerk of DDoS IP-beveiliging moet zijn ingeschakeld op een openbaar IP-adres.
- Diagnostische logboeken voor DDoS Protection configureren. Zie Diagnostische logboeken configureren voor meer informatie.
- Een aanval simuleren met behulp van een van onze simulatiepartners. Zie Testen met simulatiepartners voor meer informatie.
Weergeven in Log Analytics-werkruimte
Meld u aan bij de Azure-portal.
Voer in het zoekvak boven aan de portal Log Analytics-werkruimte in. Selecteer Log Analytics-werkruimte in de zoekresultaten.
Selecteer uw werkruimte op de blade Log Analytics-werkruimten .
Selecteer logboeken op het tabblad aan de linkerkant. Hier ziet u de queryverkenner. Sluit het deelvenster Query's af om de pagina Logboeken te gebruiken.
Typ uw query op de pagina Logboeken en klik vervolgens op Uitvoeren om de resultaten weer te geven.
Voorbeeld van logboekquery's
DDoS-beveiligingsmeldingen
Meldingen stellen u op de hoogte wanneer een openbare IP-resource wordt aangevallen en wanneer het beperken van aanvallen is afgelopen.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
De volgende tabel bevat de namen en beschrijvingen van velden:
| Veldnaam | Beschrijving |
|---|---|
| TimeGenerated | De datum en tijd in UTC waarop de melding is gemaakt. |
| ResourceId | De resource-id van uw openbare IP-adres. |
| Categorie | Voor meldingen is DDoSProtectionNotificationsdit . |
| ResourceGroup | De resourcegroep die uw openbare IP-adres en virtuele netwerk bevat. |
| SubscriptionId | De abonnements-id van uw DDoS-beveiligingsplan. |
| Resource | De naam van uw openbare IP-adres. |
| Resourcetype | Dit is PUBLICIPADDRESSaltijd . |
| OperationName | Voor meldingen is DDoSProtectionNotificationsdit . |
| Bericht | Details van de aanval. |
| Type | Type melding. Mogelijke waarden zijn .MitigationStarted MitigationStopped. |
| PublicIPAddress | Uw openbare IP-adres. |
DDoS-beperkingsstroomlogboeken
Met stroomlogboeken voor het beperken van aanvallen kunt u het verwijderde verkeer, doorgestuurde verkeer en andere interessante gegevenspunten tijdens een actieve DDoS-aanval in bijna realtime bekijken. U kunt de constante stroom van deze gegevens opnemen in Microsoft Sentinel of naar uw SIEM-systemen van derden via Event Hub voor bijna realtime bewaking, mogelijke acties ondernemen en de noodzaak van uw verdedigingsbewerkingen aanpakken.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
De volgende tabel bevat de namen en beschrijvingen van velden:
| Veldnaam | Beschrijving |
|---|---|
| TimeGenerated | De datum en tijd in UTC waarop het stroomlogboek is gemaakt. |
| ResourceId | De resource-id van uw openbare IP-adres. |
| Categorie | Voor stroomlogboeken is DDoSMitigationFlowLogsdit . |
| ResourceGroup | De resourcegroep die uw openbare IP-adres en virtuele netwerk bevat. |
| SubscriptionId | De abonnements-id van uw DDoS-beveiligingsplan. |
| Resource | De naam van uw openbare IP-adres. |
| Resourcetype | Dit is PUBLICIPADDRESSaltijd . |
| OperationName | Voor stroomlogboeken is DDoSMitigationFlowLogsdit . |
| Bericht | Details van de aanval. |
| SourcePublicIpAddress | Het openbare IP-adres van de client die verkeer naar uw openbare IP-adres genereert. |
| SourcePort | Poortnummer tussen 0 en 65535. |
| DestPublicIpAddress | Uw openbare IP-adres. |
| DestPort | Poortnummer tussen 0 en 65535. |
| Protocol | Type protocol. Mogelijke waarden zijn , tcpudp, other. |
DDoS-beperkingsrapporten
Rapporten over het beperken van aanvallen maken gebruik van de Netflow-protocolgegevens, die worden geaggregeerd om gedetailleerde informatie te bieden over de aanval op uw resource. Wanneer een openbare IP-resource wordt aangevallen, wordt het genereren van rapporten gestart zodra de beperking wordt gestart. Er wordt elke 5 minuten een incrementeel rapport gegenereerd en een rapport na de risicobeperking voor de hele risicobeperkingsperiode. Dit is om ervoor te zorgen dat in een geval dat de DDoS-aanval langer duurt, u elke 5 minuten de meest recente momentopname van het risicobeperkingsrapport en een volledig overzicht kunt bekijken zodra de aanvalsbeperking is afgelopen.
AzureDiagnostics
| where Category == "DDoSMitigationReports"
De volgende tabel bevat de namen en beschrijvingen van velden:
| Veldnaam | Beschrijving |
|---|---|
| TimeGenerated | De datum en tijd in UTC waarop de melding is gemaakt. |
| ResourceId | De resource-id van uw openbare IP-adres. |
| Categorie | Voor risicobeperkingsrapporten is DDoSMitigationReportsdit . |
| ResourceGroup | De resourcegroep die uw openbare IP-adres en virtuele netwerk bevat. |
| SubscriptionId | De abonnements-id van uw DDoS-beveiligingsplan. |
| Resource | De naam van uw openbare IP-adres. |
| Resourcetype | Dit is PUBLICIPADDRESSaltijd . |
| OperationName | Voor risicobeperkingsrapporten is DDoSMitigationReportsdit . |
| ReportType | Mogelijke waarden zijn Incremental en PostMitigation. |
| MitigationPeriodStart | De datum en tijd in UTC waarop de beperking is gestart. |
| MitigationPeriodEnd | De datum en tijd in UTC waarop de beperking is beƫindigd. |
| IPAddress | Uw openbare IP-adres. |
| AttackVectors | Degradatie van aanvalstypen. De sleutels zijn , TCP SYN floodTCP flood, UDP flood, UDP reflectionen Other packet flood. |
| TrafficOverzicht | Afname van aanvalsverkeer. De sleutels zijn , Total packetsTotal packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, , Total Other packetsen Total Other packets dropped. |
| Protocollen | Uitsplitsing van protocollen opgenomen. De sleutels zijn , TCPUDPen Other. |
| DropReasons | Analyse van oorzaken van verwijderde pakketten. De sleutels bevatten Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded, en Packet was forwarded to service. Ongeldige redenen voor het verwijderen van protocollen verwijzen naar onjuist ingedeelde pakketten. |
| TopSourceCountries | Uitsplitsing van de tien belangrijkste bronlanden in inkomend verkeer. |
| TopSourceCountriesForDroppedPackets | Analyse van de tien belangrijkste bronlanden voor aanvalsverkeer dat is beperkt. |
| TopSourceASN's | Analyse van de top 10 bronnen van autonome systeemnummers (ASN's) van binnenkomend verkeer. |
| BronContinents | Analyse van het broncontinent voor inkomend verkeer. |
| Type | Type melding. Mogelijke waarden zijn .MitigationStarted MitigationStopped. |
Volgende stappen
In deze zelfstudie hebt u geleerd hoe u diagnostische logboeken van DDoS Protection kunt weergeven in een Log Analytics-werkruimte. Zie deze volgende stappen voor meer informatie over de aanbevolen stappen die u moet uitvoeren wanneer u een DDoS-aanval ontvangt.