Delen via

Zelfstudie: Telemetrie van Azure DDoS-beveiliging weergeven en configureren

  • Artikel

In deze zelfstudie leert u het volgende:

  • Telemetrie van Azure DDoS Protection weergeven
  • Risicobeperkingsbeleid voor Azure DDoS Protection weergeven
  • Telemetrie van Azure DDoS Protection valideren en testen

Azure DDoS Protection biedt uitgebreide inzichten en visualisaties van aanvalspatronen via DDoS-aanvalsanalyse. Het biedt klanten uitgebreide inzicht in aanvalsverkeer en risicobeperkingsacties via rapporten en stroomlogboeken. Tijdens een DDoS-aanval zijn gedetailleerde metrische gegevens beschikbaar via Azure Monitor, waarmee ook waarschuwingsconfiguraties op basis van deze metrische gegevens zijn toegestaan.

Vereisten

  • Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
  • Voordat u de stappen in deze zelfstudie kunt uitvoeren, moet u eerst een DDoS-simulatieaanval maken om de telemetrie te genereren. Telemetriegegevens worden vastgelegd tijdens een aanval. Zie DDoS Protection testen via simulatie voor meer informatie.

Telemetrie van Azure DDoS Protection weergeven

Azure Monitor biedt in realtime telemetriegegevens over aanvallen. Hoewel beperkingstriggers voor TCP SYN beschikbaar zijn, zijn TCP & UDP beschikbaar tijdens vredestijd, is andere telemetrie alleen beschikbaar wanneer een openbaar IP-adres onder beperking valt.

U kunt DDoS-telemetrie voor een beveiligd openbaar IP-adres weergeven via drie verschillende resourcetypen: DDoS-beveiligingsplan, virtueel netwerk en openbaar IP-adres.

Logboekregistratie kan verder worden geïntegreerd met Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics en Azure Storage voor geavanceerde analyse via de Azure Monitor Diagnostics-interface.

Zie Bewaking van Azure DDoS Protection voor meer informatie over metrische gegevens voor meer informatie over bewakingslogboeken van DDoS Protection.

Metrische gegevens van DDoS-beveiligingsplan weergeven

  1. Meld u aan bij Azure Portal en selecteer uw DDoS-beveiligingsplan.

  2. Selecteer of zoek in het menu van Azure Portal DDoS-beveiligingsplannen en selecteer vervolgens uw DDoS-beveiligingsplan.

  3. Selecteer Metrische gegevens onder Bewaking.

  4. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.

  5. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.

  6. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.

  7. Voor metrische gegevens selecteert u Onder DDoS-aanval of niet.

  8. Selecteer het aggregatietype als Max.

    Schermopname van het maken van het metrische gegevensmenu voor DDoS-beveiliging.

Metrische gegevens van virtueel netwerk weergeven

  1. Meld u aan bij Azure Portal en blader naar uw virtuele netwerk waarvoor DDoS-beveiliging is ingeschakeld.

  2. Selecteer Metrische gegevens onder Bewaking.

  3. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.

  4. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.

  5. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.

  6. Selecteer onder Metrische gegevens de gekozen metrische waarde en selecteer vervolgens onder Aggregatie selecteert u het type Aggregatie als Max.

    Schermopname van diagnostische DDoS-instellingen in Azure.

Notitie

Als u IP-adressen wilt filteren, selecteert u Filter toevoegen. Selecteer onder Eigenschap het beveiligde IP-adres en de operator moet worden ingesteld op =. Onder Waarden ziet u een vervolgkeuzelijst met openbare IP-adressen die zijn gekoppeld aan het virtuele netwerk, die worden beveiligd door Azure DDoS Protection.

Metrische gegevens van openbaar IP-adres weergeven

  1. Meld u aan bij Azure Portal en blader naar uw openbare IP-adres.
  2. Selecteer of zoek in het menu van Azure Portal openbare IP-adressen en selecteer vervolgens uw openbare IP-adres.
  3. Selecteer Metrische gegevens onder Bewaking.
  4. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.
  5. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.
  6. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.
  7. Selecteer onder Metrische gegevens de gekozen metrische waarde en selecteer vervolgens onder Aggregatie selecteert u het type Aggregatie als Max.

Notitie

Wanneer u DDoS IP-beveiliging wijzigt van ingeschakeld in uitgeschakeld, is telemetrie voor de openbare IP-resource niet beschikbaar.

Beleid voor DDoS-risicobeperking weergeven

Azure DDoS Protection maakt gebruik van drie automatisch aangepaste beperkingsbeleidsregels (TCP SYN, TCP en UDP) voor elk openbaar IP-adres van de resource die wordt beveiligd. Dit geldt voor elk virtueel netwerk waarvoor DDoS-beveiliging is ingeschakeld.

U kunt de beleidslimieten binnen de metrische gegevens van uw openbare IP-adres zien door de inkomende SYN-pakketten te kiezen om DDoS-beperking te activeren, binnenkomende TCP-pakketten om DDoS-risicobeperking te activeren en inkomende UDP-pakketten om metrische DDoS-beperkingsgegevens te activeren. Zorg ervoor dat u het aggregatietype instelt op Max.

Schermopname van het weergeven van risicobeperkingsbeleid.

Telemetrie van vredestijdverkeer weergeven

Het is belangrijk om de metrische gegevens voor TCP SYN-, UDP- en TCP-detectietriggers in de gaten te houden. Deze metrische gegevens helpen u te weten wanneer DDoS-beveiliging wordt gestart. Zorg ervoor dat deze triggers overeenkomen met de normale verkeersniveaus wanneer er geen aanval is.

U kunt een grafiek maken voor de resource van het openbare IP-adres. Neem in deze grafiek de metrische gegevens Pakketaantal en SYN Count op. Het aantal pakketten omvat zowel TCP- als UDP-pakketten. Hier ziet u de som van het verkeer.

Schermopname van het weergeven van telemetrie van vredestijd.

Notitie

Als u een eerlijke vergelijking wilt maken, moet u de gegevens converteren naar pakketten per seconde. U kunt dit doen door het getal dat u ziet te delen met 60, omdat de gegevens het aantal pakketten, bytes of SYN-pakketten vertegenwoordigen dat meer dan 60 seconden is verzameld. Als u bijvoorbeeld 91.000 pakketten hebt verzameld die meer dan 60 seconden zijn verzameld, verdeelt u 91.000 door 60 om ongeveer 1500 pakketten per seconde (pps) te krijgen.

Valideren en testen

Zie DDoS-detectie valideren om een DDoS-aanval te simuleren om DDoS-beveiligingstelemetrie te valideren.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

  • Waarschuwingen configureren voor metrische gegevens over DDoS-beveiliging
  • DDoS-beveiligingstelemetrie weergeven
  • Beleid voor DDoS-risicobeperking weergeven
  • DDoS-beveiligingstelemetrie valideren en testen

Ga verder met de volgende zelfstudie voor meer informatie over het configureren van rapporten over aanvalsbeperking en stroomlogboeken.

Registratie in DDoS-diagnoselogboek bekijken en configureren