Tutorial: Exibir e configurar alertas da Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure fornece insights detalhados sobre ataques e uma visualização com a Análise de Ataque de DDoS. Os clientes que protegem suas redes virtuais contra ataques de DDoS têm visibilidade detalhada sobre o tráfego de ataque e as ações tomadas para reduzir o ataque por meio de relatórios de mitigação de ataque & logs de fluxo de mitigação. A telemetria avançada é exposta por meio do Azure Monitor incluindo métricas detalhadas durante a duração de um ataque de DDoS. Alertas podem ser configurados para qualquer métrica do Azure Monitor exposta pela Proteção contra DDoS. O registro em log pode ser integrado ainda mais ao Microsoft Sentinel, Splunk (Hubs de Eventos do Azure), Log Analytics do OMS e Armazenamento do Microsoft Azure para obter análise avançada por meio da interface de Diagnóstico do Azure Monitor.

Neste tutorial, você aprenderá como:

  • Configurar alertas por meio do Azure Monitor
  • Configurar alertas por meio do portal
  • Exibir alertas no Microsoft Defender para Nuvem
  • Validar e testar os alertas

Pré-requisitos

  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
  • Para seguir as etapas neste tutorial, é necessário criar primeiro um plano da Proteção contra DDoS do Azure. A Proteção de Rede contra DDoS deve ser habilitada em uma rede virtual ou a Proteção de IP contra DDoS deve ser habilitada em um endereço IP público.
  • DDoS monitora os endereços IP públicos atribuídos aos recursos em uma rede virtual. Se você não tiver todos os recursos com endereços IP públicos na rede virtual, você deve primeiro criar um recurso com um endereço IP público. Você pode monitorar o endereço IP público de todos os recursos implantados por meio do Resource Manager (não clássico) listado na Rede virtual para serviços do Azure (incluindo o Azure Load Balancer em que as máquinas virtuais de back-end estão na rede virtual), exceto em Ambientes do Serviço de Aplicativo do Azure. Para continuar este tutorial, você pode criar rapidamente uma máquina virtual do Windows ou Linux.  

Configurar alertas por meio do portal

É possível usar a configuração de alerta do Azure Monitor para selecionar qualquer uma das métricas da Proteção contra DDoS do Azure disponíveis a fim de obter alertas em caso de uma mitigação ativa durante um ataque.

  1. Entre no portal do Azure e navegue até o plano de proteção contra DDoS.

  2. Em Monitoramento, selecione Alertas.

  3. Selecione o botão + Nova Regra de Alerta ou selecione + Criar na barra de navegação e selecione Regra de alerta.

  4. Feche a página Selecionar um sinal.

  5. Na página Criar uma regra de alerta, você verá as seguintes guias:

    • Escopo
    • Condição
    • Ações
    • Detalhes
    • Marcações
    • Examinar + criar

    Para cada etapa, use os valores descritos abaixo:

    Configuração Valor
    Escopo 1) Clique em + Selecionar escopo.
    2) Na lista suspensa Filtrar por assinatura, selecione a Assinatura que contém o endereço IP público que você deseja registrar.
    3) Na lista suspensa Filtrar por tipo de recurso, selecione Endereço IP público e escolha o endereço IP público específico cujas métricas deseja registrar.
    4) Selecione Concluído.
    Condição 1) Selecione o botão + Adicionar condição
    2) Na caixa de pesquisa Pesquisar por nome de sinal, selecione Sob ataque de DDoS ou não.
    3) Deixe o Período do gráfico e a Lógica do Alerta como padrão.
    4) Na lista suspensa Operador, selecione Igual ou superior a.
    5) Na lista suspensa Tipo de agregação, selecione Máximo.
    6) Na caixa Valor do limite, digite 1. Para a métrica Sob ataque de DDoS ou não, 0 significa que você não está sob ataque, enquanto 1 significa que você está sob ataque.
    7) Selecione Concluído.
    Ações 1) Selecione o botão + Criar grupo de ações.
    2) Na guia Informações gerais, selecione a assinatura, um grupo de recursos e forneça o Nome do grupo de ações e o Nome de exibição.
    3) Na guia Notificações, em Tipo de notificação, selecione Email/mensagem SMS/push/voz.
    4) Em Nome, insira MyUnderAttackEmailAlert.
    5) Na página Mensagem de email/SMS/push/voz, insira o Email e todas as opções disponíveis necessárias e selecione OK.
    6) Selecione Examinar + criar e escolha Criar.
    Detalhes 1) Em Nome da regra de alerta, insira MyDdosAlert.
    2) Selecione Examinar + Criar e escolha Criar.

Em poucos minutos de detecção de ataque, você receberá um email de métricas do Azure Monitor que é semelhante a imagem a seguir:

Captura de tela de um alerta de ataque DDoS.

Você também pode aprender mais sobre configuração de webhooks e aplicativos lógicos para criação de alertas.

Configurar alertas por meio do Azure Monitor

Com esses modelos, você poderá configurar alertas para todos os endereços IP públicos nos quais você habilitar o log de diagnóstico. Portanto, para usar esses modelos de alerta, primeiro você precisará de um espaço de trabalho do Log Analytics com as configurações de diagnóstico habilitadas. Para obter mais informações, confira Visão geral do workspace do Log Analytics.

Regra de alerta do Azure Monitor

O modelo da regra de alerta do Azure Monitor executará uma consulta para detectar quando uma mitigação de DDoS ativa está ocorrendo. Isso indica um problema potencial. Os grupos de ações podem ser usados para invocar ações como resultado do alerta.

Implantar no Azure

Captura de tela do modelo de regra de alerta do Azure Monitor.

Regra de alerta do Azure Monitor com o Aplicativo Lógico

Esse modelo de enriquecimento de alerta de mitigação de DDoS implanta os componentes necessários de um alerta de mitigação de DDoS enriquecido: regra de alerta do Azure Monitor, grupo de ações e Aplicativo Lógico. O resultado do processo é um alerta por email com detalhes sobre o endereço IP sob ataque, incluindo informações sobre o recurso associado ao IP. O proprietário do recurso é adicionado como um destinatário do email, juntamente com a equipe de segurança. Um teste de disponibilidade de aplicativo básico também é executado e os resultados são incluídos no alerta de email.

Implantar no Azure

Captura de tela do modelo de Enriquecimento de Alerta de Mitigação de DDoS.

Exibir alertas no Microsoft Defender para Nuvem

O Microsoft Defender for Cloud fornece uma lista de alertas de segurança, com informações para ajudar a investigar e corrigir problemas. Com esse recurso, você obtém uma exibição unificada de alertas, incluindo alertas relacionados a ataques de DDoS e as ações realizadas para mitigar o ataque quase em tempo real. Há dois alertas específicos que você verá para qualquer detecção e mitigação de ataque de DDoS:

  • Ataque de DDoS detectado para IP público: esse alerta é gerado quando o serviço de proteção contra DDoS detecta que um de seus endereços IP públicos é o destino de um ataque de DDoS.
  • Ataque de DDoS mitigado para IP público: esse alerta é gerado quando um ataque no endereço IP público é mitigado. Para exibir os alertas, abra o Defender para Nuvem no portal do Azure e selecione Alertas de segurança. Em Proteção contra Ameaças selecione Alertas de segurança. A captura de tela a seguir mostra um exemplo de alertas de ataque de DDoS.

Captura de tela de um alerta DDoS no Microsoft Defender para Nuvem.

Os alertas incluem informações gerais sobre o endereço IP público que está sob ataque, informações de inteligência geográfica e contra ameaças e etapas de correção.

Validar e testar

Para simular um ataque de DDoS para validar seus alertas, consulte Testar com parceiros de simulação.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Configurar alertas por meio do Azure Monitor
  • Configurar alertas por meio do portal
  • Exibir alertas no Microsoft Defender para Nuvem
  • Validar e testar os alertas

Para saber como testar e simular um ataque de DDoS, veja o guia de testes de simulação: