Compartilhar via

Configurar alertas de log de diagnósticos da Proteção contra DDoS do Azure

  • Artigo

Os alertas de log de diagnóstico da Proteção contra DDoS fornecem visibilidade sobre ataques de DDoS e ações de mitigação. Você pode configurar alertas para todos os endereços IP públicos protegidos contra DDoS nos quais os logs de diagnóstico foram habilitados.

Neste tutorial, você aprenderá a:

  • Configurar alertas de log de diagnósticos por meio do Azure Monitor e Aplicativo Lógico.

Pré-requisitos

  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
  • Proteção de Rede contra DDoS deve ser habilitada em uma rede virtual ou a Proteção de IP contra DDoS deve ser habilitada em um endereço IP público.
  • Para usar o log de diagnósticos, primeiro crie um workspace do Log Analytics com as configurações de diagnóstico habilitadas.
  • A Proteção contra DDoS monitora os endereços IP públicos atribuídos aos recursos em uma rede virtual. Se você não tiver todos os recursos com endereços IP públicos na rede virtual, você deve primeiro criar um recurso com um endereço IP público. Você pode monitorar o endereço IP público de todos os recursos implantados por meio do Resource Manager (não clássico) listado na Rede virtual para serviços do Azure (incluindo o Azure Load Balancer em que as máquinas virtuais de back-end estão na rede virtual), exceto em Ambientes do Serviço de Aplicativo do Azure. Para continuar este guia, você pode criar rapidamente uma máquina virtual do Windows ou do Linux.

Configurar alertas de log de diagnósticos por meio do Azure Monitor

Com esses modelos, você poderá configurar alertas para todos os endereços IP públicos nos quais você habilitar o log de diagnóstico.

Criar regra de alerta do Azure Monitor

O modelo de regra de alerta do Azure Monitor executará uma consulta no log de diagnóstico para detectar quando uma mitigação de DDoS ativa está ocorrendo. O alerta indica um possível ataque. Os grupos de ações podem ser usados para invocar ações como resultado do alerta.

Implantar o modelo

  1. Selecione Implantar no Azure para entrar no Azure e abrir o modelo.

    Button to deploy the Resource Manager template to Azure.

  2. Na página Implantação personalizada, em Detalhes do projeto, insira as informações a seguir.

    Screenshot of Azure Monitor alert rule template.

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione o grupo de recursos.
    Região Selecione sua região.
    Nome do espaço de trabalho Insira o nome do workspace. Neste exemplo, o nome do workspace é myLogAnalyticsWorkspace.
    Localização Insira Leste dos EUA.

    Observação

    O local deve corresponder ao local do workspace.

  3. Selecione Examinar + criar e escolha Criar depois que a validação for aprovada.

Criar regra de alerta do log de diagnósticos do Azure Monitor com aplicativo lógico

Esse modelo de enriquecimento de alerta de mitigação de DDoS implanta os componentes necessários de um alerta de mitigação de DDoS enriquecido: regra de alerta do Azure Monitor, grupo de ações e Aplicativo Lógico. O resultado do processo é um alerta por email com detalhes sobre o endereço IP sob ataque, incluindo informações sobre o recurso associado ao IP. O proprietário do recurso é adicionado como um destinatário do email, juntamente com a equipe de segurança. Um teste de disponibilidade de aplicativo básico também é executado e os resultados são incluídos no alerta de email.

Implantar o modelo

  1. Selecione Implantar no Azure para entrar no Azure e abrir o modelo.

    Button to deploy the Resource Manager template to Azure.

  2. Na página Implantação personalizada, em Detalhes do projeto, insira as informações a seguir.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Configuração Valor
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione o grupo de recursos.
    Região Selecione sua região.
    Nome do alerta Mantenha o padrão.
    Equipe de segurança Email Insira o endereço de email necessário.
    Domínio da empresa Insira o domínio necessário.
    Nome do espaço de trabalho Insira o nome do workspace. Neste exemplo, o nome do workspace é myLogAnalyticsWorkspace.

  3. Selecione Examinar + criar e escolha Criar depois que a validação for aprovada.

Limpar recursos

Você pode manter os recursos para o próximo guia. Quando não for mais necessário, exclua os alertas.

  1. Na caixa de pesquisa na parte superior do portal, insira Alertas. Selecione Alertas nos resultados da pesquisa.

    Screenshot of Alerts page.

  2. Selecione Regras de alerta e, na página Regras de alerta, selecione sua assinatura.

    Screenshot of Alert rules page.

  3. Selecione os alertas criados neste guia e, em seguida, selecione Excluir.

Próximas etapas

Neste tutorial, você aprendeu como configurar alertas de diagnóstico por meio do portal do Azure.

Para testar a Proteção contra DDoS por meio de simulações, prossiga para o próximo guia.

Testar por meio de simulaçõesExibir alertas no Microsoft Defender para Nuvem