Поделиться через

Настройка оповещений журнала диагностики защиты от атак DDoS Azure

  • Статья

Оповещения ведения журнала диагностики защиты от атак DDoS обеспечивают видимость атак DDoS и действий по устранению рисков. Вы можете настроить оповещения для всех защищенных общедоступных IP-адресов DDoS, в которых вы включили ведение журнала диагностики.

В этом руководстве описано следующее:

  • Настройте оповещения журнала диагностики с помощью Azure Monitor и приложения логики.

Необходимые компоненты

  • Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
  • Защита сети DDoS должна быть включена в виртуальной сети или защита IP-адресов DDoS должна быть включена в общедоступном IP-адресе .
  • Чтобы использовать ведение журнала диагностики, необходимо сначала создать рабочую область Log Analytics с включенными параметрами диагностики.
  • Защита от атак DDoS отслеживает общедоступные IP-адреса, назначенные ресурсам в виртуальной сети. При отсутствии в виртуальной сети ресурсов с общедоступными IP-адресами необходимо сначала создать ресурс с общедоступным IP-адресом. Отслеживать общедоступные IP-адреса можно у всех ресурсов, развернутых с помощью Resource Manager (а не по классической модели), которые указаны в виртуальной сети для служб Azure (включая службы Azure Load Balancer, в которых серверные виртуальные машины находятся в виртуальной сети), за исключением сред Службы приложений Azure. Чтобы продолжить работу с этим руководством, можно быстро создать виртуальную машину Windows или Linux .

Настройка оповещений журнала диагностики с помощью Azure Monitor

С помощью этих шаблонов вы сможете настроить оповещения для всех общедоступных IP-адресов, в которых вы включили ведение журнала диагностики.

Создание правила генерации оповещений Azure Monitor

Шаблон правила генерации оповещений Azure Monitor будет выполнять запрос к журналам диагностики, чтобы определить, когда происходит активное устранение рисков DDoS. Оповещение указывает на потенциальную атаку. Чтобы при получении оповещения выполнялись те или иные действия, можно использовать группы действий.

Развертывание шаблона

  1. Выберите элемент Развертывание в Azure, чтобы войти в Azure и открыть шаблон.

    Button to deploy the Resource Manager template to Azure.

  2. На странице "Настраиваемое развертывание" в разделе "Сведения о проекте" введите следующие сведения.

    Screenshot of Azure Monitor alert rule template.

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов.
    Область/регион Выберите значение для параметра Регион.
    Имя рабочей области Введите имя рабочей области. В этом примере имя рабочей области — myLogAnalyticsWorkspace.
    Расположение Введите Восточная часть США.

    Примечание.

    Расположение должно соответствовать расположению рабочей области.

  3. Выберите Просмотр и создание, а после прохождения проверки — Создать.

Создание правила ведения журнала диагностики Azure Monitor с помощью приложения логики

Этот шаблон обогащения оповещений об устранении рисков DDoS развертывает необходимые компоненты обогащенного оповещения об устранении рисков DDoS: правило генерации оповещений Azure Monitor, группа действий и приложение логики. Результатом является оповещение по электронной почте с подробными сведениями об IP-адресе, на который идет атака, в том числе о связанном с этим IP-адресом ресурсе. Владелец ресурса добавляется в качестве получателя соответствующего сообщения электронной почты наряду с группой безопасности. Выполняется также базовый тест доступности приложений, и результаты его включаются в оповещение по электронной почте.

Развертывание шаблона

  1. Выберите элемент Развертывание в Azure, чтобы войти в Azure и открыть шаблон.

    Button to deploy the Resource Manager template to Azure.

  2. На странице "Настраиваемое развертывание" в разделе "Сведения о проекте" введите следующие сведения.

    Screenshot of DDoS Mitigation Alert Enrichment template.

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов.
    Область/регион Выберите значение для параметра Регион.
    Имя оповещения Оставьте для использования по умолчанию.
    Электронная почта группы безопасности Введите необходимый адрес электронной почты.
    Домен организации Введите обязательный домен.
    Имя рабочей области Введите имя рабочей области. В этом примере имя рабочей области — myLogAnalyticsWorkspace.

  3. Выберите Просмотр и создание, а после прохождения проверки — Создать.

Очистка ресурсов

Вы можете сохранить ресурсы для следующего руководства. Если больше не требуется, удалите оповещения.

  1. В поле поиска в верхней части портала введите оповещения. Выберите оповещения в результатах поиска.

    Screenshot of Alerts page.

  2. Выберите правила генерации оповещений, а затем на странице правил генерации оповещений выберите подписку.

    Screenshot of Alert rules page.

  3. Выберите оповещения, созданные в этом руководстве, а затем нажмите кнопку "Удалить".

Следующие шаги

В этом руководстве вы узнали, как настроить диагностические оповещения с помощью портал Azure.

Чтобы протестировать защиту от атак DDoS с помощью имитаций, перейдите к следующему руководству.

Тестирование с помощью имитации представлений оповещенийв Microsoft Defender для облака