Självstudie: Visa och konfigurera Telemetri för Azure DDoS-skydd

  • Artikel

Azure DDoS Protection ger detaljerade attackinsikter och visualiseringar med DDoS Attack Analytics. Kunder som skyddar sina virtuella nätverk mot DDoS-attacker har detaljerad insyn i attacktrafik och åtgärder som vidtas för att minimera attacken via rapporter om attackreducering och flödesloggar för minskning. Omfattande telemetri exponeras via Azure Monitor, inklusive detaljerade mått under en DDoS-attack. Aviseringar kan konfigureras för alla Azure Monitor-mått som visas av DDoS Protection. Loggning kan integreras ytterligare med Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.

I den här självstudien får du lära dig att:

  • Visa Telemetri för Azure DDoS Protection
  • Visa policyer för Azure DDoS Protection-åtgärder
  • Validera och testa Telemetri för Azure DDoS Protection

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
  • Innan du kan slutföra stegen i den här självstudien måste du först skapa en DDoS-simuleringsattack för att generera telemetrin. Telemetridata registreras under en attack. Mer information finns i Testa DDoS Protection via simulering.

Visa Telemetri för Azure DDoS Protection

Telemetri för ett angrepp tillhandahålls i realtid via Azure Monitor. Även om åtgärdsutlösare för TCP SYN, TCP och UDP är tillgängliga under fredstid, är annan telemetri endast tillgänglig när en offentlig IP-adress har åtgärdats.

Du kan visa DDoS-telemetri för en skyddad offentlig IP-adress via tre olika resurstyper: DDoS-skyddsplan, virtuellt nätverk och offentlig IP-adress.

Mer information om mått finns i Övervaka Azure DDoS Protection för mer information om DDoS Protection-övervakningsloggar.

Visa mått från DDoS-skyddsplan

  1. Logga in på Azure-portalen och välj din DDoS-skyddsplan.
  2. På Menyn i Azure-portalen väljer eller söker du efter och väljer DDoS-skyddsplaner och väljer sedan din DDoS-skyddsplan.
  3. Gå till Övervakning och välj Mått.
  4. Välj Lägg till mått och välj sedan Omfång.
  5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
  6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
  7. För Mått väljer du Under DDoS-attack eller inte.
  8. Välj aggregeringstypen som Max.

Screenshot of creating DDoS protection metrics menu.

Visa mått från virtuellt nätverk

  1. Logga in på Azure-portalen och bläddra till det virtuella nätverk som har DDoS-skydd aktiverat.
  2. Gå till Övervakning och välj Mått.
  3. Välj Lägg till mått och välj sedan Omfång.
  4. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
  5. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
  6. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

Kommentar

Om du vill filtrera IP-adresser väljer du Lägg till filter. Under Egenskap väljer du Skyddad IP-adress och operatorn ska vara inställd på =. Under Värden visas en listruta med offentliga IP-adresser som är associerade med det virtuella nätverket och som skyddas av Azure DDoS Protection.

Screenshot of DDoS diagnostic settings.

Visa mått från offentlig IP-adress

  1. Logga in på Azure-portalen och bläddra till din offentliga IP-adress.
  2. På Menyn i Azure-portalen väljer eller söker du efter och väljer Offentliga IP-adresser och väljer sedan din offentliga IP-adress.
  3. Gå till Övervakning och välj Mått.
  4. Välj Lägg till mått och välj sedan Omfång.
  5. I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
  6. Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
  7. Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.

Kommentar

När du ändrar DDoS IP-skydd från aktiverat till inaktiverat blir telemetri för den offentliga IP-resursen inte tillgänglig.

Visa DDoS-åtgärdsprinciper

Azure DDoS Protection tillämpar tre automatiskt finjusterade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen i det virtuella nätverk som har DDoS-skydd aktiverat. Du kan visa principtrösklarna genom att välja inkommande TCP-paket för att utlösa DDoS-minskning och inkommande UDP-paket för att utlösa DDoS-åtgärdsmått med aggregeringstyp som Max, som du ser i följande bild:

Screenshot of viewing mitigation policies.

Validera och testa

Information om hur du simulerar en DDoS-attack för att verifiera DDoS-skyddstelemetri finns i Verifiera DDoS-identifiering.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Konfigurera aviseringar för DDoS-skyddsmått
  • Visa telemetri för DDoS-skydd
  • Visa DDoS-åtgärdsprinciper
  • Validera och testa telemetri för DDoS-skydd

Om du vill lära dig hur du konfigurerar rapporter om attackreducering och flödesloggar fortsätter du till nästa självstudie.

Visa och konfigurera diagnostisk loggning för DDoS-skydd