Självstudie: Visa och konfigurera Telemetri för Azure DDoS-skydd
Azure DDoS Protection ger detaljerade attackinsikter och visualiseringar med DDoS Attack Analytics. Kunder som skyddar sina virtuella nätverk mot DDoS-attacker har detaljerad insyn i attacktrafik och åtgärder som vidtas för att minimera attacken via rapporter om attackreducering och flödesloggar för minskning. Omfattande telemetri exponeras via Azure Monitor, inklusive detaljerade mått under en DDoS-attack. Aviseringar kan konfigureras för alla Azure Monitor-mått som visas av DDoS Protection. Loggning kan integreras ytterligare med Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics och Azure Storage för avancerad analys via Azure Monitor Diagnostics-gränssnittet.
I den här självstudien får du lära dig att:
- Visa Telemetri för Azure DDoS Protection
- Visa policyer för Azure DDoS Protection-åtgärder
- Validera och testa Telemetri för Azure DDoS Protection
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Förutsättningar
- Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
- Innan du kan slutföra stegen i den här självstudien måste du först skapa en DDoS-simuleringsattack för att generera telemetrin. Telemetridata registreras under en attack. Mer information finns i Testa DDoS Protection via simulering.
Visa Telemetri för Azure DDoS Protection
Telemetri för ett angrepp tillhandahålls i realtid via Azure Monitor. Även om åtgärdsutlösare för TCP SYN, TCP och UDP är tillgängliga under fredstid, är annan telemetri endast tillgänglig när en offentlig IP-adress har åtgärdats.
Du kan visa DDoS-telemetri för en skyddad offentlig IP-adress via tre olika resurstyper: DDoS-skyddsplan, virtuellt nätverk och offentlig IP-adress.
Mer information om mått finns i Övervaka Azure DDoS Protection för mer information om DDoS Protection-övervakningsloggar.
Visa mått från DDoS-skyddsplan
- Logga in på Azure-portalen och välj din DDoS-skyddsplan.
- På Menyn i Azure-portalen väljer eller söker du efter och väljer DDoS-skyddsplaner och väljer sedan din DDoS-skyddsplan.
- Gå till Övervakning och välj Mått.
- Välj Lägg till mått och välj sedan Omfång.
- I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
- Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
- För Mått väljer du Under DDoS-attack eller inte.
- Välj aggregeringstypen som Max.
Visa mått från virtuellt nätverk
- Logga in på Azure-portalen och bläddra till det virtuella nätverk som har DDoS-skydd aktiverat.
- Gå till Övervakning och välj Mått.
- Välj Lägg till mått och välj sedan Omfång.
- I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
- Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
- Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.
Kommentar
Om du vill filtrera IP-adresser väljer du Lägg till filter. Under Egenskap väljer du Skyddad IP-adress och operatorn ska vara inställd på =. Under Värden visas en listruta med offentliga IP-adresser som är associerade med det virtuella nätverket och som skyddas av Azure DDoS Protection.
Visa mått från offentlig IP-adress
- Logga in på Azure-portalen och bläddra till din offentliga IP-adress.
- På Menyn i Azure-portalen väljer eller söker du efter och väljer Offentliga IP-adresser och väljer sedan din offentliga IP-adress.
- Gå till Övervakning och välj Mått.
- Välj Lägg till mått och välj sedan Omfång.
- I menyn Välj ett omfång väljer du den Prenumeration som innehåller den offentliga IP-adress som du vill logga.
- Välj Offentlig IP-adress för Resurstyp och välj sedan den specifika offentliga IP-adress som du vill logga mått för och välj sedan Använd.
- Under Mått väljer du det valda måttet och under Sammansättning väljer du typ som Max.
Kommentar
När du ändrar DDoS IP-skydd från aktiverat till inaktiverat blir telemetri för den offentliga IP-resursen inte tillgänglig.
Visa DDoS-åtgärdsprinciper
Azure DDoS Protection tillämpar tre automatiskt finjusterade åtgärdsprinciper (TCP SYN, TCP och UDP) för varje offentlig IP-adress för den skyddade resursen i det virtuella nätverk som har DDoS-skydd aktiverat. Du kan visa principtrösklarna genom att välja inkommande TCP-paket för att utlösa DDoS-minskning och inkommande UDP-paket för att utlösa DDoS-åtgärdsmått med aggregeringstyp som Max, som du ser i följande bild:
Validera och testa
Information om hur du simulerar en DDoS-attack för att verifiera DDoS-skyddstelemetri finns i Verifiera DDoS-identifiering.
Nästa steg
I den här självstudiekursen lärde du dig att:
- Konfigurera aviseringar för DDoS-skyddsmått
- Visa telemetri för DDoS-skydd
- Visa DDoS-åtgärdsprinciper
- Validera och testa telemetri för DDoS-skydd
Om du vill lära dig hur du konfigurerar rapporter om attackreducering och flödesloggar fortsätter du till nästa självstudie.