Kurz: Zobrazení protokolů služby Azure DDoS Protection v pracovním prostoru služby Log Analytics
V tomto kurzu se naučíte:
- zobrazení diagnostických protokolů služby Azure DDoS Protection, včetně oznámení, sestav omezení rizik a protokolů toku omezení rizik
Diagnostické protokoly DDoS Protection poskytují možnost zobrazit oznámení DDoS Protection, sestavy omezení rizik a protokoly toku omezení rizik po útoku DDoS. Tyto protokoly můžete zobrazit v pracovním prostoru služby Log Analytics.
Sestavy omezení rizik útoků používají data protokolu Netflow, která se agregují k poskytnutí podrobných informací o útoku na váš prostředek. Kdykoli dojde k útoku na prostředek veřejné IP adresy, spustí se generování sestavy hned po spuštění omezení rizik. Bude se generovat přírůstková sestava každých 5 minut a sestava po zmírnění rizik pro celé období zmírnění rizik. To zajistí, že v případě, že útok DDoS bude pokračovat delší dobu, budete moct zobrazit nejnovější snímek sestavy zmírnění rizik každých 5 minut a úplný souhrn, jakmile bude zmírnění útoku ukončeno.
Požadavky
- Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
- Ochrana sítě DDoS musí být povolená ve virtuální síti nebo musí být na veřejné IP adrese povolená ochrana před útoky DDoS.
- Konfigurace diagnostických protokolů DDoS Protection Další informace najdete v tématu Konfigurace diagnostických protokolů.
- Simulace útoku pomocí některého z našich simulačních partnerů Další informace najdete v tématu Testování s partnery simulace.
Zobrazení v pracovním prostoru služby Log Analytics
Přihlaste se k portálu Azure.
Do vyhledávacího pole v horní části portálu zadejte pracovní prostor služby Log Analytics. Ve výsledcích hledání vyberte pracovní prostor Služby Log Analytics.
V okně Pracovní prostory služby Log Analytics vyberte svůj pracovní prostor.
Na levé kartě vyberte Protokoly. Tady se zobrazí průzkumník dotazů. Ukončete podokno Dotazy a využijte stránku Protokoly .
Na stránce Protokoly zadejte dotaz a pak stiskněte Spustit , aby se zobrazily výsledky.
Dotazování protokolů Azure DDoS Protection v pracovním prostoru služby Log Analytics
Další informace o schématech protokolů najdete v tématu Zobrazení diagnostických protokolů.
Protokoly DDoSProtectionNotifications
V okně Pracovní prostory služby Log Analytics vyberte pracovní prostor služby Log Analytics.
V levém bočním podokně vyberte Protokoly.
V Průzkumníku dotazů zadejte následující dotaz Kusto a změňte časový rozsah na Vlastní a změňte časový rozsah na poslední tři měsíce. Pak stiskněte Spustit.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"Pokud chcete zobrazit DDoSMitigationFlowLogs , změňte dotaz na následující a ponechte stejný časový rozsah a stiskněte Spustit.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"Pokud chcete zobrazit DDoSMitigationReports , změňte dotaz na následující a ponechte stejný časový rozsah a stiskněte Spustit.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Příklady dotazů na protokoly
Oznámení ochrany před útoky DDoS
Oznámení vás upozorní, kdykoli je prostředek veřejné IP adresy napadený, a když dojde ke zmírnění rizik útoku.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Popis |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy se oznámení vytvořilo. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | U oznámení to bude DDoSProtectionNotifications. |
| ResourceGroup | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| SubscriptionId | ID předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Typ prostředku | To bude vždy PUBLICIPADDRESS. |
| Název operace | Pro oznámení je to DDoSProtectionNotifications. |
| Zpráva | Podrobnosti o útoku. |
| Typ | Typ oznámení Možné hodnoty zahrnují MitigationStarted. MitigationStopped. |
| PublicIpAddress | Vaše veřejná IP adresa. |
FlowLogy omezení rizik útoků DDoS
Protokoly toku zmírnění útoků umožňují zkontrolovat vynechaný provoz, přesměrovaný provoz a další zajímavé datové body během aktivního útoku DDoS téměř v reálném čase. Konstantní datový proud těchto dat můžete ingestovat do Microsoft Sentinelu nebo do systémů SIEM třetích stran prostřednictvím centra událostí pro monitorování téměř v reálném čase, provádět potenciální akce a řešit potřeby vašich operací obrany.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Popis |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy byl vytvořen protokol toku. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | Pro protokoly toků je DDoSMitigationFlowLogsto . |
| ResourceGroup | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| SubscriptionId | ID předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Typ prostředku | To bude vždy PUBLICIPADDRESS. |
| Název operace | Pro protokoly toků je DDoSMitigationFlowLogsto . |
| Zpráva | Podrobnosti o útoku. |
| SourcePublicIpAddress | Veřejná IP adresa klienta generující provoz na vaši veřejnou IP adresu. |
| SourcePort | Číslo portu od 0 do 65535. |
| DestPublicIpAddress | Vaše veřejná IP adresa. |
| DestPort | Číslo portu od 0 do 65535. |
| Protokol | Typ protokolu. Mezi možné hodnoty patří tcp, udp, other. |
Sestavy omezení rizik útoků DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Popis |
|---|---|
| TimeGenerated | Datum a čas ve standardu UTC, kdy se oznámení vytvořilo. |
| ResourceId | ID prostředku vaší veřejné IP adresy. |
| Kategorie | U sestav pro zmírnění rizik je DDoSMitigationReportsto . |
| ResourceGroup | Skupina prostředků, která obsahuje vaši veřejnou IP adresu a virtuální síť. |
| SubscriptionId | ID předplatného plánu ochrany před útoky DDoS. |
| Prostředek | Název vaší veřejné IP adresy. |
| Typ prostředku | To bude vždy PUBLICIPADDRESS. |
| Název operace | U sestav pro zmírnění rizik je DDoSMitigationReportsto . |
| Typ sestavy | Možné hodnoty jsou Incremental a PostMitigation. |
| MitigationPeriodStart | Datum a čas ve standardu UTC, kdy začalo zmírnění rizik. |
| MitigationPeriodEnd | Datum a čas ve standardu UTC, kdy omezení rizik skončilo. |
| IPAddress | Vaše veřejná IP adresa. |
| Útočnévectory | Snížení počtu typů útoků. Klíče zahrnují TCP SYN flood, , TCP floodUDP flood, UDP reflectiona Other packet flood. |
| TrafficOverview | Snížení provozu útoku. Klíče zahrnují Total packets, , Total packets dropped, Total TCP packetsTotal TCP packets dropped, Total UDP packets droppedTotal UDP packets, , , Total Other packets, a Total Other packets dropped. |
| Protokoly | Rozpis zahrnutých protokolů Klíče zahrnují TCP, UDPa Other. |
| Důvody poklesu | Analýza příčin vyřazených paketů Klíče zahrnují Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, , UDP reflection, TCP rate limit exceeded, Destination limit exceededUDP rate limit exceeded, , Other packet flood Rate limit exceeded, a Packet was forwarded to service. Neplatné důvody vyřazení protokolu odkazují na poškozené pakety. |
| TopSourceCountries | Rozdělení prvních 10 zdrojových zemí nebo oblastí na příchozí provoz |
| TopSourceCountriesForDroppedPackets | Analýza 10 hlavních zdrojových zemí nebo oblastí za účelem omezení provozu útoku |
| Sítě TopSourceASNs | Analýza 10 hlavních zdrojů čísel autonomního systému (ASN) příchozího provozu |
| SourceContinents | Analýza zdrojového kontinentu pro příchozí provoz |
| Typ | Typ oznámení Možné hodnoty zahrnují MitigationStarted. MitigationStopped. |
Další kroky
V tomto kurzu jste zjistili, jak zobrazit diagnostické protokoly DDoS Protection v pracovním prostoru služby Log Analytics. Další informace odoporučených