Supervisar la DDoS Protection de Azure

Azure Monitor recopila y agrega métricas y registros del sistema para supervisar la disponibilidad, el rendimiento y la resistencia, y le notifica los problemas que afectan al sistema. Puede usar Azure Portal, PowerShell, la CLI de Azure, la API de REST o las bibliotecas cliente para configurar y ver los datos de supervisión.

Hay diferentes métricas y registros disponibles para distintos tipos de recursos. En este artículo se describen los tipos de datos de supervisión que puede recopilar para este servicio y las formas de analizarlos.

Recopilación de datos con Azure Monitor

En esta tabla se describe cómo puede recopilar datos para supervisar el servicio y lo que puede hacer con los datos una vez recopilados:

Datos que se van a recopilar	Descripción	Recopilación y enrutamiento de los datos	Dónde ver los datos	Datos admitidos
Datos métricos	Las métricas son valores numéricos que describen un aspecto de un sistema en un momento dado. Las métricas se pueden agregar mediante algoritmos, compararse con otras métricas y analizarse en busca de tendencias a lo largo del tiempo.	- Se recopilan automáticamente a intervalos regulares. - Puede enrutar algunas métricas de plataforma a un área de trabajo de Log Analytics para consultar con otros datos. Compruebe la configuración exportación de DS para cada métrica para ver si puede usar una configuración de diagnóstico para enrutar los datos de métricas.	Explorador de métricas	Métricas de Azure DDoS Protection compatibles con Azure Monitor
Datos de registro de recursos	Los registros son eventos del sistema registrados con una marca de tiempo. Los registros pueden contener diferentes tipos de datos, ser de texto estructurado o de forma libre, y contienen una marca de tiempo. Puede enrutar datos de registro de recursos a áreas de trabajo de Log Analytics para realizar consultas y análisis.	Cree una configuración de diagnóstico para recopilar y enrutar datos de registro de recursos.	Log Analytics	Datos de registro de recursos de Azure DDoS Protection compatibles con Azure Monitor
Datos del registro de actividad	El registro de actividad de Azure Monitor proporciona información sobre los eventos del nivel de suscripción. El registro de actividad incluye información como, por ejemplo, cuándo se modificó un recurso o cuándo se inició una máquina virtual.	- Se recopilan automáticamente. - Cree una configuración de diagnóstico a un área de trabajo de Log Analytics sin cargo alguno.	Registro de actividad

Para obtener la lista de todos los datos admitidos por Azure Monitor, consulte:

• Métricas admitidas por Azure Monitor
• Registros de recursos admitidos por Azure Monitor

Supervisión integrada para Azure DDoS Protection

Azure DDoS Protection ofrece información detallada y visualizaciones de patrones de ataque a través de Análisis de ataques DDoS. Proporciona a los clientes visibilidad completa sobre el tráfico de ataque y las acciones de mitigación a través de informes y registros de flujo. Durante un ataque DDoS, hay métricas detalladas disponibles a través de Azure Monitor, que también permite configuraciones de alerta basadas en estas métricas.

Puede ver y configurar la telemetría de Azure DDoS Protection.

La telemetría para un ataque se proporciona a través de Azure Monitor en tiempo real. Aunque los desencadenadores de mitigación para TCP SYN, TCP Y UDP están disponibles en tiempos de calma, otros datos de telemetría solo están disponibles cuando una dirección IP pública está en proceso de mitigación.

Puede ver los datos de telemetría de DDoS de una dirección IP pública protegida mediante tres tipos de recursos diferentes: plan de protección contra DDoS, red virtual y dirección IP pública.

El registro se puede integrar adicionalmente con Microsoft Sentinel, Splunk (Azure Event Hubs), Log Analytics de OMS y Azure Storage para realizar análisis avanzados con la interfaz de diagnósticos de Azure Monitor.

Para más información sobre las métricas, consulte Supervisión de Azure DDoS Protection para más información sobre los registros de supervisión de DDoS Protection.

Visualización de métricas del plan de protección contra DDoS

1. Inicie sesión en Azure Portal y seleccione el plan de protección contra DDoS.

2. En el menú de Azure Portal, seleccione o busque y seleccione Planes de protección contra DDoS y, después, seleccione el plan de protección contra DDoS.

3. En Supervisión, seleccione Métricas.

4. Seleccione Agregar métrica y luego elija Ámbito.

5. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.

6. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.

7. Para Métrica , seleccione Bajo ataque DDoS o no.

8. En Agregación, seleccione el tipo Máximo.

   

Visualización de métricas de la red virtual

1. Inicie sesión en Azure Portal y vaya a la red virtual que tiene la protección contra DDoS habilitada.

2. En Supervisión, seleccione Métricas.

3. Seleccione Agregar métrica y luego elija Ámbito.

4. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.

5. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.

6. En Métrica, seleccione la métrica elegida y, después, en Agregación, seleccione el tipo como Máximo.

   

Nota:

Para filtrar direcciones IP, seleccione Agregar filtro. En Propiedad, seleccione Dirección IP protegida y el operador se debe establecer en =. En Valores, verá una lista desplegable de direcciones IP públicas, asociadas a la red virtual, protegidas por Azure DDoS Protection.

Visualización de métricas de la dirección IP pública

1. Inicie sesión en Azure Portal y vaya a la dirección IP pública.
2. En el menú de Azure Portal, seleccione o busque y seleccione Direcciones IP públicas y, después, seleccione la dirección IP pública.
3. En Supervisión, seleccione Métricas.
4. Seleccione Agregar métrica y luego elija Ámbito.
5. En el menú Seleccionar un ámbito, seleccione una opción en Suscripción que contenga la dirección IP pública que quiere registrar.
6. Seleccione la dirección IP pública para el tipo de recurso y luego seleccione la dirección IP pública específica para la que quiere registrar las métricas. Finalmente, seleccione Aplicar.
7. En Métrica, seleccione la métrica elegida y, después, en Agregación, seleccione el tipo como Máximo.

Nota:

Al cambiar la protección de IP de DDoS de habilitado a deshabilitado, la telemetría del recurso de dirección IP pública no está disponible.

Visualización de las directivas de mitigación de DDoS

Azure DDoS Protection usa tres directivas de mitigación ajustadas automáticamente (TCP SYN, TCP y UDP) para cada dirección IP pública del recurso que se está protegiendo. Este enfoque se aplica a cualquier red virtual con la protección contra DDoS habilitada.

Puede ver los límites de directiva dentro de las métricas de dirección IP pública eligiendo los Paquetes de entrada SYN para desencadenar la mitigación de DDoS, Paquetes TCP de entrada para desencadenar la mitigación de DDoS, y Paquetes UDP de entrada para desencadenar métricas de mitigación de DDoS. Asegúrese de establecer el tipo de agregación en Max.

Visualización de la telemetría del tráfico en tiempo de paz

Es importante tener en cuenta las métricas de los desencadenadores de detección TCP SYN, UDP y TCP. Estas métricas le ayudan a saber cuándo se inicia la protección contra DDoS. Asegúrese de que estos desencadenadores reflejan los niveles de tráfico normales cuando no hay ningún ataque.

Puede crear un gráfico para el recurso de dirección IP pública. En este gráfico, incluya las métricas Recuento de paquetes y Recuento de SYN. El recuento de paquetes incluye paquetes TCP y UDP. Esto muestra la suma del tráfico.

Nota:

Para realizar una comparación justa, debe convertir los datos en paquetes por segundo. Puede realizar esta conversión dividiendo el número que ve en 60, ya que los datos representan el número de paquetes, bytes o paquetes SYN recopilados durante más de 60 segundos. Por ejemplo, si tiene 91 000 paquetes recopilados más de 60 segundos, divida 91 000 en 60 para obtener aproximadamente 1500 paquetes por segundo (pps).

Validación y prueba

Para simular un ataque DDoS para validar la telemetría de la protección contra DDoS, consulte Validación de la detección de DDoS.

Uso de herramientas de Azure Monitor para analizar los datos

Estas herramientas de Azure Monitor están disponibles en Azure Portal para ayudarle a analizar los datos de supervisión:

• Algunos servicios de Azure tienen un panel de supervisión integrado en Azure Portal. Estos paneles se denominan Información, y puede encontrarlos en la sección Información de Azure Monitor en Azure Portal.

• Explorador de métricas le permite ver y analizar métricas de recursos de Azure. Para obtener más información, consulte Análisis de métricas con el explorador de métricas de Azure Monitor.

• Log Analytics le permite consultar y analizar datos de registro mediante el Lenguaje de consulta Kusto (KQL). Para más información, consulta Introducción a las consultas de registro en Azure Monitor.

• Azure Portal tiene una interfaz de usuario para la visualización y búsquedas básicas del registro de actividad. Para realizar un análisis más detallado, enrute los datos a los registros de Azure Monitor y ejecute consultas más complejas en Log Analytics.

• Application Insights supervisa la disponibilidad, el rendimiento y el uso de las aplicaciones web, por lo que puede identificar y diagnosticar errores sin esperar a que un usuario los notifique.
  Application Insights incluye puntos de conexión con una serie de herramientas de desarrollo y se integra con Visual Studio para admitir los procesos de DevOps. Para más información, consulte Supervisión de aplicaciones para App Service.

Entre las herramientas que permiten una visualización más compleja se incluyen:

• Paneles que permiten combinar diferentes tipos de datos en un único panel de Azure Portal.
• Libros: informes personalizables que se pueden crear en Azure Portal. Los libros pueden incluir texto, métricas y consultas de registro.
• Grafana: una herramienta de plataforma abierta que se destaca en los paneles operativos. Puede usar Grafana para crear paneles que incluyan datos de varios orígenes distintos de Azure Monitor.
• Power BI: un servicio de análisis empresarial que proporciona visualizaciones interactivas en varios orígenes de datos. Puede configurar Power BI para que los datos de registro se importen automáticamente desde Azure Monitor y utilizar estas otras adicionales.

Exportación de datos de Azure Monitor

Puede exportar datos de Azure Monitor a otras herramientas mediante:

• Métricas: con la API de REST para métricas puede extraer datos de métricas de la base de datos de métricas de Azure Monitor. Para obtener más información, consulte Referencia de la API de REST de Azure Monitor.

• Registros: use la API de REST o las bibliotecas de cliente asociadas.

• La exportación de datos del área de trabajo de Log Analytics.

Para empezar a trabajar con la API de REST de Azure Monitor, consulte Tutorial sobre la API de REST de supervisión de Azure.

Uso de consultas de Kusto para analizar datos de registro

Puede analizar los datos de registro de Azure Monitor mediante el Lenguaje de consulta Kusto (KQL). Para más información, vea Consultas de registro en Azure Monitor.

Uso de alertas de Azure Monitor para notificarle problemas

Las alertas de Azure Monitor le permiten identificar y solucionar problemas en el sistema y le notifican de forma proactiva cuando se detectan condiciones específicas en los datos de supervisión antes de que los clientes se den cuenta. Puede alertar sobre cualquier métrica o fuente de datos de registro en la plataforma de datos de Azure Monitor. Hay muchos tipos diferentes de alertas de Azure Monitor en función de los servicios que esté supervisando y de los datos de supervisión que esté recopilando. Ver Elección del tipo correcto de regla de alertas.

Reglas de alertas recomendadas de Azure Monitor para Azure DDoS Protection

Para más información acerca de las alertas en Azure DDoS Protection, consulte Configuración de alertas de métricas de Azure DDoS Protection a través del portal y Configuración de alertas de registro de diagnóstico de Azure DDoS Protection.

Para obtener ejemplos de alertas comunes para recursos de Azure, consulte Consultas de alertas de registro de ejemplo.

Implementación de alertas a escala

Para algunos servicios, puede supervisar a escala aplicando la misma regla de alertas de métricas a varios recursos del mismo tipo que existen en la misma región de Azure. El sitio de Alertas de línea de base de Azure Monitor (AMBA) proporciona un método semiautomatizado para implementar alertas, paneles e instrucciones importantes de métricas de plataforma a escala.

Contenido relacionado

• Referencia de datos de supervisión de Azure DDoS Protection
• Supervisión de recursos de Azure con Azure Monitor
• Configuración de las alertas de DDoS
• Visualización de las alertas de Microsoft Defender for Cloud
• Prueba con asociados simulados