Condividi tramite


Esercitazione: visualizzare i log di Protezione DDoS di Azure nell'area di lavoro Log Analytics

In questa esercitazione apprenderai a:

  • Visualizzare i log di diagnostica di Protezione DDoS di Azure, tra cui notifiche, report di mitigazione e log dei flussi di mitigazione.

I log di diagnostica di Protezione DDoS consentono di visualizzare le notifiche di Protezione DDoS, i report di mitigazione e i log dei flussi di mitigazione dopo un attacco DDoS. È possibile visualizzare questi log nell'area di lavoro Log Analytics.

I report sulla mitigazione degli attacchi usano i dati del protocollo Netflow che vengono aggregati per fornire informazioni dettagliate sull'attacco alla risorsa. Ogni volta che una risorsa IP pubblica è sotto attacco, si avvia la generazione di report contestualmente alla mitigazione. Verranno generati un report incrementale ogni 5 minuti e un report post-mitigazione per l'intero periodo della mitigazione. Lo scopo è quello di garantire che, in caso di attacco DDoS per un periodo di tempo prolungato, sia possibile visualizzare lo snapshot più recente del report sulla mitigazione ogni 5 minuti, e un riepilogo completo al termine della mitigazione dell'attacco.

Prerequisiti

Visualizzare nell'area di lavoro Log Analytics

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca nella parte superiore del portale, immettere area di lavoro Log Analytics. Selezionare Area di lavoro Log Analytics nei risultati della ricerca.

  3. Nel pannello Aree di lavoro Log Analytics selezionare l'area di lavoro.

  4. Nella scheda a sinistra selezionare Log. Qui viene visualizzato il query esploratore. Uscire dal pannello Query per usare la pagina Log.

    Screenshot della visualizzazione di un'area di lavoro Log Analytics.

  5. Nella pagina Log, digitare la query e quindi premere Esegui per visualizzare i risultati.

    Screenshot della visualizzazione dei log di notifica di Protezione DDoS nell'area di lavoro Log Analytics.

Eseguire query sui log di Protezione DDoS di Azure nell'area di lavoro Log Analytics

Per maggiori informazioni sugli schemi di log, vedere Visualizzare i log di diagnostica.

Log DDoSProtectionNotifications

  1. Nel pannello Aree di lavoro Log Analytics selezionare l'area di lavoro Log Analytics.

  2. Nel riquadro sinistro, selezionare Log.

    Screenshot della query di log nelle aree di lavoro Log Analytics.

  3. In query Esploratore, digitare la query Kusto seguente e modificare l'intervallo di tempo in Personalizzato e modificare l'intervallo di tempo agli ultimi tre mesi. Quindi premere Esegui.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Per visualizzare DDoSMitigationFlowLogs, modificare la query nel modo seguente, mantenere lo stesso intervallo di tempo e premere Esegui.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Per visualizzare DDoSMitigationReports, modificare la query nel modo seguente, mantenere lo stesso intervallo di tempo e premere Esegui.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Query di log di esempio

Notifiche di Protezione DDoS

Si riceverà una notifica ogni volta che una risorsa IP pubblica è sotto attacco e quando la mitigazione degli attacchi è finita.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

La tabella seguente elenca i nomi dei campi e le descrizioni:

Nome del campo Descrizione
TimeGenerated La data e l’ora in cui è stata creata la notifica, in formato UTC.
ResourceId ID risorsa dell'indirizzo IP pubblico.
Categoria Per le notifiche, sarà DDoSProtectionNotifications.
ResourceGroup Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale.
SubscriptionId ID sottoscrizione del piano di protezione DDoS.
Conto risorse Nome dell'indirizzo IP pubblico.
ResourceType Sarà sempre PUBLICIPADDRESS.
OperationName Per le notifiche, questo corrisponde a DDoSProtectionNotifications.
Messaggio Dettagli dell'attacco.
Type Tipo di notifica. I valori possibili includono MitigationStarted. MitigationStopped.
PublicIpAddress Indirizzo IP pubblico.

DDoS Mitigation FlowLogs

I log del flusso di mitigazione degli attacchi consentono di esaminare il traffico eliminato, il traffico inoltrato e punti dati interessanti durante un attacco DDoS attivo quasi in tempo reale. È possibile inserire il flusso costante di questi dati in Microsoft Sentinel o nei sistemi SIEM di terze parti tramite l'hub eventi per il monitoraggio quasi in tempo reale, eseguire potenziali azioni e soddisfare l'esigenza di operazioni di difesa.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

La tabella seguente elenca i nomi dei campi e le descrizioni:

Nome del campo Descrizione
TimeGenerated La data e l’ora in cui è stata creata il log del flusso, in formato UTC.
ResourceId ID risorsa dell'indirizzo IP pubblico.
Categoria Per i log dei flussi, questo corrisponde a DDoSMitigationFlowLogs.
ResourceGroup Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale.
SubscriptionId ID sottoscrizione del piano di protezione DDoS.
Conto risorse Nome dell'indirizzo IP pubblico.
ResourceType Sarà sempre PUBLICIPADDRESS.
OperationName Per i log dei flussi, questo corrisponde a DDoSMitigationFlowLogs.
Messaggio Dettagli dell'attacco.
SourcePublicIpAddress Indirizzo IP pubblico del client che genera traffico verso l'indirizzo IP pubblico.
SourcePort Numero di porta compreso tra 0 e 65535.
DestPublicIpAddress Indirizzo IP pubblico.
DestPort Numero di porta compreso tra 0 e 65535.
Protocollo Tipo di protocollo. I valori possibili sono tcp, udp, other.

Report di mitigazione DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

La tabella seguente elenca i nomi dei campi e le descrizioni:

Nome del campo Descrizione
TimeGenerated La data e l’ora in cui è stata creata la notifica, in formato UTC.
ResourceId ID risorsa dell'indirizzo IP pubblico.
Categoria Per i report di mitigazione, questo corrisponde a DDoSMitigationReports.
ResourceGroup Gruppo di risorse che contiene l'indirizzo IP pubblico e la rete virtuale.
SubscriptionId ID sottoscrizione del piano di protezione DDoS.
Conto risorse Nome dell'indirizzo IP pubblico.
ResourceType Sarà sempre PUBLICIPADDRESS.
OperationName Per i report di mitigazione, questo corrisponde a DDoSMitigationReports
ReportType I valori possibili sono Incremental e PostMitigation.
MitigationPeriodStart La data e l’ora in cui è iniziata la mitigazione, in formato UTC.
MitigationPeriodEnd La data e l’ora in cui è terminata la mitigazione, in formato UTC.
IPAddress Indirizzo IP pubblico.
AttackVectors Riduzione delle prestazioni dei tipi di attacco. Le chiavi includono TCP SYN flood, TCP flood, UDP reflection UDP flood e Other packet flood.
TrafficOverview Riduzione delle prestazioni del traffico di attacco. Le chiavi includono Total packets, Total packets dropped, Total TCP packets dropped Total TCP packets, Total UDP packets, Total UDP packets dropped, Total Other packets e Total Other packets dropped.
Protocolli   Suddivisione dei protocolli inclusi. Le chiavi includono TCP, UDP e Other.   
DropReasons Analisi delle cause dei pacchetti eliminati. Le chiavi includono Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded e Packet was forwarded to service. I motivi di rilascio non validi per le violazioni del protocollo fanno riferimento a pacchetti non validi.
TopSourceCountries Suddivisione dei primi 10 paesi/aree geografiche di origine nel traffico in ingresso.
TopSourceCountriesForDroppedPackets Analisi dei primi 10 paesi/aree geografiche di origine per il traffico di attacco limitato.
TopSourceASNs Analisi delle prime 10 origini di numeri di sistema autonomi (ASN) del traffico in ingresso.  
SourceContinents Analisi del continente di origine per il traffico in ingresso.
Type Tipo di notifica. I valori possibili includono MitigationStarted. MitigationStopped.

Passaggi successivi

In questa esercitazione, si è appreso come visualizzare i log di diagnostica di Protezione DDoS in un'area di lavoro Log Analytics. Per maggiori informazioni sui passaggi consigliati da seguire quando si riceve un attacco DDoS, vedere questi passaggi successivi.