Azure DDoS Protection bewaken

Azure Monitor verzamelt en aggregeert metrische gegevens en logboeken van uw systeem om de beschikbaarheid, prestaties en tolerantie te bewaken en u op de hoogte te stellen van problemen die van invloed zijn op uw systeem. U kunt de Azure-portal, PowerShell, Azure CLI, REST API of clientbibliotheken gebruiken om bewakingsgegevens in te stellen en weer te geven.

Er zijn verschillende metrische gegevens en logboeken beschikbaar voor verschillende resourcetypen. In dit artikel worden de typen bewakingsgegevens beschreven die u voor deze service kunt verzamelen en manieren om die gegevens te analyseren.

Gegevens verzamelen met Azure Monitor

In deze tabel wordt beschreven hoe u gegevens kunt verzamelen om uw service te bewaken en wat u kunt doen met de gegevens die eenmaal zijn verzameld:

Te verzamelen gegevens	Beschrijving	De gegevens verzamelen en routeren	Waar de gegevens worden weergegeven	Ondersteunde gegevens
Metrische gegevens	Metrische gegevens zijn numerieke waarden die een aspect van een systeem op een bepaald moment beschrijven. Metrische gegevens kunnen worden geaggregeerd met behulp van algoritmen, vergeleken met andere metrische gegevens en geanalyseerd op trends in de loop van de tijd.	- Automatisch verzameld met regelmatige tussenpozen. - U kunt bepaalde metrische platformgegevens omleiden naar een Log Analytics-werkruimte om query's uit te voeren op andere gegevens. Controleer de DS-exportinstelling voor elke metriek om te zien of u een diagnostische instelling kunt gebruiken om de metrische gegevens te routeren.	Metrics Explorer	Metrische gegevens van Azure DDoS Protection die worden ondersteund door Azure Monitor
Resourcelogboekgegevens	Logboeken worden systeemevenementen vastgelegd met een tijdstempel. Logboeken kunnen verschillende typen gegevens bevatten en gestructureerde of vrije tekst zijn. U kunt resourcelogboekgegevens routeren naar Log Analytics-werkruimten voor het uitvoeren van query's en analyses.	Maak een diagnostische instelling voor het verzamelen en routeren van resourcelogboekgegevens.	Log Analytics	Azure DDoS Protection-resourcelogboekgegevens die worden ondersteund door Azure Monitor
Activiteitenlogboekgegevens	Het Activiteitenlogboek van Azure Monitor biedt inzicht in gebeurtenissen op abonnementsniveau. Het activiteitenlogboek bevat informatie zoals wanneer een resource wordt gewijzigd of wanneer een virtuele machine wordt gestart.	- Automatisch verzameld. - Maak gratis een diagnostische instelling voor een Log Analytics-werkruimte.	Activiteitenlogboek

Zie voor de lijst met alle gegevens die worden ondersteund door Azure Monitor:

• Ondersteunde metrische gegevens van Azure Monitor
• Ondersteunde resourcelogboeken van Azure Monitor

Ingebouwde bewaking voor Azure DDoS Protection

Azure DDoS Protection biedt uitgebreide inzichten en visualisaties van aanvalspatronen via DDoS-aanvalsanalyse. Het biedt klanten uitgebreide inzicht in aanvalsverkeer en risicobeperkingsacties via rapporten en stroomlogboeken. Tijdens een DDoS-aanval zijn gedetailleerde metrische gegevens beschikbaar via Azure Monitor, waarmee ook waarschuwingsconfiguraties op basis van deze metrische gegevens zijn toegestaan.

U kunt telemetriegegevens van Azure DDoS-beveiliging weergeven en configureren.

Azure Monitor biedt in realtime telemetriegegevens over aanvallen. Hoewel beperkingstriggers voor TCP SYN beschikbaar zijn, zijn TCP & UDP beschikbaar tijdens vredestijd, is andere telemetrie alleen beschikbaar wanneer een openbaar IP-adres onder beperking valt.

U kunt DDoS-telemetrie voor een beveiligd openbaar IP-adres weergeven via drie verschillende resourcetypen: DDoS-beveiligingsplan, virtueel netwerk en openbaar IP-adres.

Logboekregistratie kan verder worden geïntegreerd met Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics en Azure Storage voor geavanceerde analyse via de Azure Monitor Diagnostics-interface.

Zie Bewaking van Azure DDoS Protection voor meer informatie over metrische gegevens voor meer informatie over bewakingslogboeken van DDoS Protection.

Metrische gegevens van DDoS-beveiligingsplan weergeven

1. Meld u aan bij Azure Portal en selecteer uw DDoS-beveiligingsplan.

2. Selecteer of zoek in het menu van Azure Portal DDoS-beveiligingsplannen en selecteer vervolgens uw DDoS-beveiligingsplan.

3. Selecteer Metrische gegevens onder Bewaking.

4. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.

5. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.

6. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.

7. Voor metrische gegevens selecteert u Onder DDoS-aanval of niet.

8. Selecteer het aggregatietype als Max.

   

Metrische gegevens van virtueel netwerk weergeven

1. Meld u aan bij Azure Portal en blader naar uw virtuele netwerk waarvoor DDoS-beveiliging is ingeschakeld.

2. Selecteer Metrische gegevens onder Bewaking.

3. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.

4. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.

5. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.

6. Selecteer onder Metrische gegevens de gekozen metrische waarde en selecteer vervolgens onder Aggregatie selecteert u het type Aggregatie als Max.

   

Notitie

Als u IP-adressen wilt filteren, selecteert u Filter toevoegen. Selecteer onder Eigenschap het beveiligde IP-adres en de operator moet worden ingesteld op =. Onder Waarden ziet u een vervolgkeuzelijst met openbare IP-adressen die zijn gekoppeld aan het virtuele netwerk, die worden beveiligd door Azure DDoS Protection.

Metrische gegevens van openbaar IP-adres weergeven

1. Meld u aan bij Azure Portal en blader naar uw openbare IP-adres.
2. Selecteer of zoek in het menu van Azure Portal openbare IP-adressen en selecteer vervolgens uw openbare IP-adres.
3. Selecteer Metrische gegevens onder Bewaking.
4. Selecteer Metrische waarde toevoegen en selecteer Vervolgens Bereik.
5. Selecteer in het menu Een bereik selecteren het abonnement dat het openbare IP-adres bevat dat u wilt registreren.
6. Selecteer openbaar IP-adres voor resourcetype en selecteer vervolgens het specifieke openbare IP-adres waarvoor u metrische gegevens wilt vastleggen en selecteer Vervolgens Toepassen.
7. Selecteer onder Metrische gegevens de gekozen metrische waarde en selecteer vervolgens onder Aggregatie selecteert u het type Aggregatie als Max.

Notitie

Wanneer u DDoS IP-beveiliging wijzigt van ingeschakeld in uitgeschakeld, is telemetrie voor de openbare IP-resource niet beschikbaar.

Beleid voor DDoS-risicobeperking weergeven

Azure DDoS Protection maakt gebruik van drie automatisch aangepaste beperkingsbeleidsregels (TCP SYN, TCP en UDP) voor elk openbaar IP-adres van de resource die wordt beveiligd. Deze benadering is van toepassing op elk virtueel netwerk waarvoor DDoS-beveiliging is ingeschakeld.

U kunt de beleidslimieten binnen de metrische gegevens van uw openbare IP-adres zien door de inkomende SYN-pakketten te kiezen om DDoS-beperking te activeren, binnenkomende TCP-pakketten om DDoS-risicobeperking te activeren en inkomende UDP-pakketten om metrische DDoS-beperkingsgegevens te activeren. Zorg ervoor dat u het aggregatietype instelt op Max.

Telemetrie van vredestijdverkeer weergeven

Het is belangrijk om de metrische gegevens voor TCP SYN-, UDP- en TCP-detectietriggers in de gaten te houden. Deze metrische gegevens helpen u te weten wanneer DDoS-beveiliging wordt gestart. Zorg ervoor dat deze triggers overeenkomen met de normale verkeersniveaus wanneer er geen aanval is.

U kunt een grafiek maken voor de resource van het openbare IP-adres. Neem in deze grafiek de metrische gegevens Pakketaantal en SYN Count op. Het aantal pakketten omvat zowel TCP- als UDP-pakketten. Hier ziet u de som van het verkeer.

Notitie

Als u een eerlijke vergelijking wilt maken, moet u de gegevens converteren naar pakketten per seconde. U kunt deze conversie uitvoeren door het getal dat u ziet te delen met 60, omdat de gegevens het aantal pakketten, bytes of SYN-pakketten vertegenwoordigen dat meer dan 60 seconden is verzameld. Als u bijvoorbeeld 91.000 pakketten hebt verzameld die meer dan 60 seconden zijn verzameld, verdeelt u 91.000 door 60 om ongeveer 1500 pakketten per seconde (pps) te krijgen.

Valideren en testen

Zie DDoS-detectie valideren om een DDoS-aanval te simuleren om DDoS-beveiligingstelemetrie te valideren.

Azure Monitor-hulpprogramma's gebruiken om de gegevens te analyseren

Deze Azure Monitor-hulpprogramma's zijn beschikbaar in Azure Portal om u te helpen bij het analyseren van bewakingsgegevens:

• Sommige Azure-services hebben een ingebouwd bewakingsdashboard in Azure Portal. Deze dashboards worden inzichten genoemd en u kunt ze vinden in de sectie Inzichten van Azure Monitor in Azure Portal.

• Met Metrics Explorer kunt u metrische gegevens voor Azure-resources weergeven en analyseren. Zie Metrische gegevens analyseren met Azure Monitor Metrics Explorer voor meer informatie.

• Met Log Analytics kunt u logboekgegevens opvragen en analyseren met behulp van de Kusto-querytaal (KQL). Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie.

• Azure Portal heeft een gebruikersinterface voor het weergeven en eenvoudig doorzoeken van het activiteitenlogboek. Als u uitgebreidere analyses wilt uitvoeren, stuurt u de gegevens door naar Azure Monitor-logboeken en voert u complexere query's uit in Log Analytics.

• Application Insights bewaakt de beschikbaarheid, prestaties en het gebruik van uw webtoepassingen, zodat u fouten kunt identificeren en diagnosticeren zonder te wachten tot een gebruiker deze rapporteert.
  Application Insights bevat verbindingspunten voor verschillende ontwikkelhulpprogramma's en kan worden geïntegreerd met Visual Studio ter ondersteuning van uw DevOps-processen. Zie Toepassingsbewaking voor App Service voor meer informatie.

Hulpprogramma's waarmee complexere visualisaties mogelijk zijn, zijn onder andere:

• Dashboards waarmee u verschillende soorten gegevens kunt combineren in één deelvenster in Azure Portal.
• Werkmappen, aanpasbare rapporten die u kunt maken in Azure Portal. Werkmappen kunnen tekst, metrische gegevens en logboekquery's bevatten.
• Grafana, een open platformhulpprogramma dat excelleert in operationele dashboards. U kunt Grafana gebruiken om dashboards te maken die gegevens uit meerdere andere bronnen dan Azure Monitor bevatten.
• Power BI, een business analytics-service die interactieve visualisaties biedt in verschillende gegevensbronnen. U kunt Power BI zo configureren dat logboekgegevens automatisch vanuit Azure Monitor worden geïmporteerd om te profiteren van deze visualisaties.

Azure Monitor-gegevens exporteren

U kunt gegevens uit Azure Monitor exporteren naar andere hulpprogramma's met behulp van:

• Metrische gegevens: gebruik de REST API voor metrische gegevens om metrische gegevens te extraheren uit de metrische Azure Monitor-database. Zie azure Monitor REST API-naslaginformatie voor meer informatie.

• Logboeken: Gebruik de REST API of de bijbehorende clientbibliotheken.

• De gegevensexport van de Log Analytics-werkruimte.

Als u aan de slag wilt gaan met de Rest API van Azure Monitor, raadpleegt u de stapsgewijze instructies voor Azure Monitoring REST API.

Kusto-query's gebruiken om logboekgegevens te analyseren

U kunt Azure Monitor-logboekgegevens analyseren met behulp van de Kusto-querytaal (KQL). Zie Logboekquery's in Azure Monitor voor meer informatie.

Azure Monitor-waarschuwingen gebruiken om u op de hoogte te stellen van problemen

Met Azure Monitor-waarschuwingen kunt u problemen in uw systeem identificeren en oplossen, en u proactief op de hoogte stellen wanneer er specifieke voorwaarden worden gevonden in uw bewakingsgegevens voordat uw klanten ze opmerken. U kunt een waarschuwing ontvangen voor elke metrische gegevensbron of logboekgegevensbron in het Azure Monitor-gegevensplatform. Er zijn verschillende soorten Azure Monitor-waarschuwingen , afhankelijk van de services die u bewaakt en de bewakingsgegevens die u verzamelt. Zie Het kiezen van het juiste type waarschuwingsregel.

Aanbevolen Azure Monitor-waarschuwingsregels voor Azure DDoS Protection

Zie Waarschuwingen voor metrische gegevens van Azure DDoS Protection configureren via de portal en waarschuwingen voor diagnostische logboekregistratie van Azure DDoS Protection configureren voor meer informatie over waarschuwingen in Azure DDoS Protection.

Zie Voorbeeldquery's voor logboekwaarschuwingen voor voorbeelden van veelvoorkomende waarschuwingen voor Azure-resources.

Waarschuwingen op schaal implementeren

Voor sommige services kunt u op schaal bewaken door dezelfde waarschuwingsregel voor metrische gegevens toe te passen op meerdere resources van hetzelfde type dat in dezelfde Azure-regio aanwezig is. Azure Monitor Baseline Alerts (AMBA) biedt een semi-geautomatiseerde methode voor het implementeren van belangrijke metrische platformwaarschuwingen, dashboards en richtlijnen op schaal.

Gerelateerde inhoud

• Naslaginformatie over bewakingsgegevens van Azure DDoS Protection
• Azure-resources bewaken met Azure Monitor
• DDoS-waarschuwingen configureren
• Waarschuwingen weergeven in Microsoft Defender voor Cloud
• Testen met simulatiepartners