Monitorar a Proteção contra DDoS do Azure

O Azure Monitor coleta e agrega métricas e logs do seu sistema para monitorar a disponibilidade, o desempenho e a resiliência e notificá-lo sobre problemas que afetam seu sistema. Você pode usar o portal do Azure, o PowerShell, a CLI do Azure, a API REST ou as bibliotecas de cliente para configurar e exibir dados de monitoramento.

Métricas e logs diferentes estão disponíveis para diferentes tipos de recursos. Este artigo descreve os tipos de dados de monitoramento que você pode coletar para esse serviço e as maneiras de analisar esses dados.

Coletar dados com o Azure Monitor

Esta tabela descreve como você pode coletar dados para monitorar seu serviço e o que você pode fazer com os dados depois de coletados:

Dados a serem coletados	Descrição	Como coletar e rotear os dados	Onde visualizar os dados	Tipos de dados compatíveis
Dados de métrica	As métricas são valores numéricos que descrevem um aspecto de um sistema em um ponto específico no tempo. As métricas podem ser agregadas usando algoritmos, comparadas a outras métricas e analisadas quanto a tendências ao longo do tempo.	- Coletado automaticamente em intervalos regulares. – Você pode rotear algumas métricas de plataforma para um workspace do Log Analytics para consultar outros dados. Verifique a configuração de exportação para o DS de cada métrica para ver se você pode usar uma configuração de diagnóstico para rotear os dados da métrica.	Metrics Explorer	Métricas da Proteção contra DDoS do Azure com suporte do Azure Monitor
Dados do log de recursos	Os logs são eventos registrados do sistema com um carimbo de data/hora. Os logs podem conter diferentes tipos de dados e ser texto estruturado ou de forma livre. Você pode rotear dados de log de recursos para workspaces do Log Analytics para consulta e análise.	Crie uma configuração de diagnóstico para coletar e rotear dados de log de recursos.	Log Analytics	Dados de log de recursos da Proteção contra DDoS do Azure com suporte do Azure Monitor
Dados do log de atividades	O log de atividades do Azure Monitor fornece informações sobre eventos no nível da assinatura. O log de atividades inclui informações sobre a alteração de um recurso ou a inicialização de uma máquina virtual.	- Coletado automaticamente. - Crie uma configuração de diagnóstico para um workspace do Log Analytics sem custo.	Log de atividades

Para obter a lista de todos os dados compatíveis com o Azure Monitor, consulte:

• Métricas com suporte do Azure Monitor
• Logs de recursos com suporte do Azure Monitor

Monitoramento interno da Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure oferece insights aprofundados e visualizações de padrões de ataque por meio da Análise de Ataque de DDoS. Ele fornece aos clientes uma visibilidade abrangente sobre o tráfego de ataque e ações de mitigação por meio de relatórios e logs de fluxo. Durante um ataque de DDoS, as métricas detalhadas estão disponíveis por meio do Azure Monitor, que também permite configurações de alerta com base nessas métricas.

Você pode ver e configurar a telemetria da Proteção contra DDoS do Azure.

A telemetria de um ataque é fornecida por meio do Azure Monitor em tempo real. Enquanto os gatilhos de mitigação para TCP SYN e TCP & UDP estão disponíveis durante o tempo de paz, o restante da telemetria está disponível somente quando um endereço IP público está sob mitigação.

Você pode exibir telemetria de DDoS para um endereço IP público protegido por meio de três tipos de recursos diferentes: plano de proteção contra DDoS, rede virtual e endereço IP público.

O registro em log pode ser integrado ainda mais ao Microsoft Sentinel, Splunk (Hubs de Eventos do Azure), Log Analytics do OMS e Armazenamento do Microsoft Azure para obter análise avançada por meio da interface de Diagnóstico do Azure Monitor.

Para obter mais informações sobre métricas, consulte Monitoramento da Proteção contra DDoS do Azure para obter detalhes sobre os logs de monitoramento da Proteção contra DDoS.

Exibir as métricas do plano de proteção contra DDoS

1. Entre no portal do Azure e selecione o seu plano de proteção contra DDoS.

2. No menu do portal do Azure, selecione ou pesquise e selecione planos de proteção contra DDoS e selecione o seu plano de proteção contra DDoS.

3. Em Monitoramento, selecione Métricas.

4. Selecione Adicionar métrica e selecione Escopo.

5. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.

6. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.

7. Para Métrica, selecione Sob DDoS ou não.

8. Escolha o tipo de Agregação como Máximo.

   

Exibir as métricas da rede virtual

1. Entre no portal do Azure e navegue até a rede virtual que tem o plano de proteção contra DDoS habilitado.

2. Em Monitoramento, selecione Métricas.

3. Selecione Adicionar métrica e selecione Escopo.

4. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.

5. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.

6. Em Métrica, selecione a métrica escolhida e, em Agregação, selecione o tipo como Máx.

   

Observação

Para filtrar endereços IP, selecione Adicionar filtro. Em Propriedade, selecione Endereço IP protegido. O operador deve ser definido como =. Em Valores, você verá uma lista suspensa de endereços IP públicos associados à rede virtual que estão protegidos pela Proteção contra DDoS do Azure.

Exibir métricas do endereço IP público

1. Entre no portal do Azure e navegue até o endereço IP público.
2. No menu do portal do Azure, selecione ou pesquise e selecione Endereços IP públicos e selecione o seu endereço IP público.
3. Em Monitoramento, selecione Métricas.
4. Selecione Adicionar métrica e selecione Escopo.
5. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.
6. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.
7. Em Métrica, selecione a métrica escolhida e, em Agregação, selecione o tipo como Máx.

Observação

Quando você alterar a proteção de IP contra DDoS de Habilitada para Desabilitada, a telemetria para o recurso de IP público não estará disponível.

Exibir políticas de mitigação de DDoS

A Proteção contra DDoS do Azure usa três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) para cada endereço IP público do recurso que está sendo protegido. Essa abordagem se aplica a qualquer rede virtual com a proteção contra DDoS habilitada.

Você pode ver os limites de política em suas métricas de endereço IP público escolhendo as métricas de Pacotes SYN de entrada para disparar mitigação de DDoS, Pacotes TCP de entrada para disparar mitigação de DDoS e Pacotes UDP de entrada para disparar mitigação de DDoS. Defina o tipo de agregação como Max.

Exibir telemetria de tráfego na ausência de ataques

É importante ficar de olho nas métricas dos gatilhos de detecção TCP SYN, UDP e TCP. Essas métricas ajudam você a saber quando a proteção contra DDoS é iniciada. Certifique-se de que esses gatilhos reflitam os níveis de tráfego normais quando não houver nenhum ataque.

Você pode criar um gráfico para o recurso de endereço IP público. Neste gráfico, inclua as métricas Contagem de Pacotes e Contagem SYN. A Contagem de pacotes inclui pacotes TCP e UDP. Isso mostra a soma do tráfego.

Observação

Para fazer uma comparação justa, você precisa converter os dados em pacotes por segundo. Você pode fazer essa conversão dividindo o número que você vê por 60, pois os dados representam o número de pacotes, os bytes ou os pacotes SYN coletados ao longo de 60 segundos. Por exemplo, se você tiver 91.000 pacotes coletados ao longo de 60 segundos, divida 91.000 por 60 para obter aproximadamente 1.500 pps (pacotes por segundo).

Validar e testar

Para simular um ataque de DDoS para validar a telemetria de proteção contra DDoS, consulte Validar detecção de DDoS.

Usar as ferramentas do Azure Monitor para analisar os dados

Essas ferramentas do Azure Monitor estão disponíveis no portal do Azure para ajudar você a analisar os dados de monitoramento:

• Alguns serviços do Azure têm um painel de monitoramento interno no portal do Azure. Esses painéis são chamados de insights e você pode encontrá-los na seção insights do Azure Monitor no portal do Azure.

• Gerenciador de métricas permite exibir e analisar métricas para recursos do Azure. Para obter mais informações sobre essa ferramenta, consulte Analisar métricas com o explorador de métricas do Azure Monitor.

• O Log Analytics permite consultar e analisar dados de log usando a KQL (linguagem de consulta Kusto). Para obter mais informações, veja Introdução às consultas de log no Azure Monitor.

• O portal do Azure tem uma interface do usuário para exibição e pesquisas básicas do log de atividades. Para fazer uma análise mais aprofundada, roteie os dados para os logs do Azure Monitor e execute consultas mais complexas no Log Analytics.

• O Application Insights monitora a disponibilidade, o desempenho e o uso de seus aplicativos Web, para que você possa identificar e diagnosticar erros sem esperar que um usuário os relate. O
  Application Insights inclui pontos de conexão com várias ferramentas de desenvolvimento e se integra ao Visual Studio para dar suporte aos seus processos de DevOps. Para obter mais informações, confira Monitoramento de aplicativos do Serviço de Aplicativo.

As ferramentas que permitem uma visualização mais complexa incluem:

• Painéis, que permitem que você combine diferentes tipos de dados em um único painel no portal do Azure.
• Pastas de Trabalho, relatórios personalizáveis que você pode criar no portal do Azure. As pastas de trabalho podem incluir texto, métricas e consultas de log.
• Grafana, uma ferramenta de plataforma aberta que oferece excelência em termos de painéis operacionais. Você pode usar o Grafana para criar painéis que incluem dados de várias fontes além do Azure Monitor.
• Power BI, um serviço de análises corporativas que fornece visualizações interativas nas diversas fontes de dados. Você pode configurar o Power BI para importar dados de log automaticamente do Azure Monitor a fim de aproveitar essas visualizações.

Exportar dados do Azure Monitor

Você pode exportar dados do Azure Monitor para outras ferramentas usando:

• Métricas: Use a API REST para métricas para extrair dados de métricas do banco de dados de métricas do Azure Monitor. Para obter mais informações, confira Referência da API REST do Azure Monitor.

• Logs: Use a API REST ou as bibliotecas de cliente associadas.

• A exportação de dados do espaço de trabalho Log Analytics.

Para começar a usar a API REST do Azure Monitor, confira Passo a passo da API REST de monitoramento do Azure.

Usar consultas Kusto para analisar dados de log

Você pode analisar os dados de log do Azure Monitor usando a linguagem de consulta Kusto (KQL). Para obter mais informações, confira Consultas de log no Azure Monitor.

Usar alertas do Azure Monitor para notificá-lo sobre problemas

Os alertas do Azure Monitor permitem que você identifique e resolva problemas em seu sistema e notifique proativamente quando condições específicas são encontradas em seus dados de monitoramento antes que seus clientes as percebam. Você pode receber alertas sobre qualquer fonte de dados de log ou métrica na plataforma de dados do Azure Monitor. Há tipos diferentes de alertas do Azure Monitor dependendo dos serviços que você está monitorando e dos dados de monitoramento que está coletando. Consulte Escolhendo o tipo certo de regra de alerta.

Regras de alerta recomendadas do Azure Monitor para a Proteção contra DDoS do Azure

Para obter mais informações sobre os alertas da Proteção contra DDoS do Azure, confira Configurar alertas de métrica da Proteção contra DDoS do Azure por meio do portal e Configurar alertas de log de diagnóstico da Proteção contra DDoS do Azure.

Para obter exemplos de alertas comuns para recursos do Azure, confira Amostra de consultas de alerta de logs.

Implementando alertas em escala

No caso de alguns serviços, você pode monitorar em larga escala aplicando a mesma regra de alerta de métricas a vários recursos do mesmo tipo que existem na mesma região do Azure. Os Alertas de Linha de Base do Azure Monitor (AMBA) fornecem um método semiautomatizado de implementação de alertas de métrica de plataforma importantes, painéis e diretrizes em escala.

Conteúdo relacionado

• Referência de dados de monitoramento da Proteção contra DDoS do Azure
• Monitorar recursos do Azure com o Azure Monitor
• Configurar Alertas de DDoS
• Exibir alertas no Microsoft Defender para Nuvem
• Testar com parceiros de simulação