Partager via


Tutoriel : Voir les journaux Azure DDoS Protection dans l’espace de travail Log Analytics

Dans ce tutoriel, vous allez apprendre à :

  • Afficher les journaux de diagnostic Azure DDoS Protection, notamment les notifications, les rapports d’atténuation et les journaux de flux d’atténuation.

Les journaux de diagnostic de la protection DDoS vous permettent d’afficher les notifications sur la protection DDoS, les rapports d’atténuation et les journaux de flux d’atténuation après une attaque DDoS. Vous pouvez afficher ces journaux dans votre espace de travail Log Analytics.

La fonctionnalité Rapports de prévention des attaques utilise les données de protocole Netflow qui sont ensuite regroupées pour fournir des informations détaillées concernant l’attaque de votre ressource. Chaque fois qu’une ressource IP publique est attaquée, la génération de rapport démarre en même temps que la prévention. Un rapport incrémentiel est généré toutes les 5 minutes et un rapport post-prévention concernant toute la période de prévention. Cela permet de garantir que dans le cas où l’attaque DDoS se poursuit pendant une durée plus longue, vous pourrez afficher l’instantané le plus récent du rapport de prévention toutes les 5 minutes et un récapitulatif complet une fois la prévention de l’attaque terminée.

Prérequis

Afficher dans l’espace de travail Log Analytics

  1. Connectez-vous au portail Azure.

  2. Dans la zone de recherche située en haut du portail, entrez espace de travail Log Analytics. Sélectionnez Espace de travail Log Analytics dans les résultats de la recherche.

  3. Sous le panneau Espace de travail Log Analytics, sélectionnez votre espace de travail.

  4. Dans l’onglet de gauche, sélectionnez Journaux. Ici, vous voyez l’Explorateur de requêtes. Quittez le volet Requêtes pour utiliser la page Journaux .

    Capture d’écran de la visualisation d’un espace de travail Log Analytics.

  5. Dans la page Journaux , tapez votre requête, puis appuyez sur Exécuter pour afficher les résultats.

    Capture d’écran de l’affichage des journaux de notification DDoS Protection dans l’espace de travail Log Analytics.

Interroger les journaux Azure DDoS Protection dans l’espace de travail analytique des journaux d'activité

Pour plus d’informations sur les schémas de journalisation, consultez l’article Afficher les journaux de diagnostic.

Journaux DDoSProtectionNotifications

  1. Sous le panneau Espace de travail Log Analytics, sélectionnez votre espace de travail log analytics.

  2. Dans le volet latéral gauche, sélectionnez Journaux.

    Capture d’écran de la requête de journal dans les espaces de travail analytique des journaux d'activité.

  3. Dans l’Explorateur de requêtes, tapez la Requête Kusto suivante et remplacez l’intervalle de temps par Personnalisée et définissez l’intervalle de temps sur les trois derniers mois. Appuyez ensuite sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Pour afficher DDoSMitigationFlowLogs, remplacez la requête par ce qui suit et conservez la même intervalle de temps, puis appuyez sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Pour afficher DDoSMitigationReports, remplacez la requête par ce qui suit et conservez la même intervalle de temps, puis appuyez sur Exécuter.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Exemples de requêtes de journal

Notifications de protection DDoS

Les notifications vous informent chaque fois qu’une ressource IP publique est attaquée, et lorsque l’atténuation des attaques est terminée.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ Description
TimeGenerated Date et heure UTC de création de la notification.
ResourceId L’ID de ressource de votre adresse IP publique.
Catégorie Pour les notifications, ce sera DDoSProtectionNotifications.
ResourceGroup Le groupe de ressources qui contient votre adresse IP publique et votre réseau virtuel.
SubscriptionId ID d’abonnement du plan de protection DDoS.
Ressource Le nom de votre adresse IP publique.
ResourceType Ce sera toujours PUBLICIPADDRESS.
OperationName Pour les notifications, il s’agit de DDoSProtectionNotifications.
Message Détails de l’attaque.
Type Type de notification. Les valeurs possibles incluent MitigationStarted. MitigationStopped.
PublicIpAddress Votre adresse IP publique.

Atténuation des risques DDoS FlowLogs

Les journaux de flux de prévention des attaques vous permettent de passer en revue le trafic abandonné, le trafic transféré et d’autres points de données intéressants pendant une attaque DDoS active en temps quasi réel. Vous pouvez ingérer le flux constant de ces données dans Microsoft Sentinel ou des systèmes SIEM tiers par le biais d’un Event Hub pour la supervision en quasi-temps réel, prendre des actions éventuelles et répondre aux besoins de vos opérations de défense.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ Description
TimeGenerated Date et heure UTC de création du journal de flux.
ResourceId L’ID de ressource de votre adresse IP publique.
Catégorie Pour les journaux de flux, il s’agit de DDoSMitigationFlowLogs.
ResourceGroup Le groupe de ressources qui contient votre adresse IP publique et votre réseau virtuel.
SubscriptionId ID d’abonnement du plan de protection DDoS.
Ressource Le nom de votre adresse IP publique.
ResourceType Ce sera toujours PUBLICIPADDRESS.
OperationName Pour les journaux de flux, il s’agit de DDoSMitigationFlowLogs.
Message Détails de l’attaque.
SourcePublicIpAddress Adresse IP publique du client générant le trafic vers votre adresse IP publique.
SourcePort Numéro de port compris entre 0 et 65535.
DestPublicIpAddress Votre adresse IP publique.
DestPort Numéro de port compris entre 0 et 65535.
Protocole Type de protocole. Les valeurs possibles incluent tcp, udp, other.

Rapports d'atténuation des risques DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ Description
TimeGenerated Date et heure UTC de création de la notification.
ResourceId L’ID de ressource de votre adresse IP publique.
Catégorie Pour les rapports d’atténuation, il s’agit de DDoSMitigationReports.
ResourceGroup Le groupe de ressources qui contient votre adresse IP publique et votre réseau virtuel.
SubscriptionId ID d’abonnement du plan de protection DDoS.
Ressource Le nom de votre adresse IP publique.
ResourceType Ce sera toujours PUBLICIPADDRESS.
OperationName Pour les rapports d’atténuation, il s’agit de DDoSMitigationReports
ReportType Les valeurs possibles sont Incremental et PostMitigation.
MitigationPeriodStart Date et heure UTC de début de l’atténuation.
MitigationPeriodEnd Date et heure UTC de fin de l’atténuation.
IPAddress Votre adresse IP publique.
AttackVectors Dégradation des types d'attaques. Les clés incluent TCP SYN flood, TCP flood, UDP flood, UDP reflection et Other packet flood.
TrafficOverview Dégradation du trafic des attaques. Les clés incluent Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets et Total Other packets dropped.
Protocoles   Répartition des protocoles inclus. Les clés incluent TCP, UDP et Other.   
DropReasons Analyse des causes de la suppression de paquets. Les clés incluent Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded et Packet was forwarded to service. Les raisons incorrectes de l’abandon de la violation du protocole font référence aux paquets mal formés.
TopSourceCountries Répartition des 10 principaux pays ou régions sources en termes de trafic entrant.
TopSourceCountriesForDroppedPackets Analyse des 10 principaux pays ou régions sources en termes de limitation du trafic des attaques.
TopSourceASNs Analyse des 10 principales sources de numéros de système autonome (ASN) du trafic entrant.  
SourceContinents Analyse du continent source pour le trafic entrant.
Type Type de notification. Les valeurs possibles incluent MitigationStarted. MitigationStopped.

Étapes suivantes

Dans ce tutoriel, vous avez appris à afficher les journaux de diagnostic de la protection DDoS dans un espace de travail Log Analytics. Pour en savoir plus sur les étapes recommandées lorsque vous subissez une attaque DDoS, consultez les étapes suivantes.