Tutorial: Exibir e configurar a telemetria da proteção contra DDoS do Azure

Neste tutorial, você aprenderá como:

A Proteção contra DDoS do Azure oferece insights aprofundados e visualizações de padrões de ataque por meio da Análise de Ataque de DDoS. Ele fornece aos clientes uma visibilidade abrangente sobre o tráfego de ataque e ações de mitigação por meio de relatórios e logs de fluxo. Durante um ataque de DDoS, as métricas detalhadas estão disponíveis por meio do Azure Monitor, que também permite configurações de alerta com base nessas métricas.

Pré-requisitos

• Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
• Antes de concluir as etapas neste tutorial, primeiro você deve criar um ataque de simulação de DDoS para gerar a telemetria. Os dados de telemetria são registrados durante um ataque. Para obter mais informações, consulte Testar a Proteção contra DDoS pela simulação.

Exibir a telemetria da proteção contra DDoS do Azure

A telemetria de um ataque é fornecida por meio do Azure Monitor em tempo real. Enquanto os gatilhos de mitigação para TCP SYN e TCP & UDP estão disponíveis durante o tempo de paz, o restante da telemetria está disponível somente quando um endereço IP público está sob mitigação.

Você pode exibir telemetria de DDoS para um endereço IP público protegido por meio de três tipos de recursos diferentes: plano de proteção contra DDoS, rede virtual e endereço IP público.

O registro em log pode ser integrado ainda mais ao Microsoft Sentinel, Splunk (Hubs de Eventos do Azure), Log Analytics do OMS e Armazenamento do Microsoft Azure para obter análise avançada por meio da interface de Diagnóstico do Azure Monitor.

Para obter mais informações sobre métricas, consulte Monitoramento da Proteção contra DDoS do Azure para obter detalhes sobre os logs de monitoramento da Proteção contra DDoS.

Exibir as métricas do plano de proteção contra DDoS

1. Entre no portal do Azure e selecione o seu plano de proteção contra DDoS.

2. No menu do portal do Azure, selecione ou pesquise e selecione planos de proteção contra DDoS e selecione o seu plano de proteção contra DDoS.

3. Em Monitoramento, selecione Métricas.

4. Selecione Adicionar métrica e selecione Escopo.

5. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.

6. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.

7. Para Métrica, selecione Sob DDoS ou não.

8. Escolha o tipo de Agregação como Máximo.

   

Exibir as métricas da rede virtual

1. Entre no portal do Azure e navegue até a rede virtual que tem o plano de proteção contra DDoS habilitado.

2. Em Monitoramento, selecione Métricas.

3. Selecione Adicionar métrica e selecione Escopo.

4. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.

5. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.

6. Em Métrica, selecione a métrica escolhida e, em Agregação, selecione o tipo como Máx.

   

Exibir métricas do endereço IP público

1. Entre no portal do Azure e navegue até o endereço IP público.
2. No menu do portal do Azure, selecione ou pesquise e selecione Endereços IP públicos e selecione o seu endereço IP público.
3. Em Monitoramento, selecione Métricas.
4. Selecione Adicionar métrica e selecione Escopo.
5. No menu Selecionar um escopo, selecione a Assinaturaque contém o endereço IP público que você deseja registrar.
6. Escolha o Endereço IP público para o Tipo de recurso e escolha o endereço IP público específico para o qual você deseja registrar métricas e selecione Aplicar.
7. Em Métrica, selecione a métrica escolhida e, em Agregação, selecione o tipo como Máx.

Exibir políticas de mitigação de DDoS

A Proteção contra DDoS do Azure usa três políticas de mitigação ajustadas automaticamente (TCP SYN, TCP e UDP) para cada endereço IP público do recurso que está sendo protegido. Isso se aplica a qualquer rede virtual com a proteção contra DDoS habilitada.

Você pode ver os limites de política em suas métricas de endereço IP público escolhendo as métricas de Pacotes SYN de entrada para disparar mitigação de DDoS, Pacotes TCP de entrada para disparar mitigação de DDoS e Pacotes UDP de entrada para disparar mitigação de DDoS. Defina o tipo de agregação como Max.

Exibir telemetria de tráfego na ausência de ataques

É importante ficar de olho nas métricas dos gatilhos de detecção TCP SYN, UDP e TCP. Essas métricas ajudam você a saber quando a proteção contra DDoS é iniciada. Certifique-se de que esses gatilhos reflitam os níveis de tráfego normais quando não houver nenhum ataque.

Você pode criar um gráfico para o recurso de endereço IP público. Neste gráfico, inclua as métricas Contagem de Pacotes e Contagem SYN. A Contagem de pacotes inclui pacotes TCP e UDP. Isso mostra a soma do tráfego.

Validar e testar

Para simular um ataque de DDoS para validar a telemetria de proteção contra DDoS, consulte Validar detecção de DDoS.

Próximas etapas

Neste tutorial, você aprendeu a:

• Configurar alertas para métricas de proteção contra DDoS
• Exibir telemetria da proteção contra DDoS
• Exibir políticas de mitigação de DDoS
• Validar e testar a telemetria de proteção contra DDoS

Para saber como configurar relatórios de mitigação de ataque e logs de fluxo, prossiga para o próximo tutorial.