Tutorial: Visualización de los registros de Azure DDoS Protection en el área de trabajo de Log Analytics

En este tutorial, aprenderá a:

  • vea los registros de diagnóstico de Azure DDoS Protection, como las notificaciones, los informes de mitigación y los registros de flujo de mitigación.

Los registros de diagnóstico de DDoS Protection proporcionan la capacidad de ver las notificaciones de DDoS Protection, los informes de mitigación y los registros de flujo de mitigación después de un ataque DDoS. Puede ver estos registros en el área de trabajo de Log Analytics.

Los informes de mitigación de ataques usan los datos del protocolo Netflow que se agrega para proporcionar información detallada sobre el ataque en el recurso. Cada vez que se está atacando un recurso de Dirección IP pública, la generación de informes se inicia en cuanto se inicia la mitigación. Durante todo el período de mitigación, habrá un informe incremental que se genera cada cinco minutos y un informe posterior a la mitigación. Su finalidad es garantizar que en caso de que el ataque DDoS continúe durante mucho tiempo, podrá ver la instantánea más actual del informe de mitigación cada cinco minutos y un resumen completo una vez finalizada la mitigación.

Requisitos previos

Ver en el área de trabajo de Log Analytics

  1. Inicie sesión en Azure Portal.

  2. En el cuadro de búsqueda situado en la parte superior del portal, escriba Área de trabajo de Log Analytics. Seleccione Área de trabajo de Log Analytics en los resultados de la búsqueda.

  3. En la hoja Áreas de trabajo de Log Analytics, seleccione su área de trabajo.

  4. En la pestaña izquierda, seleccione Registros. Aquí verá el explorador de consultas. Salga del panel Consultas para usar la página Registros.

    Captura de pantalla de la visualización de un área de trabajo de Log Analytics.

  5. En la página Registros, escriba la consulta y presione Ejecutar para ver los resultados.

    Captura de pantalla de visualización de los registros de notificaciones de DDoS Protection en el área de trabajo de Log Analytics.

Consulta de registros de Azure DDoS Protection en el área de trabajo de Log Analytics

Para obtener más información sobre los esquemas de registro, consulte Visualizar los registros de diagnóstico.

Registros DDoSProtectionNotifications

  1. En la hoja Áreas de trabajo de Log Analytics, seleccione su área de trabajo.

  2. En el panel izquierdo, seleccione Registros.

    Captura de pantalla de la consulta de registro en áreas de trabajo de Log Analytics.

  3. En el Explorador de consultas, escriba la siguiente consulta de Kusto. Cambie el intervalo de tiempo a "Personalizado" e indique un intervalo correspondiente a los últimos tres meses. A continuación, presione "Ejecutar".

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. Para ver DDoSMitigationFlowLogs, cambie la consulta por lo siguiente, manteniendo el mismo intervalo de tiempo, y presione "Ejecutar".

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. Para ver DDoSMitigationReports, cambie la consulta por lo siguiente, manteniendo el mismo intervalo de tiempo, y presione "Ejecutar".

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

Consultas de registro de ejemplo

Notificaciones de DDoS Protection

se le enviarán notificaciones cada vez que un recurso de IP pública esté sufriendo un ataque y cuando haya terminado la mitigación del ataque.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo Descripción
TimeGenerated Fecha y hora en formato UTC en que se creó la notificación.
ResourceId Identificador de recurso de la dirección IP pública.
Categoría En el caso de las notificaciones, será DDoSProtectionNotifications.
ResourceGroup El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId El identificador de la suscripción del plan de protección contra DDoS.
Recurso El nombre de la dirección IP pública.
ResourceType Siempre será PUBLICIPADDRESS.
OperationName En el caso de las notificaciones, se trata de DDoSProtectionNotifications.
Mensaje Detalles del ataque.
Type Tipo de notificación. Los valores posibles son MitigationStarted. MitigationStopped.
PublicIpAddress La dirección IP pública.

FlowLogs de mitigación de DDoS

Los registros de flujo de mitigación de ataques permiten revisar el tráfico eliminado, el tráfico reenviado y otros puntos de datos interesantes durante un ataque DDoS activo casi en tiempo real. Puede ingerir el flujo constante de estos datos en Microsoft Sentinel o en sus sistemas SIEM de terceros mediante un centro de eventos para la supervisión casi en tiempo real, realizar posibles acciones y solucionar la necesidad de sus operaciones de defensa.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo Descripción
TimeGenerated Fecha y hora en formato UTC en que se creó el registro de flujo.
ResourceId Identificador de recurso de la dirección IP pública.
Categoría En el caso de los registros de flujo, se DDoSMitigationFlowLogs.
ResourceGroup El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId El identificador de la suscripción del plan de protección contra DDoS.
Recurso El nombre de la dirección IP pública.
ResourceType Siempre será PUBLICIPADDRESS.
OperationName En el caso de los registros de flujo, se DDoSMitigationFlowLogs.
Mensaje Detalles del ataque.
SourcePublicIpAddress La dirección IP pública del cliente que genera tráfico hacia la dirección IP pública.
SourcePort Número de puerto comprendido entre 0 y 65535.
DestPublicIpAddress La dirección IP pública.
DestPort Número de puerto comprendido entre 0 y 65535.
Protocolo Tipo de protocolo. Los valores posibles son tcp, udp y other.

Informes de mitigación DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo Descripción
TimeGenerated Fecha y hora en formato UTC en que se creó la notificación.
ResourceId Identificador de recurso de la dirección IP pública.
Categoría Para los informes de mitigación, se DDoSMitigationReports.
ResourceGroup El grupo de recursos que contiene la dirección IP pública y la red virtual.
SubscriptionId El identificador de la suscripción del plan de protección contra DDoS.
Recurso El nombre de la dirección IP pública.
ResourceType Siempre será PUBLICIPADDRESS.
OperationName Para los informes de mitigación, se DDoSMitigationReports
ReportType Los valores posibles son Incremental y PostMitigation.
MitigationPeriodStart Fecha y hora en formato UTC en que se inició la mitigación.
MitigationPeriodEnd Fecha y hora en formato UTC en que finalizó la mitigación.
IPAddress La dirección IP pública.
AttackVectors Degradación de los tipos de ataque. Las claves incluyen TCP SYN flood, TCP flood, UDP flood, UDP reflection, y Other packet flood.
TrafficOverview Degradación del tráfico de ataque. Las claves incluyen Total packets, Total packets dropped, Total TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets, y Total Other packets dropped.
Protocolos   Desglose de protocolos incluidos. Las claves incluyen TCP, UDP y Other.   
DropReasons Análisis de causas de paquetes perdidos. Las claves incluyen Protocol violation invalid TCP. syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceeded, Destination limit exceeded, Other packet flood Rate limit exceeded, y Packet was forwarded to service. Los motivos de eliminación de infracciones de protocolo no válidos hacen referencia a paquetes con formato incorrecto.
TopSourceCountries Desglose de los 10 principales países de origen en el tráfico entrante.
TopSourceCountriesForDroppedPackets Análisis de los 10 principales países de origen del tráfico de ataque que se ha limitado.
TopSourceASNs Análisis de las 10 principales fuentes de números de sistema autónomo (ASN) del tráfico entrante.  
SourceContinents Análisis del continente de origen del tráfico entrante.
Type Tipo de notificación. Los valores posibles son MitigationStarted. MitigationStopped.

Pasos siguientes

En este tutorial ha aprendido a ver los registros de diagnóstico de DDoS Protection en un área de trabajo de Log Analytics. Para obtener más información sobre los pasos recomendados que se deben realizar al recibir un ataque DDoS, consulte los pasos siguientes.