Tutoriel : Afficher et configurer la télémétrie d’Azure DDoS Protection

Ce didacticiel vous montre comment effectuer les opérations suivantes :

  • Consulter les données de télémétrie d’Azure DDoS Protection
  • Consulter les stratégies d’atténuation d’Azure DDoS Protection
  • Valider et tester la télémétrie d’Azure DDoS Protection

Grâce à DDoS Attack Analytics, Azure DDoS Protection offre des insights et des visualisations détaillés sur les modèles d’attaque. Il fournit aux clients une visibilité complète du trafic d’attaque et des actions d’atténuation via des rapports et des journaux de flux. Lors d’une attaque DDoS, des métriques détaillées sont disponibles via Azure Monitor, ce qui permet également de configurer les alertes en fonction de ces métriques.

Prérequis

  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
  • Avant d’exécuter la procédure indiquée dans ce tutoriel, vous devez créer une simulation d’attaque DDoS pour générer les données de télémétrie. Les données de télémétrie sont enregistrées lors d’une attaque. Pour en savoir plus, consultez Tester DDoS Protection via des simulations.

Consulter les données de télémétrie d’Azure DDoS Protection

Les données de télémétrie pour une attaque sont fournies par le biais d’Azure Monitor en temps réel. Bien que les déclencheurs d'atténuation pour TCP SYN, TCP & UDP soient disponibles pendant les périodes de repos, d’autres données de télémétrie sont uniquement disponibles quand une adresse IP publique a été atténuée.

Vous pouvez afficher les données de télémétrie DDoS pour une adresse IP publique protégée par le biais de trois types de ressources différents : le plan de protection DDoS, le réseau virtuel et l’adresse IP publique.

La journalisation peut également être intégrée à Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics et Stockage Azure pour l’analyse avancée par le biais de l’interface de diagnostic d’Azure Monitor.

Pour plus d’informations sur les métriques, consultez Monitoring d’Azure DDoS Protection afin d’obtenir plus d’informations sur les journaux de monitoring de DDoS Protection.

Afficher les métriques du plan de protection DDoS

  1. Connectez-vous au portail Azure et sélectionnez votre plan de protection DDoS.

  2. Dans le menu du portail Azure, sélectionnez ou recherchez et sélectionnez Plans de protection DDoS, puis sélectionnez votre plan de protection DDoS.

  3. Sous Supervision, sélectionnez Métriques.

  4. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.

  5. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.

  6. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.

  7. Pour Métrique, sélectionnez Sous attaque DDoS ou non.

  8. Définissez le type d’agrégation sur Max.

    Capture d’écran de la création du menu des métriques de la protection DDoS.

Afficher les métriques du réseau virtuel

  1. Connectez-vous au portail Azure et accédez au réseau virtulel sur lequel est activé votre plan de protection DDoS.

  2. Sous Supervision, sélectionnez Métriques.

  3. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.

  4. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.

  5. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.

  6. Sous Métrique, sélectionnez la métrique choisie, puis sous Agrégation, sélectionnez le type Max.

    Capture d’écran des paramètres de diagnostic DDoS dans Azure.

Remarque

Pour filtrer les adresses IP, sélectionnez Ajouter un filtre. Sous Propriété, sélectionnez Adresse IP protégée, et l’opérateur doit être défini sur =. Sous Valeurs, vous voyez une liste déroulante d’IP publiques, associées au réseau virtuel, qui sont protégées par Azure DDoS Protection.

Afficher les métriques de l’adresse IP publique

  1. Connectez-vous au portail Azure et accédez à votre adresse IP publique.
  2. Dans le menu du portail Azure, sélectionnez ou recherchez et sélectionnez Adresses IP publiques, puis sélectionnez votre adresse IP publique.
  3. Sous Supervision, sélectionnez Métriques.
  4. Sélectionnez Ajouter une métrique, puis sélectionnez Étendue.
  5. Dans le menu Sélectionner une étendue, sélectionnez l’Abonnement qui contient l’adresse IP publique que vous voulez journaliser.
  6. Sélectionnez Adresse IP publique pour Type de ressource, sélectionnez l’adresse IP publique spécifique dont vous souhaitez journaliser les métriques, puis sélectionnez Appliquer.
  7. Sous Métrique, sélectionnez la métrique choisie, puis sous Agrégation, sélectionnez le type Max.

Notes

Lors du passage de la protection IP DDoS d’activée à désactivée, les données de télémétrie pour la ressource IP publique ne seront pas disponibles.

Voir les stratégies d’atténuation des risques liés à DDoS

Azure DDoS Protection utilise trois stratégies d’atténuation ajustées automatiquement (TCP SYN, TCP et UDP) pour chaque adresse IP publique de la ressource protégée. Cela s’applique à tout réseau virtuel pour lequel la protection DDoS est activée.

Vous pouvez voir les limites des stratégies dans vos métriques d’adresse IP publique en choisissant les métriques des Paquets SYN entrants pour déclencher l’atténuation DDoS, des Paquets TCP entrants pour déclencher l’atténuation DDoS et des Paquets UDP entrants pour déclencher l’atténuation DDoS. Assurez-vous de définir le type d’agrégation sur Max.

Capture d’écran de l’affichage des stratégies d’atténuation.

Afficher les données de télémétrie du trafic en période de repos

Il est important de garder un œil sur les métriques pour les déclencheurs de la détection TCP SYN, UDP et TCP. Ces métriques vous aident à savoir à quel moment la protection DDoS démarre. Assurez-vous que ces déclencheurs reflètent les niveaux de trafic normaux lorsqu’il n’y a aucune attaque.

Vous pouvez créer un graphique pour la ressource d’adresse IP publique. Dans ce graphique, incluez les métriques sur le nombre de paquets et le nombre SYN. Le nombre de paquets inclut les paquets TCP et UDP. Cela vous montre la somme du trafic.

Capture d’écran de l’affichage des données de télémétrie en période de repos.

Remarque

Pour une comparaison équitable, vous devez convertir les données en paquets par seconde. Pour ce faire, divisez le nombre que vous voyez par 60, car les données représentent le nombre de paquets, d’octets ou de paquets SYN collectés sur 60 secondes. Par exemple, si vous avez 91 000 paquets collectés pendant 60 secondes, divisez 91 000 par 60 pour obtenir environ 1 500 paquets par seconde (pps).

Valider et tester

Pour simuler une attaque DDoS afin de valider la télémétrie de la protection DDoS, consultez validation de la détection DDoS.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Configurer des alertes pour les métriques du service de protection DDoS
  • Afficher la télémétrie de la protection DDoS
  • Voir les stratégies d’atténuation des risques liés à DDoS
  • Valider et tester la télémétrie de la protection DDoS

Pour savoir comment configurer les rapports de prévention des attaques et les journaux de flux, passez au tutoriel suivant.