Esercitazione: Configurare gli avvisi di registrazione diagnostica di Protezione DDoS di Azure

  • Articolo

In questa esercitazione apprenderai a:

  • Configurare gli avvisi di registrazione diagnostica tramite Monitoraggio di Azure e App per la logica.

Gli avvisi di registrazione diagnostica di Protezione DDoS offrono visibilità sugli attacchi DDoS e sulle azioni di mitigazione. È possibile configurare gli avvisi per tutti gli indirizzi IP pubblici protetti da DDoS in cui è stata abilitata la registrazione diagnostica.

Prerequisiti

  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • La protezione di rete DDoS deve essere abilitata in una rete virtuale o la protezione IP DDoS deve essere abilitata in un indirizzo IP pubblico.
  • Per usare la registrazione diagnostica, è prima necessario creare un'area di lavoro Log Analytics con le impostazioni di diagnostica abilitate.
  • Protezione DDoS esegue il monitoraggio degli indirizzi IP pubblici assegnati alle risorse all'interno di una rete virtuale. Se non si dispone di risorse con indirizzi IP pubblici nella rete virtuale, è innanzitutto necessario creare una risorsa con un indirizzo IP pubblico.

Configurare gli avvisi di registrazione diagnostica tramite Monitoraggio di Azure

Con questi modelli è possibile configurare gli avvisi per tutti gli indirizzi IP pubblici su cui è stata abilitata la registrazione diagnostica.

Creare la regola di avviso di Monitoraggio di Azure

Il modello di regola di avviso di Monitoraggio di Azure esegue una query sui log di diagnostica per rilevare quando si verifica una mitigazione DDoS attiva. L'avviso indica un potenziale attacco. I gruppi di azioni possono essere usati per richiamare le azioni in seguito all'avviso.

Distribuire il modello

  1. Selezionare Distribuisci in Azure per accedere ad Azure e aprire il modello.

    Pulsante per distribuire il modello di Resource Manager in Azure.

  2. Nella pagina Distribuzione personalizzata, in Dettagli progetto immettere le informazioni seguenti.

    Screenshot del modello di regola di avviso di Monitoraggio di Azure.

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse.
    Paese Selezionare un valore per Area.
    Nome dell'area di lavoro Immettere il nome dell'area di lavoro. In questo esempio il nome dell'area di lavoro è myLogAnalyticsWorkspace.
    Ufficio Immettere Stati Uniti orientali.

    Nota

    La posizione deve corrispondere alla posizione dell'area di lavoro.

  3. Selezionare Rivedi e crea, quindi selezionare Crea al termine della convalida.

Creare una regola di avviso per la registrazione diagnostica di Monitoraggio di Azure con App per la logica

Questo modello di arricchimento degli avvisi di mitigazione DDoS distribuisce i componenti necessari di un avviso di mitigazione DDoS arricchito: regola di avviso di Monitoraggio di Azure, gruppo di azioni e app per la logica. Il risultato del processo è un avviso e-mail con i dettagli sull'indirizzo IP sotto attacco, incluse le informazioni sulla risorsa associata all'IP. Il proprietario della risorsa viene aggiunto come destinatario del messaggio di posta elettronica, insieme al team di sicurezza. Viene eseguito anche un test di disponibilità dell'applicazione di base, i cui risultati sono inclusi nell'avviso e-mail.

Distribuire il modello

  1. Selezionare Distribuisci in Azure per accedere ad Azure e aprire il modello.

    Pulsante per distribuire il modello di Resource Manager in Azure.

  2. Nella pagina Distribuzione personalizzata, in Dettagli progetto immettere le informazioni seguenti.

    Screenshot del modello di arricchimento degli avvisi di mitigazione DDoS.

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare il gruppo di risorse.
    Paese Selezionare un valore per Area.
    Nome avviso Lasciare il valore predefinito.
    Messaggio di posta elettronica per il team di sicurezza Immettere l'indirizzo di posta elettronica richiesto.
    Dominio aziendale Immettere il dominio richiesto.
    Nome dell'area di lavoro Immettere il nome dell'area di lavoro. In questo esempio il nome dell'area di lavoro è myLogAnalyticsWorkspace.

  3. Selezionare Rivedi e crea, quindi selezionare Crea al termine della convalida.

Pulire le risorse

È possibile mantenere le risorse per la guida successiva. Se non è più necessario, eliminare gli avvisi.

  1. Nella casella di ricerca nella parte superiore del portale, immettere Avvisi. Selezionare Avvisi nei risultati della ricerca.

    Screenshot della pagina Avvisi.

  2. Selezionare Regole di avviso, quindi nella pagina Regole di avviso selezionare la sottoscrizione.

    Screenshot della pagina Regole di avviso.

  3. Selezionare gli avvisi creati in questa guida, quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione si è appreso come configurare gli avvisi di diagnostica tramite il portale di Azure.

Per testare Protezione DDoS tramite simulazioni, continuare con la guida successiva.

Testare tramite simulazioniVisualizzare gli avvisi in Microsoft Defender per il cloud