Esercitazione: Visualizzare e configurare i dati di telemetria di protezione DDoS di Azure

  • Articolo

Questa esercitazione illustra come:

  • Visualizzare i dati di telemetria di Protezione DDoS di Azure
  • Visualizzare i criteri di mitigazione della protezione DDoS di Azure
  • Convalidare e testare i dati di telemetria di Protezione DDoS di Azure

Protezione DDoS di Azure offre informazioni dettagliate e visualizzazioni dei modelli di attacco tramite Analisi degli attacchi DDoS. Offre ai clienti visibilità completa sul traffico di attacco e sulle azioni di mitigazione tramite report e log dei flussi. Durante un attacco DDoS, le metriche dettagliate sono disponibili tramite Monitoraggio di Azure, che consente anche le configurazioni degli avvisi in base a queste metriche.

Prerequisiti

  • Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • Prima di poter completare i passaggi di questa esercitazione, è necessario creare un attacco di simulazione DDoS per generare i dati di telemetria. I dati di telemetria vengono registrati durante un attacco. Per altre informazioni, vedere Testare la protezione DDoS tramite simulazione.

Visualizzare i dati di telemetria di Protezione DDoS di Azure

I dati di telemetria per un attacco vengono forniti da Monitoraggio di Azure in tempo reale. Mentre i trigger di mitigazione per TCP SYN, TCP & UDP sono disponibili durante il tempo di pace, altri dati di telemetria sono disponibili solo quando un indirizzo IP pubblico è stato sottoposto a mitigazione.

È possibile visualizzare i dati di telemetria DDoS per un indirizzo IP pubblico protetto tramite tre diversi tipi di risorse: piano di protezione DDoS, rete virtuale e indirizzo IP pubblico.

La registrazione può essere ulteriormente integrata con Microsoft Sentinel, Splunk (Hub eventi di Azure), OMS Log Analytics e Archiviazione di Azure per l'analisi avanzata tramite l'interfaccia diagnostica di Monitoraggio di Azure.

Per altre informazioni sulle metriche, vedere Monitoraggio di Protezione DDoS di Azure per informazioni dettagliate sui log di monitoraggio di Protezione DDoS.

Visualizzare le metriche dal piano di protezione DDoS

  1. Accedere al portale di Azure e selezionare il piano di protezione DDoS.

  2. Nel menu del portale di Azure selezionare o cercare e selezionare Piani di protezione DDoS quindi selezionare il piano di protezione DDoS.

  3. In Monitoraggio selezionare Metrica.

  4. Selezionare Aggiungi metrica e quindi Ambito.

  5. Nel menu Selezionare un ambito, selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.

  6. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono registrare le metriche e scegliere Applica.

  7. Per Metrica selezionare In caso di attacco DDoS o meno.

  8. Impostare il tipo di aggregazione su Max.

    Screenshot della creazione del menu delle metriche di protezione DDoS.

Visualizzare le metriche dalla rete virtuale

  1. Accedere al portale di Azure e passare alla rete virtuale con protezione DDoS abilitata.

  2. In Monitoraggio selezionare Metrica.

  3. Selezionare Aggiungi metrica e quindi Ambito.

  4. Nel menu Selezionare un ambito, selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.

  5. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono registrare le metriche e scegliere Applica.

  6. In Metrica selezionare la metrica scelta e quindi in Aggregazione selezionare tipo come Max.

    Screenshot delle impostazioni di diagnostica DDoS in Azure.

Nota

Per filtrare gli indirizzi IP, selezionare Aggiungi filtro. In Proprietà, selezionare Indirizzo IP protetto e l'operatore deve essere impostato su =. In Valori, verrà visualizzato un elenco a discesa di indirizzi IP pubblici, associati alla rete virtuale, protetti da Protezione DDoS di Azure.

Visualizzare le metriche dall'indirizzo IP pubblico

  1. Accedere al portale di Azure e passare all'indirizzo IP pubblico.
  2. Nel menu del portale di Azure selezionare o cercare e selezionare indirizzi IP pubblici quindi selezionare l'indirizzo IP pubblico.
  3. In Monitoraggio selezionare Metrica.
  4. Selezionare Aggiungi metrica e quindi Ambito.
  5. Nel menu Selezionare un ambito, selezionare la sottoscrizione contenente l'indirizzo IP pubblico che si vuole registrare.
  6. Selezionare Indirizzo IP pubblico per Tipo di risorsa, quindi selezionare l'indirizzo IP pubblico specifico per il quale si vogliono registrare le metriche e scegliere Applica.
  7. In Metrica selezionare la metrica scelta e quindi in Aggregazione selezionare tipo come Max.

Nota

Quando si modifica la protezione IP DDoS da abilitata a disabilitata, i dati di telemetria per la risorsa IP pubblica non saranno disponibili.

Visualizzare i criteri di mitigazione della protezione DDoS

Protezione DDoS di Azure usa tre criteri di mitigazione modificati automaticamente (TCP SYN, TCP e UDP) per ogni indirizzo IP pubblico della risorsa protetta. Questo vale per qualsiasi rete virtuale con protezione DDoS abilitata.

È possibile visualizzare i limiti dei criteri nelle metriche degli indirizzi IP pubblici scegliendo i pacchetti SYN in ingresso per attivare la mitigazione DDoS, i pacchetti TCP in ingresso per attivare la mitigazione DDoS e i pacchetti UDP in ingresso per attivare le metriche di mitigazione DDoS. Assicurarsi di impostare il tipo di aggregazione su Max.

Screenshot della visualizzazione dei criteri di mitigazione.

Visualizzare i dati di telemetria del traffico in tempo di pace

È importante tenere d'occhio le metriche per i trigger di rilevamento TCP SYN, UDP e TCP. Queste metriche consentono di sapere all'avvio della protezione DDoS. Assicurarsi che questi trigger riflettano i normali livelli di traffico quando non è presente alcun attacco.

È possibile creare un grafico per la risorsa indirizzo IP pubblico. In questo grafico includere le metriche Conteggio pacchetti e Conteggio SYN. Il conteggio pacchetti include pacchetti TCP e UDP. Viene visualizzata la somma del traffico.

Screenshot della visualizzazione dei dati di telemetria del tempo di pace.

Nota

Per eseguire un confronto equo, è necessario convertire i dati in pacchetti al secondo. A tale scopo, è possibile dividere il numero visualizzato per 60, perché i dati rappresentano il numero di pacchetti, byte o pacchetti SYN raccolti in più di 60 secondi. Ad esempio, se sono presenti 91.000 pacchetti raccolti oltre 60 secondi, dividere 91.000 per 60 per ottenere circa 1.500 pacchetti al secondo (pps).

Convalidare e testare

Per simulare un attacco DDoS per convalidare i dati di telemetria della protezione DDoS, vedere Convalidare il rilevamento DDoS.

Passaggi successivi

Questa esercitazione ha descritto come:

  • Configurare gli avvisi per le metriche di protezione DDoS
  • Vedere la telemetria di protezione DDoS
  • Visualizzare i criteri di mitigazione della protezione DDoS
  • Convalidare e testare i dati di telemetria di protezione DDoS

Per informazioni su come configurare i report di mitigazione degli attacchi e i log dei flussi, passare all'esercitazione successiva.

Visualizzare e configurare la registrazione diagnostica DDoS