チュートリアル: Azure DDoS 保護テレメトリを表示および構成する

  • [アーティクル]

Azure DDoS Protection では、DDoS 攻撃の分析を通して、攻撃パターンの詳細な分析情報と視覚化が提供されます。 お客様は、レポートとフロー ログを使用して、攻撃トラフィックと軽減アクションを包括的に可視化できます。 DDoS 攻撃中は、Azure Monitor を通じて詳細なメトリックが表示されます。これにより、これらのメトリックに基づくアラート構成も可能になります。

このチュートリアルで学習する内容は次のとおりです。

  • Azure DDoS Protection テレメトリを表示する
  • Azure DDoS Protection 軽減ポリシーを表示する
  • Azure DDoS Protection テレメトリの検証とテストを行う

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

前提条件

  • Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。
  • このチュートリアルの手順を完了するには、まず DDoS シミュレーション攻撃を作成してテレメトリを生成する必要があります。 テレメトリ データは、攻撃中に記録されます。 詳細については、シミュレーションを使用した DDoS Protection のテストに関する記事を参照してください。

Azure DDoS Protection テレメトリを表示する

攻撃のテレメトリは、Azure Monitor 経由でリアルタイムに提供されます。 TCP SYN、TCP、および UDP の軽減トリガーは、平時に使用できます。他のテレメトリは、パブリック IP アドレスに軽減策が適用されている場合にのみ使用できます。

保護されたパブリック IP アドレスの DDoS テレメトリは、DDoS 保護プラン、仮想ネットワーク、およびパブリック IP アドレスの 3 つの異なるリソースの種類を介して表示できます。

Azure Monitor 診断インターフェイスを介した高度な分析用に、ログを Microsoft Sentinel、Splunk (Azure Event Hubs)、OMS Log Analytics、Azure Storage とさらに統合できます。

メトリックの詳細については、「Azure DDoS Protection の監視」で DDoS Protection 監視ログの詳細を参照してください。

DDoS 保護プランからのメトリックを表示する

  1. Azure portal にサインインし、対象の DDoS 保護プランを選択します。
  2. Azure portal メニューで、[DDoS 保護プラン] を選択または検索して選択し、DDoS 保護プランを選択します。
  3. [監視][メトリック] を選びます。
  4. [メトリックの追加] を選んでから、[スコープ] を選びます。
  5. [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
  6. [リソースの種類][パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
  7. [メトリック] で、[DDoS 攻撃中かどうか] を選択します。
  8. 集計の種類として [最大] を選択します。

DDoS 保護のメトリック作成メニューのスクリーンショット。

仮想ネットワークからのメトリックを表示する

  1. Azure portal にサインインし、DDoS 保護が有効になっている対象の仮想ネットワークに移動します。
  2. [監視][メトリック] を選びます。
  3. [メトリックの追加] を選んでから、[スコープ] を選びます。
  4. [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
  5. [リソースの種類][パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
  6. [メトリック] から目的のメトリックを選択し、集計の種類として [最大] を選択します。

Note

IP アドレスをフィルター処理するには、[フィルターを追加する] を選択します。 [プロパティ] で、[Protected IP Address](保護された IP アドレス) を選択します。演算子は = に設定する必要があります。 [値] の下に、仮想ネットワークに関連付けられていて、Azure DDoS Protection によって保護される、パブリック IP アドレスのドロップダウンが表示されます。

DDoS 診断設定のスクリーンショット。

パブリック IP アドレスからのメトリックを表示する

  1. Azure portal にサインインし、対象のパブリック IP アドレスに移動します。
  2. Azure portal メニューで [パブリック IP アドレス] を選択 (または検索して選択) し、パブリック IP アドレスを選択します。
  3. [監視][メトリック] を選びます。
  4. [メトリックの追加] を選んでから、[スコープ] を選びます。
  5. [スコープの選択] メニューで、ログするパブリック IP アドレスが含まれるサブスクリプションを選びます。
  6. [リソースの種類][パブリック IP アドレス] を選択し、メトリックをログに記録する特定のパブリック IP アドレスを選択して、[適用] を選択します。
  7. [メトリック] から目的のメトリックを選択し、集計の種類として [最大] を選択します。

Note

DDoS IP 保護を有効から無効に変更すると、パブリック IP リソースのテレメトリは利用できなくなります。

DDoS 軽減ポリシーを表示する

Azure DDoS Protection では、保護されているリソースのパブリック IP アドレスごとに、自動調整された 3 つの軽減ポリシー (TCP SYN、TCP、UDP) が使用されます。 これは、DDoS 保護が有効になっている仮想ネットワークに適用されます。

パブリック IP アドレスのメトリックにおけるポリシー制限を確認できます。そのためには、"DDoS 軽減をトリガーする受信 SYN パケット数"、"DDoS 軽減をトリガーする受信 TCP パケット数"、"DDoS 軽減をトリガーする受信 UDP パケット数" の各メトリックを選択します。 集計の種類は必ず [最大] に設定します。

軽減ポリシーを表示する画面のスクリーンショット。

平時トラフィックのテレメトリを表示する

TCP SYN、UDP、TCP 検出トリガーのメトリックを監視することが重要です。 これらのメトリックは、DDoS 保護が開始したときを把握するのに役立ちます。 これらのトリガーが、攻撃がないときの通常のトラフィック レベルを反映していることを確認します。

パブリック IP アドレス リソースのグラフを作成できます。 このグラフに、パケット数と SYN カウントのメトリックを含めます。 パケット数には、TCP と UDP の両方のパケットが含まれます。 これはトラフィックの合計を示します。

平時テレメトリを表示しているスクリーンショット。

Note

公平な比較を行うには、データを 1 秒あたりのパケット数に変換する必要があります。 これを行うには、表示された数を 60 で割ります。データは 60 秒間に収集されたパケット、バイト、または SYN パケットの数を表しているためです。 たとえば、60 秒間に 91,000 パケットが収集されている場合は、91,000 を 60 で除算して、約 1,500 パケット/秒 (pps) を得ます。

検証とテスト

DDoS 攻撃をシミュレートして DDoS 保護テレメトリを検証す方法については、DDoS 検出の検証に関する記事を参照してください。

次のステップ

このチュートリアルでは、以下の内容を学習しました。

  • DDoS Protection メトリックのアラートを構成する
  • DDoS 保護テレメトリを表示する
  • DDoS 軽減ポリシーを表示する
  • DDoS 保護テレメトリを検証し、テストする

攻撃の軽減策レポートとフロー ログの構成方法を学習するには、次のチュートリアルに進んでください。

DDoS 診断ログの表示と構成