Руководство по настройке оповещений журнала диагностики защиты от атак DDoS Azure
В этом руководстве описано следующее:
- Настройте оповещения журнала диагностики с помощью Azure Monitor и приложения логики.
Оповещения ведения журнала диагностики защиты от атак DDoS обеспечивают видимость атак DDoS и действий по устранению рисков. Вы можете настроить оповещения для всех защищенных общедоступных IP-адресов DDoS, в которых вы включили ведение журнала диагностики.
Необходимые компоненты
- Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Защита сети DDoS должна быть включена в виртуальной сети или защита IP-адресов DDoS должна быть включена в общедоступном IP-адресе .
- Чтобы использовать ведение журнала диагностики, необходимо сначала создать рабочую область Log Analytics с включенными параметрами диагностики.
- Защита от атак DDoS отслеживает общедоступные IP-адреса, назначенные ресурсам в виртуальной сети. При отсутствии в виртуальной сети ресурсов с общедоступными IP-адресами необходимо сначала создать ресурс с общедоступным IP-адресом.
Настройка оповещений журнала диагностики с помощью Azure Monitor
С помощью этих шаблонов вы можете настроить оповещения для всех общедоступных IP-адресов, в которых вы включили ведение журнала диагностики.
Создание правила генерации оповещений Azure Monitor
Шаблон правила генерации оповещений Azure Monitor выполняет запрос к журналам диагностики, чтобы определить, когда происходит активное устранение рисков DDoS. Оповещение указывает на потенциальную атаку. Чтобы при получении оповещения выполнялись те или иные действия, можно использовать группы действий.
Развертывание шаблона
Выберите элемент Развертывание в Azure, чтобы войти в Azure и открыть шаблон.
На странице "Настраиваемое развертывание" в разделе "Сведения о проекте" введите следующие сведения.
Параметр Значение Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите группу ресурсов. Область/регион Выберите значение для параметра Регион. Имя рабочей области Введите имя рабочей области. В этом примере имя рабочей области — myLogAnalyticsWorkspace. Расположение Введите Восточная часть США. Примечание.
Расположение должно соответствовать расположению рабочей области.
Выберите Просмотр и создание, а после прохождения проверки — Создать.
Создание правила ведения журнала диагностики Azure Monitor с помощью приложения логики
Этот шаблон обогащения оповещений об устранении рисков DDoS развертывает необходимые компоненты обогащенного оповещения об устранении рисков DDoS: правило генерации оповещений Azure Monitor, группа действий и приложение логики. Результатом является оповещение по электронной почте с подробными сведениями об IP-адресе, на который идет атака, в том числе о связанном с этим IP-адресом ресурсе. Владелец ресурса добавляется в качестве получателя соответствующего сообщения электронной почты наряду с группой безопасности. Выполняется также базовый тест доступности приложений, и результаты его включаются в оповещение по электронной почте.
Развертывание шаблона
Выберите элемент Развертывание в Azure, чтобы войти в Azure и открыть шаблон.
На странице "Настраиваемое развертывание" в разделе "Сведения о проекте" введите следующие сведения.
Параметр Значение Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите группу ресурсов. Область/регион Выберите значение для параметра Регион. Имя оповещения Оставьте для использования по умолчанию. Электронная почта группы безопасности Введите необходимый адрес электронной почты. Домен организации Введите обязательный домен. Имя рабочей области Введите имя рабочей области. В этом примере имя рабочей области — myLogAnalyticsWorkspace. Выберите Просмотр и создание, а после прохождения проверки — Создать.
Очистка ресурсов
Вы можете сохранить ресурсы для следующего руководства. Если больше не требуется, удалите оповещения.
В поле поиска в верхней части портала введите оповещения. Выберите оповещения в результатах поиска.
Выберите правила генерации оповещений, а затем на странице правил генерации оповещений выберите подписку.
Выберите оповещения, созданные в этом руководстве, а затем нажмите кнопку "Удалить".
Следующие шаги
В этом руководстве вы узнали, как настроить диагностические оповещения с помощью портал Azure.
Чтобы протестировать защиту от атак DDoS с помощью имитаций, перейдите к следующему руководству.