مشاركة عبر


البرنامج التعليمي: عرض سجلات حماية Azure DDoS في مساحة عمل Log Analytics

في هذا البرنامج التعليمي، تتعلم كيفية:

  • عرض سجلات تشخيص Azure DDoS Protection بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.

توفر لك سجلات تشخيص DDoS Protection القدرة على عرض إعلامات DDoS Protection وتقارير التخفيف وسجلات تدفق التخفيف بعد هجوم DDoS. يمكنك عرض هذه السجلات في مساحة عمل Log Analytics.

تستخدم تقارير التخفيف من الهجوم بيانات بروتوكول Netflow، والتي يتم تجميعها لتوفير معلومات مفصلة حول الهجوم على المورد الخاص بك. في أي وقت يتعرض فيه مورد IP عام للهجوم، يبدأ إنشاء التقرير بمجرد بدء التخفيف. سيكون هناك تقرير تزايدي يتم إنشاؤه كل 5 دقائق وتقرير ما بعد التخفيف لفترة التخفيف بأكملها. هذا للتأكد من أنه في حالة استمرار هجوم DDoS لمدة أطول من الوقت، ستتمكن من عرض أحدث لقطة من تقرير التخفيف كل 5 دقائق وملخص كامل بمجرد انتهاء تخفيف الهجوم.

المتطلبات الأساسية

عرض في مساحة عمل Log Analytics

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل مساحة عمل Log Analytics. حدد مساحة عمل Log Analytics في نتائج البحث.

  3. ضمن جزء مساحات عمل Log Analytics، حدد مساحة العمل الخاصة بك.

  4. في علامة التبويب على الجانب الأيسر، حدد Logs. هنا ترى مستكشف الاستعلام. قم بإنهاء جزء Queries لاستخدام صفحة Logs .

    لقطة شاشة لعرض مساحة عمل تحليلات السجل.

  5. في صفحة Logs ، اكتب في الاستعلام الخاص بك ثم اضغط على Run لعرض النتائج.

    لقطة شاشة لعرض سجلات إعلام DDoS Protection في مساحة عمل تحليلات السجل.

الاستعلام عن سجلات حماية Azure DDoS في مساحة عمل تحليلات السجل

لمزيد من المعلومات حول مخططات السجل، راجع عرض سجلات التشخيص.

سجلات DDoSProtectionNotifications

  1. ضمن جزء مساحات عمل تحليلات السجل، حدد مساحة عمل تحليلات السجل.

  2. في الجزء الأيسر، حدد Logs. هنا ترى مستكشف الاستعلام.

  3. في مستكشف الاستعلام، اكتب في Kusto Query التالي وغير النطاق الزمني إلى مخصص وغير النطاق الزمني إلى آخر ثلاثة أشهر. ثم اضغط على تشغيل.

    AzureDiagnostics
    | where Category == "DDoSProtectionNotifications"
    
  4. لعرض DDoSMitigationFlowLogs ، قم بتغيير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على Run.

    AzureDiagnostics
    | where Category == "DDoSMitigationFlowLogs"
    
  5. لعرض DDoSMitigationReports غير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على Run.

    AzureDiagnostics
    | where Category == "DDoSMitigationReports"
    

مثال على استعلامات السجل

إعلامات حماية DDoS

ستعلمك الإعلامات في أي وقت يتعرض فيه مورد IP عام للهجوم، وعند انتهاء التخفيف من حدة الهجوم.

AzureDiagnostics
| where Category == "DDoSProtectionNotifications"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل ‏‏الوصف
TimeGenerated التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام.
معرف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotificationsهذا.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
OperationName بالنسبة إلى الإعلامات، هذا هو DDoSProtectionNotifications.
رسالة تفاصيل الهجوم.
النوع نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted. MitigationStopped.
PublicIpAddress عنوان IP العام الخاص بك.

سجلات تدفق تخفيف DDoS

تسمح لك سجلات تدفق تخفيف الهجوم بمراجعة نسبة استخدام الشبكة التي تم إسقاطها وحركة المرور التي تمت إعادة توجيهها ونقاط البيانات الأخرى المثيرة للاهتمام أثناء هجوم DDoS النشط في الوقت الفعلي تقريبا. يمكنك استيعاب الدفق المستمر لهذه البيانات في Microsoft Sentinel أو إلى أنظمة SIEM التابعة لجهة خارجية عبر مركز الأحداث للمراقبة في الوقت الفعلي تقريبا، واتخاذ الإجراءات المحتملة ومعالجة الحاجة إلى عمليات الدفاع الخاصة بك.

AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل ‏‏الوصف
TimeGenerated التاريخ والوقت في UTC عند إنشاء سجل التدفق.
معرف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة لسجلات التدفق، هذا هو DDoSMitigationFlowLogs.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
OperationName بالنسبة لسجلات التدفق، هذا هو DDoSMitigationFlowLogs.
رسالة تفاصيل الهجوم.
SourcePublicIpAddress عنوان IP العام للعميل الذي ينشئ نسبة استخدام الشبكة إلى عنوان IP العام الخاص بك.
منفذ المصدر رقم المنفذ يتراوح من 0 إلى 65535.
DestPublicIpAddress عنوان IP العام الخاص بك.
DestPort رقم المنفذ يتراوح من 0 إلى 65535.
البروتوكول نوع البروتوكول. تتضمن القيم المحتملة tcp، udp، other.

تقارير تخفيف DDoS

AzureDiagnostics
| where Category == "DDoSMitigationReports"

يسرد الجدول التالي أسماء الحقول وأوصافها:

اسم الحقل ‏‏الوصف
TimeGenerated التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام.
معرف المورد معرف المورد لعنوان IP العام.
الفئة بالنسبة لتقارير التخفيف، هذا هو DDoSMitigationReports.
ResourceGroup مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية.
SubscriptionId. معرف اشتراك خطة حماية DDoS.
المورد اسم عنوان IP العام الخاص بك.
ResourceType هذا سيكون دائمًا PUBLICIPADDRESS.
OperationName بالنسبة لتقارير التخفيف، هذا هو DDoSMitigationReports
ReportType القيم المُحتملة هي Incremental وPostMitigation.
MitigationPeriodStart التاريخ والوقت في التوقيت العالمي المتفق عليه عند بدء التخفيف.
MitigationPeriodEnd التاريخ والوقت في UTC عند انتهاء التخفيف.
ipAddress عنوان IP العام الخاص بك.
AttackVectors تدهور أنواع الهجمات. تتضمن TCP SYN floodالمفاتيح و. TCP floodOther packet floodUDP floodUDP reflection
TrafficOverview تدهور حركة مرور الهجوم. تتضمن Total packetsالمفاتيح و Total packets droppedTotal TCP packetsو Total TCP packets droppedو.Total Other packets droppedTotal UDP packetsTotal UDP packets droppedTotal Other packets
البروتوكولات   تصنيف البروتوكولات المضمنة. تتضمن TCPالمفاتيح و UDPو.Other   
DropReasons تحليل أسباب الحزم التي تم إسقاطها. تتضمن Protocol violation invalid TCPالمفاتيح . syn Protocol violation invalid TCPو Protocol violation invalid UDPو UDP reflectionوTCP rate limit exceeded. UDP rate limit exceededPacket was forwarded to serviceDestination limit exceededOther packet flood Rate limit exceeded تشير أسباب الإفلات غير الصالحة لانتهاك البروتوكول إلى الحزم التي تم تكوينها بشكل غير صحيح.
TopSourceCountries تقسيم أفضل 10 بلدان/مناطق مصدر إلى نسبة استخدام الشبكة الواردة.
TopSourceCountriesForDroppedPackets تحليل أفضل 10 بلدان/مناطق مصدر لحركة مرور الهجمات التي تم تقييدها.
TopSourceASNs تحليل أهم 10 مصادر لأرقام النظام المستقل (ASNs) لنسبة استخدام الشبكة الواردة.  
SourceContinents تحليل قارة المصدر لحركة المرور الواردة.
النوع نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted. MitigationStopped.

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية عرض سجلات تشخيص DDoS Protection في مساحة عمل Log Analytics. لمعرفة المزيد حول الخطوات الموصى بها التي يجب اتخاذها عند تلقي هجوم DDoS، راجع الخطوات التالية.