البرنامج التعليمي: عرض سجلات حماية Azure DDoS في مساحة عمل Log Analytics
في هذا البرنامج التعليمي، تتعلم كيفية:
- عرض سجلات تشخيص Azure DDoS Protection بما في ذلك الإعلامات وتقارير التخفيف وسجلات تدفق التخفيف.
توفر لك سجلات تشخيص DDoS Protection القدرة على عرض إعلامات DDoS Protection وتقارير التخفيف وسجلات تدفق التخفيف بعد هجوم DDoS. يمكنك عرض هذه السجلات في مساحة عمل Log Analytics.
تستخدم تقارير التخفيف من الهجوم بيانات بروتوكول Netflow، والتي يتم تجميعها لتوفير معلومات مفصلة حول الهجوم على المورد الخاص بك. في أي وقت يتعرض فيه مورد IP عام للهجوم، يبدأ إنشاء التقرير بمجرد بدء التخفيف. سيكون هناك تقرير تزايدي يتم إنشاؤه كل 5 دقائق وتقرير ما بعد التخفيف لفترة التخفيف بأكملها. هذا للتأكد من أنه في حالة استمرار هجوم DDoS لمدة أطول من الوقت، ستتمكن من عرض أحدث لقطة من تقرير التخفيف كل 5 دقائق وملخص كامل بمجرد انتهاء تخفيف الهجوم.
المتطلبات الأساسية
- حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
- يجب تمكين حماية شبكة DDoS على شبكة ظاهرية أو يجب تمكين DDoS IP Protection على عنوان IP عام.
- تكوين سجلات تشخيص DDoS Protection. لمعرفة المزيد، راجع تكوين سجلات التشخيص.
- محاكاة هجوم باستخدام أحد شركائنا في المحاكاة. لمعرفة المزيد، راجع اختبار مع شركاء المحاكاة.
عرض في مساحة عمل Log Analytics
قم بتسجيل الدخول إلى بوابة Azure.
في مربع البحث أعلى المدخل، أدخل مساحة عمل Log Analytics. حدد مساحة عمل Log Analytics في نتائج البحث.
ضمن جزء مساحات عمل Log Analytics، حدد مساحة العمل الخاصة بك.
في علامة التبويب على الجانب الأيسر، حدد Logs. هنا ترى مستكشف الاستعلام. قم بإنهاء جزء Queries لاستخدام صفحة Logs .
في صفحة Logs ، اكتب في الاستعلام الخاص بك ثم اضغط على Run لعرض النتائج.
الاستعلام عن سجلات حماية Azure DDoS في مساحة عمل تحليلات السجل
لمزيد من المعلومات حول مخططات السجل، راجع عرض سجلات التشخيص.
سجلات DDoSProtectionNotifications
ضمن جزء مساحات عمل تحليلات السجل، حدد مساحة عمل تحليلات السجل.
في الجزء الأيسر، حدد Logs. هنا ترى مستكشف الاستعلام.
في مستكشف الاستعلام، اكتب في Kusto Query التالي وغير النطاق الزمني إلى مخصص وغير النطاق الزمني إلى آخر ثلاثة أشهر. ثم اضغط على تشغيل.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"لعرض DDoSMitigationFlowLogs ، قم بتغيير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على Run.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"لعرض DDoSMitigationReports غير الاستعلام إلى ما يلي واحتفظ بنفس النطاق الزمني واضغط على Run.
AzureDiagnostics | where Category == "DDoSMitigationReports"
مثال على استعلامات السجل
إعلامات حماية DDoS
ستعلمك الإعلامات في أي وقت يتعرض فيه مورد IP عام للهجوم، وعند انتهاء التخفيف من حدة الهجوم.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
يسرد الجدول التالي أسماء الحقول وأوصافها:
| اسم الحقل | الوصف |
|---|---|
| TimeGenerated | التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام. |
| معرف المورد | معرف المورد لعنوان IP العام. |
| الفئة | بالنسبة إلى الإعلامات، سيكون DDoSProtectionNotificationsهذا. |
| ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
| SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
| المورد | اسم عنوان IP العام الخاص بك. |
| ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS. |
| OperationName | بالنسبة إلى الإعلامات، هذا هو DDoSProtectionNotifications. |
| رسالة | تفاصيل الهجوم. |
| النوع | نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted.
MitigationStopped. |
| PublicIpAddress | عنوان IP العام الخاص بك. |
سجلات تدفق تخفيف DDoS
تسمح لك سجلات تدفق تخفيف الهجوم بمراجعة نسبة استخدام الشبكة التي تم إسقاطها وحركة المرور التي تمت إعادة توجيهها ونقاط البيانات الأخرى المثيرة للاهتمام أثناء هجوم DDoS النشط في الوقت الفعلي تقريبا. يمكنك استيعاب الدفق المستمر لهذه البيانات في Microsoft Sentinel أو إلى أنظمة SIEM التابعة لجهة خارجية عبر مركز الأحداث للمراقبة في الوقت الفعلي تقريبا، واتخاذ الإجراءات المحتملة ومعالجة الحاجة إلى عمليات الدفاع الخاصة بك.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
يسرد الجدول التالي أسماء الحقول وأوصافها:
| اسم الحقل | الوصف |
|---|---|
| TimeGenerated | التاريخ والوقت في UTC عند إنشاء سجل التدفق. |
| معرف المورد | معرف المورد لعنوان IP العام. |
| الفئة | بالنسبة لسجلات التدفق، هذا هو DDoSMitigationFlowLogs. |
| ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
| SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
| المورد | اسم عنوان IP العام الخاص بك. |
| ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS. |
| OperationName | بالنسبة لسجلات التدفق، هذا هو DDoSMitigationFlowLogs. |
| رسالة | تفاصيل الهجوم. |
| SourcePublicIpAddress | عنوان IP العام للعميل الذي ينشئ نسبة استخدام الشبكة إلى عنوان IP العام الخاص بك. |
| منفذ المصدر | رقم المنفذ يتراوح من 0 إلى 65535. |
| DestPublicIpAddress | عنوان IP العام الخاص بك. |
| DestPort | رقم المنفذ يتراوح من 0 إلى 65535. |
| البروتوكول | نوع البروتوكول. تتضمن القيم المحتملة tcp، udp، other. |
تقارير تخفيف DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
يسرد الجدول التالي أسماء الحقول وأوصافها:
| اسم الحقل | الوصف |
|---|---|
| TimeGenerated | التاريخ والوقت في التوقيت العالمي المتفق عليه عند إنشاء الإعلام. |
| معرف المورد | معرف المورد لعنوان IP العام. |
| الفئة | بالنسبة لتقارير التخفيف، هذا هو DDoSMitigationReports. |
| ResourceGroup | مجموعة الموارد التي تحتوي على عنوان IP العام والشبكة الظاهرية. |
| SubscriptionId. | معرف اشتراك خطة حماية DDoS. |
| المورد | اسم عنوان IP العام الخاص بك. |
| ResourceType | هذا سيكون دائمًا PUBLICIPADDRESS. |
| OperationName | بالنسبة لتقارير التخفيف، هذا هو DDoSMitigationReports. |
| ReportType | القيم المُحتملة هي Incremental وPostMitigation. |
| MitigationPeriodStart | التاريخ والوقت في التوقيت العالمي المتفق عليه عند بدء التخفيف. |
| MitigationPeriodEnd | التاريخ والوقت في UTC عند انتهاء التخفيف. |
| ipAddress | عنوان IP العام الخاص بك. |
| AttackVectors | تدهور أنواع الهجمات. تتضمن TCP SYN floodالمفاتيح و. TCP floodOther packet floodUDP floodUDP reflection |
| TrafficOverview | تدهور حركة مرور الهجوم. تتضمن Total packetsالمفاتيح و Total packets droppedTotal TCP packetsو Total TCP packets droppedو.Total Other packets droppedTotal UDP packetsTotal UDP packets droppedTotal Other packets |
| البروتوكولات | تصنيف البروتوكولات المضمنة. تتضمن TCPالمفاتيح و UDPو.Other |
| DropReasons | تحليل أسباب الحزم التي تم إسقاطها. تتضمن Protocol violation invalid TCPالمفاتيح .
syn Protocol violation invalid TCPو Protocol violation invalid UDPو UDP reflectionوTCP rate limit exceeded. UDP rate limit exceededPacket was forwarded to serviceDestination limit exceededOther packet flood Rate limit exceeded تشير أسباب الإفلات غير الصالحة لانتهاك البروتوكول إلى الحزم التي تم تكوينها بشكل غير صحيح. |
| TopSourceCountries | تقسيم أفضل 10 بلدان/مناطق مصدر إلى نسبة استخدام الشبكة الواردة. |
| TopSourceCountriesForDroppedPackets | تحليل أفضل 10 بلدان/مناطق مصدر لحركة مرور الهجمات التي تم تقييدها. |
| TopSourceASNs | تحليل أهم 10 مصادر لأرقام النظام المستقل (ASNs) لنسبة استخدام الشبكة الواردة. |
| SourceContinents | تحليل قارة المصدر لحركة المرور الواردة. |
| النوع | نوع الإعلام. تشمل القيم المتاحة ما يليMitigationStarted.
MitigationStopped. |
الخطوات التالية
في هذا البرنامج التعليمي، تعلمت كيفية عرض سجلات تشخيص DDoS Protection في مساحة عمل Log Analytics. لمعرفة المزيد حول الخطوات الموصى بها التي يجب اتخاذها عند تلقي هجوم DDoS، راجع الخطوات التالية.