Tutorial: Menampilkan log Azure DDoS Protection di ruang kerja Analitik Log
Dalam tutorial ini, Anda akan mempelajari cara:
- lihat log diagnostik Azure DDoS Protection termasuk pemberitahuan, laporan mitigasi, dan log alur mitigasi.
Log diagnostik DDoS Protection memberi Anda kemampuan untuk melihat pemberitahuan DDoS Protection, laporan mitigasi, dan log alur mitigasi setelah serangan DDoS. Anda dapat melihat log ini di ruang kerja Analitik Log Anda.
Laporan mitigasi serangan menggunakan data protokol Netflow, yang dikumpulkan untuk memberikan informasi terperinci tentang serangan pada sumber daya Anda. Setiap kali sumber daya IP publik diserang, pembuatan laporan dimulai segera setelah mitigasi dimulai. Akan ada laporan bertahap yang dihasilkan setiap 5 menit dan laporan pasca-mitigasi untuk seluruh periode mitigasi. Tindakan ini untuk memastikan bahwa dalam peristiwa terjadinya serangan DDoS terus berlanjut untuk durasi waktu yang lebih lama, Anda akan dapat melihat snapshot laporan mitigasi terbaru setiap 5 menit dan ringkasan lengkap setelah mitigasi serangan berakhir.
Prasyarat
- Akun Azure dengan langganan aktif. Buat akun secara gratis.
- DDoS Network Protection harus diaktifkan pada jaringan virtual atau DDoS IP Protection harus diaktifkan pada alamat IP publik.
- Mengonfigurasi log diagnostik DDoS Protection. Untuk mempelajari selengkapnya, lihat Mengonfigurasi log diagnostik.
- Mensimulasikan serangan menggunakan salah satu mitra simulasi kami. Untuk mempelajari selengkapnya, lihat Menguji dengan mitra simulasi.
Menampilkan di ruang kerja Analitik Log
Masuk ke portal Azure.
Di kotak pencarian di bagian atas portal, masukkan ruang kerja Analitik Log. Pilih ruang kerja Analitik Log di hasil pencarian.
Di bawah bilah ruang kerja Analitik Log, pilih ruang kerja Anda.
Pada tab sisi kiri, pilih Log. Di sini Anda melihat penjelajah kueri. Keluar dari panel Kueri untuk menggunakan halaman Log .
Di halaman Log , ketik kueri Anda lalu tekan Jalankan untuk menampilkan hasil.
Mengkueri log Azure DDoS Protection di ruang kerja analitik log
Untuk informasi selengkapnya tentang skema log, lihat Menampilkan log diagnostik.
DDoSProtectionNotifications logs
Di bawah bilah Ruang kerja analitik log, pilih ruang kerja analitik log Anda.
Di panel sisi kiri, pilih Log. Di sini Anda melihat penjelajah kueri.
Pada Penjelajah kueri, ketik Kueri Kusto berikut dan ubah rentang waktu menjadi Kustom dan ubah rentang waktu menjadi tiga bulan terakhir. Kemudian pukul Run.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"Untuk menampilkan DDoSMitigationFlowLogs , ubah kueri menjadi yang berikut ini dan pertahankan rentang waktu yang sama dan tekan Jalankan.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"Untuk menampilkan DDoSMitigationReports , ubah kueri menjadi yang berikut ini dan pertahankan rentang waktu yang sama dan tekan Jalankan.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Kueri log sampel
Pemberitahuan Perlindungan DDoS
Pemberitahuan akan memberi tahu Anda kapan saja sumber daya IP publik diserang, dan ketika mitigasi serangan berakhir.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu di UTC saat pemberitahuan dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Golongan | Untuk pemberitahuan, DDoSProtectionNotifications akan digunakan. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType |
PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk pemberitahuan, ini adalah DDoSProtectionNotifications. |
| Pesan | Detail serangan. |
| Jenis | Jenis pemberitahuan. Nilai yang mungkin termasuk MitigationStarted.
MitigationStopped. |
| PublicIpAddress | Alamat IP publik Anda. |
Log Alur Mitigasi DDoS
Log alur mitigasi serangan memungkinkan Anda meninjau lalu lintas yang dihilangkan, lalu lintas yang diteruskan, dan titik data menarik lainnya selama serangan DDoS aktif mendekati real time. Anda dapat menyerap aliran konstan data ini ke Microsoft Azure Sentinel atau ke sistem SIEM pihak ketiga Anda melalui hub peristiwa untuk pemantauan hampir real time melakukan tindakan potensial, dan mengatasi kebutuhan operasi pertahanan Anda.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu dalam UTC saat log alur dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Golongan | Untuk log alur, ini adalah DDoSMitigationFlowLogs. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType |
PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk log alur, ini adalah DDoSMitigationFlowLogs. |
| Pesan | Detail serangan. |
| SourcePublicIpAddress | Alamat IP publik klien yang menghasilkan lalu lintas ke alamat IP publik Anda. |
| SourcePort | Nomor port berkisar antara 0 hingga 65535. |
| DestPublicIpAddress | Alamat IP publik Anda. |
| DestPort | Nomor port berkisar antara 0 hingga 65535. |
| Protokol | Jenis protokol. Nilai yang mungkin termasuk tcp, udp, other. |
Laporan Mitigasi DDoS
AzureDiagnostics
| where Category == "DDoSMitigationReports"
Tabel berikut ini mencantumkan nama dan deskripsi bidang:
| Nama bidang | Deskripsi |
|---|---|
| TimeGenerated | Tanggal dan waktu di UTC saat pemberitahuan dibuat. |
| ResourceId | ID sumber daya alamat IP publik Anda. |
| Golongan | Untuk laporan mitigasi, ini adalah DDoSMitigationReports. |
| ResourceGroup | Grup sumber daya yang berisi alamat IP publik dan jaringan virtual Anda. |
| SubscriptionId | ID langganan paket perlindungan DDoS Anda. |
| Sumber daya | Nama alamat IP publik Anda. |
| ResourceType |
PUBLICIPADDRESS akan selalu digunakan. |
| OperationName | Untuk laporan mitigasi, ini adalah DDoSMitigationReports. |
| ReportType | Nilai yang mungkin adalah Incremental dan PostMitigation. |
| MitigationPeriodStart | Tanggal dan waktu dalam UTC saat mitigasi dimulai. |
| MitigationPeriodEnd | Tanggal dan waktu dalam UTC saat mitigasi berakhir. |
| IPAddress | Alamat IP publik Anda. |
| AttackVectors | Degradasi jenis serangan. Kuncinya termasuk TCP SYN flood, , TCP floodUDP flood, UDP reflection, dan Other packet flood. |
| TrafficOverview | Degradasi lalu lintas serangan. Kuncinya meliputi Total packets, , Total packets droppedTotal TCP packets, Total TCP packets dropped, Total UDP packets, Total UDP packets dropped, Total Other packets, dan Total Other packets dropped. |
| Protokol | Perincian protokol disertakan. Kuncinya termasuk TCP, UDP, dan Other. |
| DropReasons | Analisis penyebab paket yang dijatuhkan. Kuncinya termasuk Protocol violation invalid TCP.
syn Protocol violation invalid TCP, , Protocol violation invalid UDP, TCP rate limit exceededUDP reflection, UDP rate limit exceeded, Destination limit exceeded, , Other packet flood Rate limit exceeded, dan Packet was forwarded to service. Pelanggaran protokol alasan penurunan yang tidak valid mengacu pada paket yang salah bentuk. |
| TopSourceCountries | Perincian 10 negara/wilayah sumber teratas menjadi lalu lintas masuk. |
| TopSourceCountriesForDroppedPackets | Analisis 10 negara/wilayah sumber teratas untuk lalu lintas serangan yang telah dibatasi. |
| TopSourceASNs | Analisis 10 sumber nomor sistem otonom (ASN) teratas dari lalu lintas masuk. |
| SourceContinents | Analisis benua sumber untuk lalu lintas masuk. |
| Jenis | Jenis pemberitahuan. Nilai yang mungkin termasuk MitigationStarted.
MitigationStopped. |
Langkah berikutnya
Dalam tutorial ini, Anda mempelajari cara melihat log diagnostik DDoS Protection di ruang kerja Analitik Log. Untuk mempelajari selengkapnya tentang langkah-langkah yang direkomendasikan saat Anda menerima serangan DDoS, lihat langkah-langkah berikutnya ini.