我有一个应用服务,已经运行了一段时间,使用率稳定。我们注意到,昨晚深夜/今天清晨数据输出量大幅增加。我们的网站有一个经过身份验证的用户区域,我们担心网站上可能存在违规行为或未经授权的情况。
该网站的访问速度始终低于 5MB/15 分钟。但突然飙升至 180MB 以上,然后又立即回落。
有没有办法使用 Azure(指标或安全中心)来确定导致数据输出大幅飙升的原因?发送了哪些数据、发送给了谁等等?如果再次发生这种情况,我们可以启用什么功能来查看这些数据?(例如 Azure Sentinel)
查看其他指标,4XX 或 5XX 错误或请求数量没有明显激增,因此我们不怀疑存在暴力攻击或 DoS 攻击。
更新:昨晚又发生了这种情况。这次峰值为 600MB,在 15 分钟内,平均 CPU 时间飙升至一小时以上。响应时间、请求数量和 4xx/5xx 错误都保持稳定。
答案1
您可以在您的 Web 应用程序上启用 App Insights,它将为您提供有关实际受到攻击的内容和来自何处的更多详细信息。
您还可以在 Azure 安全中心启用 Web 应用保护,这将捕获更多的安全数据并让您更好地了解是否存在攻击。