У меня есть служба приложений, которая работает некоторое время и постоянно используется. Мы заметили, что вчера поздно вечером / рано утром произошел большой всплеск данных. На нашем веб-сайте есть зона авторизованного пользователя, и мы обеспокоены тем, что на сайте могло произойти нарушение или что-то неавторизованное.
У сайта всегда было меньше 5 МБ / 15 минут. Но внезапный всплеск превысил 180 МБ, а затем мгновенно снова упал.
Есть ли способ с помощью Azure (Metrics или Security Center) определить, что вызвало массовый всплеск исходящих данных? Какие данные были отправлены, кому и т. Д.? Есть ли что-нибудь, что мы можем включить, чтобы иметь возможность просматривать эти данные, если это повторится? (например, Лазурный часовой)
Если посмотреть на другие метрики, не было явного всплеска ошибок 4XX или 5XX или количества запросов, поэтому мы не подозреваем о грубой силе или DoS-атаке.
Обновление: это случилось снова прошлой ночью. На этот раз скачок составил 600 МБ, а в 15-минутном окне среднее время ЦП увеличилось до более чем одного часа. Время отклика, количество запросов и ошибок 4xx / 5xx оставались стабильными.
Вы можете включить App Insights в своем веб-приложении, которое даст вам более подробную информацию о том, какой контент на самом деле попадает и откуда.
Вы также можете включить защиту веб-приложений в центре безопасности Azure, это должно собирать больше данных о безопасности и давать вам лучшее представление о том, есть ли атака.