Обнаружение SSH брутфорс атак с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    dpi:qoe:use_cases:triggers_ssh_bruteforce:start [2023/08/30 08:13] – создано elena.krasnobryzhdpi:qoe:use_cases:triggers_ssh_bruteforce:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
    Строка 1: Строка 1:
    -====== Обнаружение SSH брутфорс атак с использованием триггеров в QoE ====== 
    -{{indexmenu_n>6}} 
      
    -[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications:start|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий: 
    -  * уведомление в GUI 
    -  * HTTP действие 
    -  * отправка email 
    -\\ 
    -Необходимые опции СКАТ DPI: 
    -  * [[dpi:dpi_options:opt_statistics:start]] 
    -  * [[dpi:dpi_options:opt_notify:start]] 
    -Необходимые дополнительные модули: 
    -  * [[dpi:dpi_components:dpiui:start|]] 
    -  * [[dpi:dpi_components:qoestor:start|]] 
    - 
    -===== Системный триггер на обнаружение SSH брутфорс атак ===== 
    - 
    -Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации" (по-умолчанию выключен). 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce.png?nolink&600 |}} 
    - 
    -=== Общая информация триггера === 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_common.png?nolink&600 |}} 
    - 
    -  * Название триггера "ssh bruteforce"; 
    -  * Дни недели - все; 
    -  * Частота проверки - 10 минут; 
    -  * Частота срабатывания триггера - 0; 
    -  * Даты и время начала/окончания работы настраиваются при необходимости. 
    - 
    -<note>Каждый день периодичностью в 10 минут будет происходить проверка по условиям описанным ниже.</note> 
    - 
    -=== Запросы === 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_queries.png?nolink&600 |}} 
    - 
    -Для данного тригера установлен не редактируемый запрос со следующими параметрами: 
    - 
    -  * Таблица для сканирования:  Raw full netflow → Tables → Attacks detection → Ssh bruteforce; 
    -  * Период с: now - 30 minutes 
    -  * Период по: now - 20 minutes 
    - 
    - 
    -=== Условия === 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_conditions.png?600 |}} 
    - 
    -  * Добавить "+" 2 поля 
    -  * Связка – И 
    -  * Функция – avg 
    -  * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс) 
    -  * Серия во 2 поле – количество сессий на абонента >= 1500 
    - 
    - 
    -<note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note> 
    - 
    -=== Обработка ошибок === 
    - 
    -{{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}} 
    - 
    -  * В поле "Если нет ошибок" — нет данных 
    -  * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние 
    - 
    -<note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> 
    - 
    -=== Действия === 
    -== E-mail действие == 
    - 
    -{{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}} 
    - 
    -  * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы) 
    -  * В поле "Кому" — указать адрес электронной почты 
    -  * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) 
    - 
    - 
    -== Нотификация == 
    -{{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}} 
    - 
    -  * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) 
    -  * Выбрать тип нотификации — "Предупреждение" 
    -  * При этой настройке будет создана нотификация в СКАТ 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_alerting.png?nolink&600 |}} 
    - 
    -Получить ссылку на отчет можно через меню нотификаций 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication.png?nolink&400 |}} 
    - 
    -Выбрать нотификацию 
    -Выбрать — "Детали" 
    - 
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication_details.png?nolink&400 |}} 
    - 
    -Перейти по ссылке на отчет — отчет откроется в новом окне браузера. 
    - 
    -== HTTP действие == 
    - 
    -{{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}} 
    - 
    -Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) 
    -Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес