Обнаружение SSH брутфорс атак с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    dpi:qoe:use_cases:triggers_ssh_bruteforce [2023/08/30 08:13] elena.krasnobryzhdpi:qoe:use_cases:triggers_ssh_bruteforce [2024/09/26 15:29] (текущий) – внешнее изменение 127.0.0.1
    Строка 1: Строка 1:
    -====== triggers_ssh_bruteforce ======+====== Обнаружение SSH брутфорс атак с использованием триггеров в QoE ====== 
     +{{indexmenu_n>6}} 
     + 
     +[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий: 
     +  * уведомление в GUI 
     +  * HTTP действие 
     +  * отправка email 
     +\\ 
     +Необходимые опции СКАТ DPI: 
     +  * [[dpi:dpi_options:opt_statistics]] 
     +  * [[dpi:dpi_options:opt_notify]] 
     +Необходимые дополнительные модули: 
     +  * [[dpi:dpi_components:dpiui|]] 
     +  * [[dpi:dpi_components:qoestor|]] 
     + 
     +===== Системный триггер на обнаружение SSH брутфорс атак ===== 
     + 
     +Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации" (по-умолчанию выключен). 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce.png?nolink&600 |}} 
     + 
     +=== Общая информация триггера === 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_common.png?nolink&600 |}} 
     + 
     +  * Название триггера "ssh bruteforce"; 
     +  * Дни недели - все; 
     +  * Частота проверки - 10 минут; 
     +  * Частота срабатывания триггера - 0; 
     +  * Даты и время начала/окончания работы настраиваются при необходимости. 
     + 
     +<note>Каждый день периодичностью в 10 минут будет происходить проверка по условиям описанным ниже.</note> 
     + 
     +=== Запросы === 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_queries.png?nolink&600 |}} 
     + 
     +Для данного тригера установлен не редактируемый запрос со следующими параметрами: 
     + 
     +  * Таблица для сканирования:  Raw full netflow → Tables → Attacks detection → Ssh bruteforce; 
     +  * Период с: now - 30 minutes 
     +  * Период по: now - 20 minutes 
     + 
     + 
     +=== Условия === 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_conditions.png?600 |}} 
     + 
     +  * Добавить "+" 2 поля 
     +  * Связка – И 
     +  * Функция – avg 
     +  * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс) 
     +  * Серия во 2 поле – количество сессий на абонента >= 1500 
     + 
     + 
     +<note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note> 
     + 
     +=== Обработка ошибок === 
     + 
     +{{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}} 
     + 
     +  * В поле "Если нет ошибок" — нет данных 
     +  * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние 
     + 
     +<note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> 
     + 
     +=== Действия === 
     +== E-mail действие == 
     + 
     +{{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}} 
     + 
     +  * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы) 
     +  * В поле "Кому" — указать адрес электронной почты 
     +  * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) 
     + 
     + 
     +== Нотификация == 
     +{{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}} 
     + 
     +  * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) 
     +  * Выбрать тип нотификации — "Предупреждение" 
     +  * При этой настройке будет создана нотификация в СКАТ 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_alerting.png?nolink&600 |}} 
     + 
     +Получить ссылку на отчет можно через меню нотификаций 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication.png?nolink&400 |}} 
     + 
     +Выбрать нотификацию 
     +Выбрать — "Детали" 
     + 
     +{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication_details.png?nolink&400 |}} 
     + 
     +Перейти по ссылке на отчет — отчет откроется в новом окне браузера. 
     + 
     +== HTTP действие == 
     + 
     +{{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}} 
     + 
     +Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) 
     +Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес