Обнаружение SSH брутфорс атак с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Следующая версия    		Предыдущая версия
    dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2025/07/29 08:03] – создано elena.krasnobryzhdpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2025/12/11 09:20] (текущий) elena.krasnobryzh
    Строка 2: Строка 2:
     ====== Обнаружение SSH брутфорс атак с использованием триггеров в QoE ====== ====== Обнаружение SSH брутфорс атак с использованием триггеров в QoE ======
      
    -[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:+[[dpi:qoe_analytics:qoe_gui:offline_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:
       * уведомление в GUI   * уведомление в GUI
       * HTTP действие   * HTTP действие
       * отправка email   * отправка email
    -\\+
     Необходимые опции СКАТ DPI: Необходимые опции СКАТ DPI:
       * [[dpi:dpi_options:opt_statistics]]   * [[dpi:dpi_options:opt_statistics]]
    Строка 12: Строка 12:
     Необходимые дополнительные модули: Необходимые дополнительные модули:
       * [[dpi:dpi_components:dpiui|]]   * [[dpi:dpi_components:dpiui|]]
    -  * [[dpi:dpi_components:qoestor|]]+  * [[dpi:qoe_analytics:implementation_administration|]]
      
     ===== Системный триггер на обнаружение SSH брутфорс атак ===== ===== Системный триггер на обнаружение SSH брутфорс атак =====
      
    -Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации(по-умолчанию выключен). +Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе QoE Аналитика → Триггеры и нотификации (по умолчанию выключен).
    - +
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce.png?nolink&600 |}}+
      
     === Общая информация триггера === === Общая информация триггера ===
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_common.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_common.png?600 |}}
      
       * Название триггера "ssh bruteforce";   * Название триггера "ssh bruteforce";
    Строка 34: Строка 32:
     === Запросы === === Запросы ===
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_queries.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_queries.png?600 |}}
      
     Для данного тригера установлен не редактируемый запрос со следующими параметрами: Для данного тригера установлен не редактируемый запрос со следующими параметрами:
      
    -  * Таблица для сканирования:  Raw full netflow → Tables → Attacks detection → Ssh bruteforce+  * Таблица для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → SSH брутфорс
    -  * Период с: now - 30 minutes +  * Период с: сейчас - 30 минут 
    -  * Период по: now - 20 minutes+  * Период по: сейчас - 20 минут
      
      
     === Условия === === Условия ===
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_conditions.png?600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_conditions.png?600 |}}
      
       * Добавить "+" 2 поля   * Добавить "+" 2 поля
       * Связка – И   * Связка – И
    -  * Функция – avg +  * Функция – avg для 1 поля, max для 2 поля 
    -  * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс) +  * Серия в 1 поле – Время жизни сессии к абоненту, мс <= 20 
    -  * Серия во 2 поле – количество сессий на абонента >= 1500+  * Серия во 2 поле – Сессий на абонента >= 1500
      
      
    -<note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note>+<note>Мы задали условия для срабатывания триггера: Средняя продолжительность SSH-сессии к абоненту меньше 20мс и количество SSH-сессий для абонента больше 1500 за обрабатываемый период времени.</note>
      
     === Обработка ошибок === === Обработка ошибок ===
      
    -{{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}}
      
    -  * В поле "Если нет ошибок" — нет данных +  * В поле "Если нет данных" — Нет данных 
    -  * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние+  * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние
      
     <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note>
    Строка 68: Строка 66:
     == E-mail действие == == E-mail действие ==
      
    -{{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}}
      
    -  * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)+  * Для автоматического заполнения — кликнуть по иконке {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
       * В поле "Кому" — указать адрес электронной почты   * В поле "Кому" — указать адрес электронной почты
       * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)   * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)
    - 
      
     == Нотификация == == Нотификация ==
    -{{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}}
      
    -  * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)+  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
       * Выбрать тип нотификации — "Предупреждение"   * Выбрать тип нотификации — "Предупреждение"
       * При этой настройке будет создана нотификация в СКАТ   * При этой настройке будет создана нотификация в СКАТ
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_alerting.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_alerting.png?600 |}}
      
     Получить ссылку на отчет можно через меню нотификаций Получить ссылку на отчет можно через меню нотификаций
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication.png?nolink&400 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication.png?400 |}}
      
     Выбрать нотификацию Выбрать нотификацию
     Выбрать — "Детали" Выбрать — "Детали"
      
    -{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication_details.png?nolink&400 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication_details.png?400 |}}
      
     Перейти по ссылке на отчет — отчет откроется в новом окне браузера. Перейти по ссылке на отчет — отчет откроется в новом окне браузера.
    Строка 97: Строка 94:
     == HTTP действие == == HTTP действие ==
      
    -{{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}}
      
    -Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)+Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
     Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес