| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2025/10/31 12:19] – elena.krasnobryzh | dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2026/04/16 15:46] (текущий) – elena.krasnobryzh |
|---|
| * HTTP действие | * HTTP действие |
| * отправка email | * отправка email |
| \\ | |
| Необходимые опции СКАТ DPI: | Необходимые опции СКАТ DPI: |
| * [[dpi:dpi_options:opt_statistics]] | * [[dpi:dpi_options:opt_statistics]] |
| ===== Системный триггер на обнаружение SSH брутфорс атак ===== | ===== Системный триггер на обнаружение SSH брутфорс атак ===== |
| |
| Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации" (по-умолчанию выключен). | Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе QoE Аналитика → Триггеры и нотификации (по умолчанию выключен). |
| | |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce.png?600 |}} | |
| |
| === Общая информация триггера === | === Общая информация триггера === |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_common.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_common.png?nolink&600 |}} |
| |
| * Название триггера "ssh bruteforce"; | * Название триггера "ssh bruteforce"; |
| === Запросы === | === Запросы === |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_queries.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_queries.png?nolink&600 |}} |
| |
| Для данного тригера установлен не редактируемый запрос со следующими параметрами: | Для данного тригера установлен не редактируемый запрос со следующими параметрами: |
| |
| * Таблица для сканирования: Raw full netflow → Tables → Attacks detection → Ssh bruteforce; | * Таблица для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → SSH брутфорс; |
| * Период с: now - 30 minutes | * Период с: сейчас - 30 минут |
| * Период по: now - 20 minutes | * Период по: сейчас - 20 минут |
| |
| |
| === Условия === | === Условия === |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_conditions.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_conditions.png?nolink&600 |}} |
| |
| * Добавить "+" 2 поля | * Добавить "+" 2 поля |
| * Связка – И | * Связка – И |
| * Функция – avg | * Функция – avg для 1 поля, max для 2 поля |
| * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс) | * Серия в 1 поле – Время жизни сессии к абоненту, мс <= 20 |
| * Серия во 2 поле – количество сессий на абонента >= 1500 | * Серия во 2 поле – Сессий на абонента >= 1500 |
| |
| |
| <note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note> | <note>Мы задали условия для срабатывания триггера: Средняя продолжительность SSH-сессии к абоненту меньше 20мс и количество SSH-сессий для абонента больше 1500 за обрабатываемый период времени.</note> |
| |
| === Обработка ошибок === | === Обработка ошибок === |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_error.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?nolink&600 |}} |
| |
| * В поле "Если нет ошибок" — нет данных | * В поле "Если нет данных" — Нет данных |
| * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние | * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние |
| |
| <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> | <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> |
| == E-mail действие == | == E-mail действие == |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_email.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?nolink&600 |}} |
| |
| * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть по иконке {{:dpi:qoe_analytics:cases:network_health:file-code.svg?nolink&|}} (автоматическое заполнение формы) |
| * В поле "Кому" — указать адрес электронной почты | * В поле "Кому" — указать адрес электронной почты |
| * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) | * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние) |
| |
| |
| == Нотификация == | == Нотификация == |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_notification.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?nolink&600 |}} |
| |
| * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg?nolink&|}} (автоматическое заполнение формы) |
| * Выбрать тип нотификации — "Предупреждение" | * Выбрать тип нотификации — "Предупреждение" |
| * При этой настройке будет создана нотификация в СКАТ | * При этой настройке будет создана нотификация в СКАТ |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_alerting.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_alerting.png?nolink&600 |}} |
| |
| Получить ссылку на отчет можно через меню нотификаций | Получить ссылку на отчет можно через меню нотификаций |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication.png?400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication.png?nolink&400 |}} |
| |
| Выбрать нотификацию | Выбрать нотификацию |
| Выбрать — "Детали" | Выбрать — "Детали" |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication_details.png?400 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce_notofication_details.png?nolink&400 |}} |
| |
| Перейти по ссылке на отчет — отчет откроется в новом окне браузера. | Перейти по ссылке на отчет — отчет откроется в новом окне браузера. |
| == HTTP действие == | == HTTP действие == |
| |
| {{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_http.png?600 |}} | {{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?nolink&600 |}} |
| |
| Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) | Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg?nolink&|}} (автоматическое заполнение формы) |
| Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес | Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес |
