Обнаружение SSH брутфорс атак с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2025/10/31 12:19] elena.krasnobryzhdpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce [2025/12/11 09:20] (текущий) elena.krasnobryzh
    Строка 6: Строка 6:
       * HTTP действие   * HTTP действие
       * отправка email   * отправка email
    -\\+
     Необходимые опции СКАТ DPI: Необходимые опции СКАТ DPI:
       * [[dpi:dpi_options:opt_statistics]]   * [[dpi:dpi_options:opt_statistics]]
    Строка 16: Строка 16:
     ===== Системный триггер на обнаружение SSH брутфорс атак ===== ===== Системный триггер на обнаружение SSH брутфорс атак =====
      
    -Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации(по-умолчанию выключен). +Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе QoE Аналитика → Триггеры и нотификации (по умолчанию выключен).
    - +
    -{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:dpiui2_triggers_bruteforce.png?600 |}}+
      
     === Общая информация триггера === === Общая информация триггера ===
    Строка 38: Строка 36:
     Для данного тригера установлен не редактируемый запрос со следующими параметрами: Для данного тригера установлен не редактируемый запрос со следующими параметрами:
      
    -  * Таблица для сканирования:  Raw full netflow → Tables → Attacks detection → Ssh bruteforce+  * Таблица для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → SSH брутфорс
    -  * Период с: now - 30 minutes +  * Период с: сейчас - 30 минут 
    -  * Период по: now - 20 minutes+  * Период по: сейчас - 20 минут
      
      
    Строка 49: Строка 47:
       * Добавить "+" 2 поля   * Добавить "+" 2 поля
       * Связка – И   * Связка – И
    -  * Функция – avg +  * Функция – avg для 1 поля, max для 2 поля 
    -  * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс) +  * Серия в 1 поле – Время жизни сессии к абоненту, мс <= 20 
    -  * Серия во 2 поле – количество сессий на абонента >= 1500+  * Серия во 2 поле – Сессий на абонента >= 1500
      
      
    -<note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note>+<note>Мы задали условия для срабатывания триггера: Средняя продолжительность SSH-сессии к абоненту меньше 20мс и количество SSH-сессий для абонента больше 1500 за обрабатываемый период времени.</note>
      
     === Обработка ошибок === === Обработка ошибок ===
      
    -{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_error.png?600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_error.png?600 |}}
      
    -  * В поле "Если нет ошибок" — нет данных +  * В поле "Если нет данных" — Нет данных 
    -  * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние+  * В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние
      
     <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note> <note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note>
    Строка 68: Строка 66:
     == E-mail действие == == E-mail действие ==
      
    -{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_email.png?600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_email.png?600 |}}
      
    -  * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)+  * Для автоматического заполнения — кликнуть по иконке {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
       * В поле "Кому" — указать адрес электронной почты   * В поле "Кому" — указать адрес электронной почты
       * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)   * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)
    - 
      
     == Нотификация == == Нотификация ==
    -{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_notification.png?600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_notification.png?600 |}}
      
    -  * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)+  * Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
       * Выбрать тип нотификации — "Предупреждение"   * Выбрать тип нотификации — "Предупреждение"
       * При этой настройке будет создана нотификация в СКАТ   * При этой настройке будет создана нотификация в СКАТ
    Строка 97: Строка 94:
     == HTTP действие == == HTTP действие ==
      
    -{{ :dpi:qoe_analytics:cases:network_health:triggers_ssh_bruteforce:ddos_http.png?600 |}}+{{ :dpi:qoe_analytics:cases:network_health:triggers_setup:ddos_http.png?600 |}}
      
    -Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)+Для автоматического заполнения — кликнуть {{:dpi:qoe_analytics:cases:network_health:file-code.svg|}} (автоматическое заполнение формы)
     Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес