====== Обнаружение SSH брутфорс атак с использованием триггеров в QoE ======
{{indexmenu_n>6}}

[[dpi:dpi_components:dpiui:user_guide:qoe_analytics:triggers_and_notifications|Триггеры]] используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:
  * уведомление в GUI
  * HTTP действие
  * отправка email
\\
Необходимые опции СКАТ DPI:
  * [[dpi:dpi_options:opt_statistics]]
  * [[dpi:dpi_options:opt_notify]]
Необходимые дополнительные модули:
  * [[dpi:dpi_components:dpiui|]]
  * [[dpi:dpi_components:qoestor|]]

===== Системный триггер на обнаружение SSH брутфорс атак =====

Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе "QOE Аналитика"-"Триггеры и нотификации" (по-умолчанию выключен).

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce.png?nolink&600 |}}

=== Общая информация триггера ===

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_common.png?nolink&600 |}}

  * Название триггера "ssh bruteforce";
  * Дни недели - все;
  * Частота проверки - 10 минут;
  * Частота срабатывания триггера - 0;
  * Даты и время начала/окончания работы настраиваются при необходимости.

<note>Каждый день периодичностью в 10 минут будет происходить проверка по условиям описанным ниже.</note>

=== Запросы ===

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_queries.png?nolink&600 |}}

Для данного тригера установлен не редактируемый запрос со следующими параметрами:

  * Таблица для сканирования:  Raw full netflow → Tables → Attacks detection → Ssh bruteforce;
  * Период с: now - 30 minutes
  * Период по: now - 20 minutes


=== Условия ===

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_conditions.png?600 |}}

  * Добавить "+" 2 поля
  * Связка – И
  * Функция – avg
  * Серия в 1 поле – время жизни сессии к абоненту <= 20(мс)
  * Серия во 2 поле – количество сессий на абонента >= 1500


<note>Мы задали условия для срабатывания триггера: Средняя продолжительность Ssh-сессии к абоненту меньше 20мс и количество Ssh-сессий для абонента больше 1500 за обрабатываемый период времени.</note>

=== Обработка ошибок ===

{{ dpi:qoe:use_cases:ddos_error.png?nolink&600 |}}

  * В поле "Если нет ошибок" — нет данных
  * В поле "Если есть ошибка или таймаут" — сохранить последнее состояние

<note>В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.</note>

=== Действия ===
== E-mail действие ==

{{ dpi:qoe:use_cases:ddos_email.png?nolink&600 |}}

  * Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)
  * В поле "Кому" — указать адрес электронной почты
  * При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)


== Нотификация ==
{{ dpi:qoe:use_cases:ddos_notification.png?nolink&600 |}}

  * Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
  * Выбрать тип нотификации — "Предупреждение"
  * При этой настройке будет создана нотификация в СКАТ

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_alerting.png?nolink&600 |}}

Получить ссылку на отчет можно через меню нотификаций

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication.png?nolink&400 |}}

Выбрать нотификацию
Выбрать — "Детали"

{{ dpi:qoe:use_cases:dpiui2_triggers_bruteforce_notofication_details.png?nolink&400 |}}

Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

== HTTP действие ==

{{ dpi:qoe:use_cases:ddos_http.png?nolink&600 |}}

Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес