Триггеры используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:

• уведомление в GUI
• HTTP действие
• отправка email

Необходимые опции СКАТ DPI:

• Сбор и анализ статистики по протоколам и направлениям
• Уведомление абонентов

Необходимые дополнительные модули:

• DPIUI2 (GUI - Графический интерфейс управления)
• QoE Stor (Модуль сбора статистики)

Название триггера «DDOS поиск источника», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.

• Добавить поле
• Название А
• Выбрать таблицу для сканирования: Raw full netflow → Tables → Attacks detection → Top hosts IPs → Maxi
• Выбрать период с: «now – 15minute», период по : «now»

• Добавить "+" 2 поля
• Связка – И
• Функция – avg
• Серия в 1 поле – время жизни сессии ⇐ 20(мс)
• Серия во 2 поле – количество сессий >= 1500

• В поле "Если нет ошибок" — нет данных
• В поле "Если есть ошибка или таймаут" — сохранить последнее состояние

• Для автоматического заполнения — кликнуть по иконке "</>" (автоматическое заполнение формы)
• В поле "Кому" — указать адрес электронной почты
• При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)

• Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
• Выбрать тип нотификации — "Предупреждение"
• При этой настройке будет создана нотификация в СКАТ

Получить ссылку на отчет можно через меню нотификаций

Выбрать нотификацию Выбрать — "Детали"

Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы) Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес

От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия).

в поле отчет выбрать Raw full netflow → Tables → Attacks detection → Top subscribers → Maxi

Серия — "Объем Flow к абонентам, Пак", >= 10000

От предыдущего примера отличается настройкой 2 и 3 этапов (Запросы и Условия).

• Выбрать Raw full netflow → Tables → Attacks detection → Top application protocols → Maxi для значения "А"
• Raw full network → Tables → Raw log → Full raw log для значения "B"

Т.к. BotNet чаще всего использует порты 6667 и 1080 — добавить каждый порт назначения/источника выбрав запрос "B" со значением "ИЛИ", и Flow Pcts/s больше или равно 2000.

Название триггера «Интерес к конкурентам», дни недели – все, частота проверки – 1 час, частота срабатываний триггера – 1 раз, даты и время начала/окончания не установлены.

• Добавить "+" поле
• Название А
  Выбрать таблицу для сканирования: Raw clickstream → Tables → Raw clickstream
• Название B
  Выбрать таблицу для сканирования: Raw full netflow → Tables → Attacks detection → Top hosts IPs → Maxi
• Выбрать период с: «now – 1 hour», период по : «now»
• В этом случае будет происходит анализ трафика каждый час по выбранным таблицам.

• Добавить "+" поле 3 поля
• Первое поле — выбрать таблицу "А"; Связка – "Или"; Функция – "avg";Серия Host = *megafon.ru(или ваш любимый конкурент)
• Второе поле — выбрать таблицу "Б"; связка "И"; Функция – "avg";Серия Flow volume from subscriber, Pct/s >= 800

• В поле "Если нет ошибок" — нет данных
• В поле "Если есть ошибка или таймаут" — сохранить последнее состояние.

• Для автоматического заполнения — кликнуть (автоматическое заполнение формы)
• В поле "Кому" — указать адрес электронной почты

• Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
• Выбрать тип нотификации — "Предупреждение"
• При этой настройке будет создана нотификация в СКАТ

Получить ссылку на отчет можно через меню нотификаций

Выбрать нотификацию Выбрать — "Детали"

Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

• Для автоматического заполнения — кликнуть "</>" (автоматическое заполнение формы)
• Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес