Обнаружение SSH брутфорс атак с использованием триггеров в QoE [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
    • СКАТАналитика QoEСценарии примененияЗдоровье сетиОбнаружение SSH брутфорс атак с использованием триггеров в QoE

    Обнаружение SSH брутфорс атак с использованием триггеров в QoE

    Триггеры используются для поиска данных в QoE Stor по заданным параметрам. После срабатывания триггера возможно одно из действий:

    • уведомление в GUI
    • HTTP действие
    • отправка email

    Необходимые опции СКАТ DPI:

    Необходимые дополнительные модули:

    Системный триггер на обнаружение SSH брутфорс атак

    Триггер на обнаружение SSH брутфорс атак (Имя - "ssh bruteforce") является системным и доступен в разделе QoE Аналитика → Триггеры и нотификации (по умолчанию выключен).

    Общая информация триггера

    • Название триггера "ssh bruteforce";
    • Дни недели - все;
    • Частота проверки - 10 минут;
    • Частота срабатывания триггера - 0;
    • Даты и время начала/окончания работы настраиваются при необходимости.
    Каждый день периодичностью в 10 минут будет происходить проверка по условиям описанным ниже.

    Запросы

    Для данного тригера установлен не редактируемый запрос со следующими параметрами:

    • Таблица для сканирования: Сырой полный нетфлоу → Таблицы → Обнаружение атак → SSH брутфорс;
    • Период с: сейчас - 30 минут
    • Период по: сейчас - 20 минут

    Условия

    • Добавить "+" 2 поля
    • Связка – И
    • Функция – avg для 1 поля, max для 2 поля
    • Серия в 1 поле – Время жизни сессии к абоненту, мс <= 20
    • Серия во 2 поле – Сессий на абонента >= 1500
    Мы задали условия для срабатывания триггера: Средняя продолжительность SSH-сессии к абоненту меньше 20мс и количество SSH-сессий для абонента больше 1500 за обрабатываемый период времени.

    Обработка ошибок

    • В поле "Если нет данных" — Нет данных
    • В поле "Если ошибка выполнения или тайм-аут" — Сохранить последнее состояние
    В данной конфигурации при отсутсвии ошибок данные не будут сохранены, в случае, если ошибки есть - сохранится информация о подозрительной активности.

    Действия

    E-mail действие

    • Для автоматического заполнения — кликнуть по иконке (автоматическое заполнение формы)
    • В поле "Кому" — указать адрес электронной почты
    • При этой настройке, при срабатывании триггера на указанный адрес электронной почты будет отправлена вся информация о нотификации: ИД, название триггера, статус, ссылка на отчет (сохраненное состояние)
    Нотификация

    • Для автоматического заполнения — кликнуть (автоматическое заполнение формы)
    • Выбрать тип нотификации — "Предупреждение"
    • При этой настройке будет создана нотификация в СКАТ

    Получить ссылку на отчет можно через меню нотификаций

    Выбрать нотификацию Выбрать — "Детали"

    Перейти по ссылке на отчет — отчет откроется в новом окне браузера.

    HTTP действие

    Для автоматического заполнения — кликнуть (автоматическое заполнение формы) Выбрать метод наиболее приемлемый для вашей ticket-системы и ввести URL адрес

    Была ли полезна эта информация?