Детектирование атак с помощью Collector

Collector находится в стадии beta-тестирования и активной разработки.

По всем замечаниям и предложениям просим писать в поддержку.

Обзор сценариев

Collector позволяет без направления трафика на Mitgiator обнаруживать атаки и включать защиту для отдельных политик (защищаемых ресурсов):

Автодетектирование дает две основные возможности:

  • Включать и выключать контрмеры в зависимости от трафика в политику по данным источников flow.
  • Назначать и снимать анонсы BGP, направляющие трафик в политику через Mitigator.

Глобальные контрмеры Mitigator´а могут включаться и выключаться по порогам, привязанным к счетчикам на интерфейсах устройств и их комбинациям:

Функциональность является продвинутой и в настоящий момент из интерфейса недоступна.

Настройка взаимодействия

Для интеграции необходимо иметь работающий Mitigator и Collector, принимающий flow с сетевых устройств. Схема взаимодействия с параметрами по умолчанию:

Настройка Collector´а

Все настройки выполняются через переменные окружения, которые задаются в файле .env. На рисунке и в листинге приведены одни и те же значения по умолчанию:

COLLECTOR_NETFLOW_V5_PORT=9555
COLLECTOR_NETFLOW_V9_PORT=9995
COLLECTOR_SFLOW_PORT=6343

COLLECTOR_CLICKHOUSE=clickhouse.mitigator
COLLECTOR_CLICKHOUSE_PORT=9000

COLLECTOR_RULES_PORT=50053
COLLECTOR_METRICS_PORT=50054

Настройка Mitigator´а

На стороне Mitigator´а список Collector´ов настраивается через web-интерфейс или API. Например, для указания параметров, как на рисунке, нужно задать адрес collector.mitigator и порт 50053.

Если Collector и Mitigator работают на разных площадках, рекомендуется настроить защищенное соединение.