https://docs.mitigator.ru/v26.04/psg/psg-analysis/ Recent content in Работа с сервисом psg.mitigator.ru on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/psg/psg-analysis/classic/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/classic/ Механизм анализирует L4 payload из дампа и выделяет сигнатуры трафика. Payload Analyzer принимает на вход дампы трафика в форматах PCAP или PCAPNG. Нужно указать параметры для построения дерева решений: Decisions — максимальная вложенность ветвления. Определяет глубину поиска в процессе построения дерева решений. Decision type — алгоритм построения дерева решений. First suitable decision — поиск первого подходящего решения; All possible decisions — поиск всех возможных решений в рамках заданной вариативности и максимального уровня вложенности; Decision of minimum length — обход по веткам минимальной длины вне зависимости от полноты решения. https://docs.mitigator.ru/v26.04/psg/psg-analysis/multipurpose/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/multipurpose/ Multipurpose Analyzer анализирует L3/L4 заголовки и L4 payload. На вход принимаются дампы трафика в форматах PCAP или PCAPNG. Возможности Multipurpose Analyzer: Различными способами формировать шаблоны для L4 payload. Построение визуализации содержимого загруженного дампа. Может быть полезна для понимания структуры трафика, так как позволяет визуально определить закономерности в нем. Построение длиннограммы — изображения, показывающего распределение размера пакетов по их количеству на некотором временном интервале. Построение статистики по TLS. Построение статистики по DTLS. https://docs.mitigator.ru/v26.04/psg/psg-analysis/tls/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/tls/ TLS Analyzer принимает позволяет на входе получить PCAP или текстовый файл. Из PCAP выделяются JA3-отпечатки и по ним выводится дополнительная информация. Анализ текстовых файлов позволяет установить соответствие между JA3 hash, JA3 fullstring или User-Agent. Например, получить JA3 hash и список User-Agent, загрузив JA3 fullstring. А если введено значение User-Agent, то будет выполнен поиск записей, у которых в User-Agent есть такая подстрока. Для данного механизма можно активировать следующие чекбоксы: Interactive — вместо текстового формируется интерактивный HTML-отчет; Search in JA3 fingerprint lists — добавить в отчет секцию, в которой выводятся результаты проверки JA3-отпечатков по репутационным спискам; Show all known User-Agents for JA3 fingerprints — добавить в отчет секцию, в которой содержится информация по всем наблюдаемым User-Agent для каждого JA3-отпечатка в файле. https://docs.mitigator.ru/v26.04/psg/psg-analysis/ip-lists/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/ip-lists/ IP Analyzer анализирует списки IPv4-адресов, предоставляя расширенный набор данных по каждому адресу списка. В анализ поступают только уникальные IP-адреса. Проверяется: наличие адресов в репутационных списках; соответствие базам GeoIP. Если в списке указан префикс от /16 до /32, то он раскладывается на отдельные адреса. Могут быть проанализированы: Текстовый файл со списком записей через разделитель. Допустимые разделители: запятая, пробел, точка с запятой, перенос строки. Запись может быть IP-адресом, IP-адресом с маской, IP-адресом с портом через двоеточие (порт игнорируется). https://docs.mitigator.ru/v26.04/psg/psg-analysis/rts-tree/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/rts-tree/ ACL Rules Generator анализирует дампы легитимного трафика и трафика атаки и формирует набор правил фильтрации ACL. Анализируются пакеты протоколов IP, TCP, UDP и ICMP. Дампы трафика выбираются из выпадающего списка, для чего они должны быть предварительно загружены на сервис на вкладке Uploads. Опционально можно указать дополнительные дампы, на которых будет проводиться тестирование полученных в ходе анализа правил. Если дополнительные дампы не заданы, то дампы для обучения делятся пропорционально на часть для обучения и часть для теста. https://docs.mitigator.ru/v26.04/psg/psg-analysis/service/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/service/ Service Analyzer помогает в первоначальной настройке защиты за счет выявления сервисов в защищаемой сети на основе загруженного дампа. На текущий момент любой загруженный дамп воспринимается механизмом как дамп входящего трафика из внешней сети. В поле Five tuple threshold задается количество повторений уникального 5-tuple в дампе. Если число повторений меньше установленного лимита, то такой 5-tuple не попадет в отчет. Для данного механизма можно активировать следующие чекбоксы: Advanced report — для разделов “Used IP addresses in protected network” и “Services in protected network”. https://docs.mitigator.ru/v26.04/psg/psg-analysis/express/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/express/ Проверяет IP-адрес на вхождение в репутационные списки. Отчет Отчет формируется как интерактивная HTML-страница. Отчет содержит: Ссылки для проверки адреса на сторонних сервисах. Информация о принадлежности адреса стране, городу и автономной системе. Вхождение адреса в различные репутационные списки. Похожие статьи IP Analyzer Multipurpose Analyzer ACL Rules Generator Goaccess Log Analyzer Log Analyzer Log Format Analyzer Logan Rules Generator Payload Analyzer Service Analyzer TLS Analyzer https://docs.mitigator.ru/v26.04/psg/psg-analysis/al/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/al/ Механизм анализирует логи web-сервера в формате access.log и строит статистику. Позволяет выявлять аномалии и атакующие адреса. Может использоваться при написании правил фильтрации в LOGAN. Log Analyzer принимает на вход файл с Access логами Web-сервера в поле “File for analysis” и формат логов в поле “NGINX log-format”. В поле “Output threshold” задается минимальное количество повторений подсчитываемого параметра для попадания в отчет. Похожие статьи Goaccess Log Analyzer Log Format Analyzer Logan Rules Generator ACL Rules Generator Express report by IP address IP Analyzer Multipurpose Analyzer Payload Analyzer Service Analyzer TLS Analyzer https://docs.mitigator.ru/v26.04/psg/psg-analysis/goaccess/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/goaccess/ Формирование отчета с помощью анализатора логов GoAccess. Goaccess log analyzer анализирует логи web-сервера. Может использоваться самостоятельно или совместно с «Log Analyzer» для получения дополнительной статистики. Файл для анализа указывается в поле “File for analysis”. Goaccess формат задается в поле “log-format”. Может быть удобно применять сторонние инструменты, если требуется конвертировать NGINX log-format в goaccess конфиг, например nginx2goaccess. Похожие статьи Log Analyzer Log Format Analyzer Logan Rules Generator ACL Rules Generator Express report by IP address IP Analyzer Multipurpose Analyzer Payload Analyzer Service Analyzer TLS Analyzer https://docs.mitigator.ru/v26.04/psg/psg-analysis/log-format/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/log-format/ Механизм определяет формат логов в загруженном файле. Может использоваться при описании формата логов в LOGAN или Log analyzer. Похожие статьи Goaccess Log Analyzer Log Analyzer Logan Rules Generator ACL Rules Generator Express report by IP address IP Analyzer Multipurpose Analyzer Payload Analyzer Service Analyzer TLS Analyzer https://docs.mitigator.ru/v26.04/psg/psg-analysis/logan-rules/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/logan-rules/ Механизм формирует правила для LOGAN по загруженному файлу с логами web-сервера. Для формирования требуется указать формат логов, который можно определить с помощью Log Format Analyzer. Похожие статьи Goaccess Log Analyzer Log Analyzer Log Format Analyzer ACL Rules Generator Express report by IP address IP Analyzer Multipurpose Analyzer Payload Analyzer Service Analyzer TLS Analyzer