ポッド/グループによる高帯域幅使用の検出(DDoS)

SUSE® Security ユーザーは、事前に設定された閾値設定に基づいてグループレベルの帯域幅またはセッションレート違反検出を設定できます。これらの設定は、学習したグループまたはユーザーが作成したグループに対して機能しますが、予約されたグループには機能しません。

違反を定期的にチェックするために、1分間のタイマーが作成されます。違反が検出されると、Group.Metric.Violation イベントが生成され、イベントを説明するメッセージが出力されます。

各グループのために次のメトリック閾値を設定できます:

  • Mon_metric:グループのメトリック監視を有効または無効にします。

  • Grp_sess_rate:セッションレート閾値、接続数/秒(cps)で測定されます。デフォルト値は 0 で、検出を無効にします。

  • Grp_band_width:スループット閾値、メガビット/秒(Mbps)で測定されます。デフォルト値は 0 で、検出を無効にします。

  • Grp_cur_sess:アクティブセッション数の閾値。

グループメトリック閾値を設定する

SUSE® Security CLI またはウェブ UI を使用してグループメトリック閾値を設定できます。

CLI を使用して閾値を設定する

利用可能なグループメトリックオプションを表示するには、次のコマンドを実行します:

set group <group-name> setting -h

出力の例:

--monitor_metric [enable|disable]   Monitor metric status
--cur_sess INTEGER                  Active session threshold
--sess_rate INTEGER                 Session rate threshold (cps)
--bandwidth INTEGER                 Throughput threshold (Mbps)

ウェブ UI を使用して閾値を設定する

グループを作成または編集する際に、グループメトリック閾値を有効または無効にできます。

  • *グループの追加*ビューを使用して、新しいグループの閾値を設定してください。

    グループの追加

  • *グループの編集*ビューを使用して、既存のグループの閾値を更新します。

    グループの編集

例のワークフロー

以下の例は、グループメトリック閾値検出がどのように機能するかを示しています。

  1. 学習済みまたはユーザー作成のグループにメトリック閾値を追加します。

    グループの追加

  2. アクティブセッション数が設定された閾値に達するまで、グループにトラフィックを生成します。

    グループの追加

  3. 閾値が超えられると、SUSE® Securityは`Group.Metric.Violation`イベントを生成します。

    グループの追加

  • SUSE® Securityは、過去60秒間の平均トラフィックを評価して、閾値が超えられたかどうかを判断します。

  • 保護モードは、強制装置がデータパス上でインラインで動作するため、最も正確な測定を提供します。

  • マルチクラスター環境では、プライマリクラスターと管理クラスターの両方が、フェデレーテッドグループメトリック閾値をサポートするために、バージョン5.4以降を実行する必要があります。

  • 管理クラスターが5.4未満のバージョンを実行している場合、フェデレーテッド閾値設定は、これらのクラスターがアップグレードされるまで無視されます。

  • 管理クラスターをバージョン5.4以降にアップグレードした後、フェデレーテッドグループのDDoS監視を有効にするために、クラスターを手動で再同期します。