# 【E21现场】排查客户配置了一条DoS Detection Profiles策略，但是拨测未产生Dos Events

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-874 | 2023-03-28T03:22:26.000+0800 | 刘洋 | 完成 |


---

排查客户（墨处）尝试配置了一条DoS Detection Profiles策略，但是拨测未产生Dos Events。

排查进展：

墨处配置：

Attack Type:TCP SYN Flood

Target IPs：196.188.136.150

 

Packets/second :100000

Bits/second:8

Sessions/second：100000

经逐步排查确认，最终策略配置及相关更新如下后，拨测访问empower.safaricom.et，在Dos Events里查询到该DoS Detection Profiles策略的日志：

1、重新配置策略：

选择empower.safaricom.et的server ip：102.218.49.73 为Target IPs

修改Attack Type:为ICMP Flood ，详细策略配置如下：

Attack Type:ICMP Flood

Target IPs：102.218.49.73 

Packets/second :100000

Bits/second:8

Sessions/second：100000

2、且经排查确认Dos检测程序使用的是galaxy用户，给galaxy用户追加Dos相关的权限。

新增profile-DoS Detection Profiles权限和log-Dos Events权限。

 

 **doufenghu** commented on *2023-03-29T18:53:31.268+0800*:

[~liuyang] TSG 系统集成时，Galaxy用户需要赋予权限，需要讨论下。目前：
 * 默认需要读取 DoS Detection Profiles ，基于用户自定义阈值做DoS检测
 * 可以支持通过API接口动态增加策略对象的能力。因属于CN SOAR业务，建议创建独立用户并分配该权限。



---

**liuyang** commented on *2023-04-04T09:20:36.077+0800*:

[~doufenghu] OLAP和CN程序创建独立用户，请确认用户名称、对应权限，以及是否需要初始化在CM程序中



---

**doufenghu** commented on *2023-04-04T10:22:57.257+0800*:

CM需初始化创建两个用户：
 * username：olap  Role为superreader；rule或porfile读取权限。
 * username：cyber_narrator  Role为Policies&Objects。后续SOAR业务。



---



## Attachments

**36670/微信图片_20230327221038.png**

---

**36669/微信图片_20230327221049.png**

---

**36668/微信图片_20230327221054.png**

---

**36667/微信图片_20230327221248.png**

---