更新时间:2022-06-17
点击<新增>,创建蜜罐策略策略,如下图所示。
策略名称:填写对应的策略名称。
描述:填写对应的描述信息。
状态:启用或禁用该策略。
应用场景标签:用来标记告警提示时是诱捕外网攻击还是诱捕内网扩散。
云端分析能力:开启云端高级捕获与分析技术,可以获取攻击方的指纹信息、工具、手法、攻击轨迹等,汇总形成攻击者画像,有效溯源分析攻击者行为。开启后可在配置伪装服务时选择云端伪装服务类型。开启该功能需要设备能够连接网络且开通相应的授权。
:
连接到云端获取更多的伪装服务,目前有SSH、RDP、SMB、VNC等,本地值提供tcp连接功能,并记录访问日志,不支持应用层服务。
配置伪装服务
IP类型:选择是伪装IP还是真实业务IP。
伪装IP:伪装出来的IP,实际业务中不存在,且AF无法ping通该IP,则AF会模拟ARP响应报文回给攻击端,使攻击端感知到该业务的存在。
真实业务IP:真实存在的IP,AF能够ping通该IP,则AF收到该IP响应的ARP包,才会回包给攻击端,使攻击端感知到该业务的存在。
IP/IP段:根据需求填写IP/IP段;
伪装服务区类型:如果勾选云端能力分析,则可以选择多个服务模板或自定义服务。选择后,可以对端口进行修改,如没有勾选云端能力分析则只能在设备上开通对应的端口,无法使用具体的蜜罐服务。
:
尽量配置与真实业务的IP和端口,以增大诱捕率,但不要和真实业务重合,否则将影响正常业务的访问;
单个策略的伪装服务之和最大支持50个;
为使本云蜜罐联动功能生效,AF设备部署时必须同时保证:
(1)访问者能与AF设备成功建立TCP连接,否则流量无法进入AF,云蜜罐诱捕功能失效;
(2)AF设备与外网连通,否则流量无法发送至云端,云蜜罐服务失效;
在线伪装服务相比本地伪装服务,由于其能够真实访问,因此获取到的黑客信息更为丰富,业务针对性强,建议用户配置在线伪装服务;
云蜜罐诱捕策略只支持路由、透明模式部署、虚拟网线部署;
AF与攻击者只进行三次握手,如果是本地伪装服务,则三次握手后的数据包将进行丢弃,不进行解包分析;如果是在线伪装服务,则三次握手后的数据包直接转发到云端分析。
联动处置
自动联动封锁:启用或者禁用联动封锁功能,对诱捕到的恶意行为进行联动封锁。
联动对象:对所有访问伪装服务的源IP进行封锁或者有恶意攻击行为的源IP进行封锁。
封锁时长:联动封锁的时长,最长15天。
配置案例
某企业的内网业务系统,对外提供业务服务,经常遭受到互联网的攻击扫描,因此,业务系统一旦被攻陷,将带来巨大的损失。所以,需要诱捕的方式找到真实的攻击者,从而对黑客IP进行更加准确的封禁。客户对外的真实业务为192.200.244.195:80,需要伪装服务192.200.244.195:8080和192.200.244.195:81。当存在访问伪装业务的IP时,对其进行自动封锁。
点击<新增>,创建蜜罐策略,如下图所示。
点击<确定>,完成配置。
访问蜜罐页面,查看告警结果,如下图所示。