更新时间:2024-01-09
- 前面章节都是在说明怎么去下发诱饵,确保诱饵能被攻击者察觉后,进行攻击或访问,以便引流至蜜罐进行分析和审计;
- 但以上也只是阻断了攻击者短期的攻击而已,为了提高内网业务的安全性,就需要对攻击者的行为有处置动作,即攻击者踩中蜜罐后,要能阻断攻击者访问的同时也需要将登录PC的零信任用户进行下线处理,以便更好的防护内网业务;
- 同时完成以上动作后,为了让管理员能第一时间获取攻击者的行为,就需要有预警系统,如短信告警等。
故在威胁诱捕的场景下,需要能实现当攻击者踩中蜜罐后,也要有自动处置策略来快速降低可能存在的安全风险。即用户访问蜜罐后的自动处置策略,可以帮助管理员快速处理失陷账号和攻击风险,实现即发现、即告警、即处理。
威胁诱捕的处置动作策略,分别有处置策略和告警策略:
- 处置策略:设定适用的用户范围,在该用户范围内踩中蜜罐的用户,会进行处置动作,即锁定账号,并提示用户终端存在安全风险;
- 告警策略:告警策略可实现,当有用户访问蜜罐时,系统将自动发送告警通知给管理员。可设置使用指定的短信认证发送短信、同时也可设置指定的管理员来接收该告警信息,并设置告警的时间间隔,避免过多的告警短信,影响判断
建议使用Chrome浏览器访问!
