设置 SSH 蜜罐检测
部署在客户企业网络中的蜜罐可用于检测试图感染或攻击局域网中其他计算机的恶意软件生成的网络活动。尝试的 SSH 登录蜜罐用于补充横向传播事件的检测。可以在客户流量收集器上部署一个蜜罐,事件信息将从该收集器发送到瞻博网络 ATP 设备核心进行处理。客户可以在他们想要的任何本地网络上放置蜜罐。
瞻博网络 ATP 设备 SSH 蜜罐功能也会检测到试图执行暴力破解 SSH 条目或对“根”帐户执行定向 SSH 访问的恶意行为者。
SSH 蜜罐检测的结果显示在中央管理器 Web UI 事件页面上,并包含在生成的报告中。
发送到瞻博网络 ATP 设备 GSS 进行蜜罐检测事件的数据包括“威胁目标”和所有尝试的“SSH 会话”(包括用户名和密码)的详细信息以及时间戳。
SSH 蜜罐设备检测配置需要瞻博网络 ATP 设备企业许可证。
蜜罐可以在瞻博网络 ATP 一体机系统或仅供流量收集器的设备上运行,前提是主机具有足够的物理接口。每个蜜罐使用两个接口,一个面向外部的接口用于互联网/内部网流量,另一个用于内部主机到来宾通信。这意味着每个蜜罐都将对所有出站流量使用 eth3 接口。
请注意,eth3 不一定是设备上的第四个接口。在具有三个接口的仅限收集器的设备上,接口分别命名为 eth0、eth1 和 eth3。具有四个接口的收集器使用 eth0、eth1、eth2 和 eth3 命名。如果收集器的接口少于三个,则无法启用蜜罐功能。一体机设备至少需要四个接口来实现蜜罐功能,因为第三个接口已保留为分析排气接口。
SSH 蜜罐是通过瞻博网络 ATP 设备设备 CLI 配置的。可以为蜜罐设置两个参数:
启用/禁用蜜罐
提供可公开寻址接口的静态 IP(IP、掩码和网关)或 DHCP
静态 IP 配置不需要配置 DNS;目前,蜜罐不需要DNS服务器。
有关更多信息,请访问:
请参阅 CLI 命令参考,了解 SSH 蜜罐命令的用法。
有关蜜罐和横向检测的信息,请参阅操作指南。