SSH 허니팟 탐지 설정

고객 엔터프라이즈 네트워크 내에 구축된 허니팟을 사용하여 LAN의 다른 시스템을 감염시키거나 공격하려는 멀웨어에 의해 생성된 네트워크 활동을 탐지할 수 있습니다. 시도된 SSH 로그인 허니팟은 측면 확산 이벤트 탐지를 보완하는 데 사용됩니다. 허니팟은 이벤트 정보가 처리를 위해 주니퍼 ATP 어플라이언스 코어로 전송되는 고객 트래픽 수집기에 구축될 수 있습니다. 고객은 원하는 로컬 네트워크에 허니팟을 배치할 수 있습니다.

무차별 암호 대입 SSH 항목을 수행하거나 "루트" 계정에 대한 대상 SSH 액세스를 실행하려는 악의적인 행위자도 주니퍼 ATP 어플라이언스 SSH 허니팟 기능에 의해 탐지됩니다.

SSH 허니팟 탐지 결과는 Central Manager 웹 UI 인시던트 페이지에 표시되며 생성된 보고서에 포함됩니다.

허니팟 탐지 이벤트를 위해 주니퍼 ATP 어플라이언스 GSS로 전송되는 데이터에는 "Threat Target"과 타임스탬프가 포함된 모든 시도된 "SSH 세션"(사용자 이름 및 비밀번호 포함)에 대한 세부 정보가 포함됩니다.

허니팟은 호스트에 충분한 물리적 인터페이스가 있는 한 주니퍼 ATP 어플라이언스 올인원 시스템 또는 Traffic Collector 전용 디바이스에서 작동할 수 있습니다. 각 허니팟은 인터넷/인트라넷 트래픽에 대한 외부 연결 인터페이스와 내부 호스트-게스트 통신에 대한 인터페이스 등 두 개의 인터페이스를 사용합니다. 즉, 각 허니팟은 모든 아웃바운드 트래픽에 eth3 인터페이스를 사용합니다.