iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 7
1
Security

30天蜜罐品嘗系列 第 7

[Day 7] 30天蜜罐品嘗 : 蜜罐非罐之二 honeyobject

昨天提到除了設置高低交互蜜罐設置虛擬陷井外,可以結合多個蜜罐成為虛擬蜜網,也有其他相對簡單、低成本的欺騙手法。今天介紹另一種honeytoken,有些文章上寫作honeyfile或honeypobject,熟悉日誌分析的資安分析師應該都不陌生。

在Windows 系統的伺服器裡,首先我們創建一個資料夾叫Test Folder,裡面隨便創建ㄧ些Word或Excel 檔,檔名和資料夾名稱盡量取特別的名字,看起好像是很重要檔案。

在Security Policy Editor,選擇Local Policy -> Audit Policy -> Audit Object Access,勾選“success”和“failure” 這樣存取成功或失敗都會留下紀錄。
https://ithelp.ithome.com.tw/upload/images/20190923/20084806tNOlQefJtp.png

在創建的資料夾Test Folder裡,選擇Advanced Properties 選擇Auditing 的欄位,加入想要監控存取行為的帳號,可以加入正常帳號或昨天介紹的假帳號honeyaccount。

完成後,當存取資料夾時,便會產生日誌,Event ID 4663 註明 “An attempt was made to access an object”
https://ithelp.ithome.com.tw/upload/images/20190923/20084806J1XD836koy.png

因為這是假的資料,不會有正常的存取行為,所以搭配SIEM安全資訊和事件管理系統,我們可以偵測駭客存取資料夾並發出警示。

「兵法是死的,人卻是活的」《火鳳燎原》


上一篇
[Day 6] 30天蜜罐品嘗 : 蜜罐非罐之一 honeytoken
下一篇
[Day 8] 30天蜜罐品嘗 : 蜜罐非罐之三 Honeyclient
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言