蜜罐是虛擬陷井，所依靠的原理是欺騙，我們已知不會有某些行為和網路流量，所以當這些行為和網路流量發生在蜜罐系統上，那便可判定是惡意行為，因此我們說蜜罐的誤判率低。例如我們架設一個Cowrie的低交互蜜罐系統，在架設的時候設定為port 2222 才是SSH登入，所以任何port 22的登入行為都將被試為惡意登入，有可能是駭客採用暴力破解brute force，也有可能是用rainbow table 來嘗試破解密碼登入，甚至password spray攻擊等等。

這樣的原理聽起來很棒，實施起來會遇到豬隊友的挑戰，為什麼呢？如果你按照前面幾天提到的方法，設置一個honeytoken資料夾，命名為「人資檔案」，可能常常會收到警示，顯示來自內部的IP，當你調查追朔來源後詢問，才發現是豬隊友不小心點進去，還理直氣壯地說「我就是要找人資檔案啊?」或者收到警示有人試著從port 22登入Cowrie低交互蜜罐，最後發現是豬隊友因為要安裝安全更新試著用telnet登入系統，製造了很多false positive警示。

好隊友很重要！溝通教育再溝通。資安不是買設備或架設工具，而是要靠團隊合作。

"Teamwork makes the dream work" -- John C. Maxwell