动态端口蜜罐概述
什么是动态端口蜜罐
动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。
用户可选择系统推荐端口或自定义端口开启动态端口蜜罐,诱捕失陷主机,降低真实资源被入侵的风险。
如何使用动态端口蜜罐
约束与限制
使用动态端口蜜罐功能,须满足以下条件:
-
服务器未绑定EIP。
-
服务器已开启HSS旗舰版、网页防篡改版或容器版防护。
-
服务器已安装Agent的版本为以下版本且Agent状态为“在线”。
- Linux:3.2.10及以上版本。
- Windows:4.0.22及以上版本。
-
一台服务器最多支持添加10个蜜罐端口。
-
一个蜜罐端口只能绑定一个协议,支持TCP和TCP6协议。
创建动态端口蜜罐防护策略
操作场景
动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问,因此开启动态端口蜜罐防护时,用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。
本节介绍如何创建动态端口蜜罐防护策略。
约束与限制
- 一台服务器最多支持添加10个蜜罐端口。
- 一个蜜罐端口只能绑定一个协议,支持TCP和TCP6协议。
操作步骤
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在“防护配置”页签,单击“创建防护策略”,弹出“创建防护策略”对话框。
6、根据界面提示,创建防护策略。
a.配置策略,配置完成后单击“下一步”。
| 参数名称 | 参数说明 |
|---|---|
| 策略名称 | 可保持默认名称,您也可以自定义输入一个易识别的名称。 |
| 操作系统类型 | 选择要添加动态端口蜜罐功能的服务器操作系统类型。 |
| 防护端口 | 选择实现动态端口蜜罐功能的服务器端口。 推荐端口:主机安全服务提供的交叉端口推荐,Linux系统推荐使用Windows常用端口,Windows系统推荐使用Linux常用端口,供您参考。 自定义端口:您可根据自身需求添加自定义端口或者删除一些推荐端口。 说明:请您确定添加的防护端口未被其他服务占用,如果端口被占用会导致动态端口蜜罐功能开启失败。 |
| 源IP白名单(可选) | 动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机,一旦检测到可疑的连接行为将会上报告警。 因此如果有您信任的主机会产生连接蜜罐端口的行为,建议您将该主机的IP加到源IP白名单。 |
b.勾选绑定目标服务器,单击“保存并启用”,创建防护策略完成。
7、在创建好的目标策略所在行的“关联服务器”列,单击数值,弹出“关联服务器”对话框。
8、在关联服务器所在行的“端口启用情况”列,查看服务器端口启用情况。端口启用失败后系统不会重新尝试启用端口,如果需要重新尝试启用端口,请通过“编辑策略”操作先去勾选服务器并保存,再通过“编辑策略”操作重新勾选绑定该服务器。
常见问题
端口启用失败怎么办?
- 可能原因一:端口被其他服务占用
解决办法:通过“编辑策略”操作,添加其他空闲的端口。
- 可能原因二:系统资源不足
解决办法:清理部分系统资源后,请通过“编辑策略”操作先去勾选服务器并保存,再通过“编辑策略”操作重新勾选绑定该服务器。
查看并处理蜜罐防护事件
操作场景
动态端口蜜罐功能默认主动连接蜜罐端口的主机都是内网失陷主机,一旦发现可疑的连接行为将会上报告警。
本节介绍如何查看并处理这些防护告警事件。
操作步骤
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在操作指引下方,查看防护信息概览。
- 您可以查看防护策略数量、防护服务器数量、防护事件数量等信息。
- 如果您有新增主机需要默认开启动态端口蜜罐功能时,可开启“新增主机自动绑定默认策略”,按钮状态为
表示开启。
6、选择“防护事件”页签,查看蜜罐防护事件。
| 参数名称 | 参数说明 |
|---|---|
| 告警名称 | 告警事件名称。单击告警名称,可查看告警详情。 |
| 告警等级 | 告警威胁等级,蜜罐防护事件分为以下两个等级: 高危:远端主机多次连接蜜罐端口。 中危:远端主机连接了蜜罐端口。 |
| 告警摘要 | 告警事件关键信息摘要,您可以根据这些信息了解可能失陷的主机和该主机与蜜罐端口建立的连接行为。 |
| 影响资产 | 失陷主机连接的动态端口蜜罐服务器。 |
| 告警发生时间 | 告警发生的时间。 |
| 状态 | 告警处理状态,分为“已处理”和“待处理”。 |
| 操作 | 您可以对告警事件进行“处置”操作。 |
7、确认告警信息后,在“状态”为“待处理”的防护事件所在行的“操作”列,单击“处置”,弹出“处理告警事件”对话框。
如果您需要批量处理多个告警事件,可在告警事件列表左上角,单击“批量处理”。
8、选择处理措施。
| 参数名称 | 参数说明 |
|---|---|
| 处理方式 | 忽略:忽略本次防护告警事件,当下一次威胁事件发生时仍为您告警。 手动处理:您自行手动对失陷主机进行隔离端口等处理。 加入告警白名单:触发告警事件的主机是您信任的主机,将该告警事件加入到告警白名单中,后续类似威胁事件发生时不再告警。 |
| 批量处理 | 如果您需要同时处理相同告警事件,可以勾选。 |
| 备注描述(可选) | 为了方便后续易辨别本次处理操作的情况,可作补充描述。 |
9、单击“确认”,完成处理。
告警详情参数说明
| 参数名称 | 参数说明 |
|---|---|
| 情报引擎 | 企业主机安全采用的检测引擎,包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。 |
| 攻击状态 | 当前威胁攻击服务器的状态。 |
| 首次告警发生时间 | 首次发生攻击告警的时间。 |
| 告警ID | 告警的唯一ID。 |
| Att&CK阶段 | 攻击者在各阶段用到的攻击技术模型。 |
| 最新告警发生时间 | 最新发生攻击告警的时间。 |
| 告警信息 | 告警的详细信息说明,包括告警说明、告警摘要、受影响资产和处置建议。 |
| 调查取证 | 动态端口蜜罐功能排查溯源定位到攻击源的网络取证信息。 |
| 相似告警 | 与本次告警事件相似的告警。您可以根据相似告警的处置方法处理本次告警。 |
筛选不同处置状态的防护事件
在防护事件列表左上方的状态下拉框中,选择目标处置状态的防护事件进行查看。
管理动态端口蜜罐防护策略
操作场景
动态端口蜜罐防护策略创建成功后,您可以根据自身的防护需求管理防护策略。
- 停用策略:仅暂时关闭动态端口蜜罐功能。
- 启用策略:将停用的动态端口蜜罐动能启用。
- 编辑策略:修改动态端口蜜罐防护策略信息,例如添加或删除蜜罐端口、解绑或绑定服务器。
- 删除策略:删除动态端口蜜罐防护策略并停用动态端口蜜罐防护功能。
约束与限制
默认策略不支持删除。
停用策略
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标防护策略所在行的“操作”列,单击“停用策略”,弹出“停用策略”对话框。
6、确认信息无误后,单击“确认”,完成停用。
启用策略
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标防护策略所在行的“操作”列,单击“启用策略”,弹出“启用策略”对话框。
6、确认信息无误后,单击“确认”,完成启用。
编辑策略
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标防护策略所在行的“操作”列,单击“编辑策略”,弹出“编辑防护策略”对话框。
6、配置策略。可修改策略名称、防护端口、源IP白名单。
7、单击“下一步”。
8、选择绑定服务器。
9、单击“确认”,完成编辑。
删除策略
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标防护策略所在行的“操作”列,单击“删除”,弹出“删除策略”对话框。
6、确认信息无误后,单击“确认”,完成删除。
管理关联服务器
操作场景
针对单个防护策略关联的服务器,您可以为服务器切换防护策略或解除策略绑定。
切换防护策略
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标策略所在行的“关联服务器”列,单击数值,弹出“关联服务器”弹窗。
6、在目标服务器所在行的操作列,单击“切换防护策略”,弹出“切换防护策略”对话框。
如需为多台服务器切换防护策略,您可以勾选所有目标服务器并单击列表左上角的“切换防护策略”。
7、根据界面提示,选择防护策略。
8、单击“确认”,完成切换。
解除策略绑定
1、登录管理控制台。
2、在页面右上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 动态端口蜜罐”,进入“动态端口蜜罐”界面。
4、(可选)如果您已开通企业项目,可在界面上方的“企业项目”下拉列表中选择目标主机所在的企业项目。
5、在目标策略所在行的“关联服务器”列,单击数值,弹出“关联服务器”弹窗。
6、在目标服务器所在行的操作列,单击“解除绑定”,弹出“解除绑定”对话框。
如需为多台服务器解除绑定,您可以勾选所有目标服务器并单击列表左上角的“解除绑定”。
7、确认信息无误后,单击“确认”,解除绑定。
