Quindi ci sono molte cose che puoi fare. Come AviD ha detto che devi davvero sapere qual è il tuo obiettivo con Honeypot prima ancora di configurarlo.
-
Controlla il comportamento. A seconda del tipo di honeypot che hai, potresti vedere alcuni tipi di comportamento che puoi usare per caratterizzare la persona che ti sta attaccando. Ad esempio ... Se l'utente malintenzionato invia sempre 1 pacchetto ICMP come se eseguisse il comando ping -c 1 x.x.x.x
. Oppure, se hai un honeypot di interazione più elevato, se eseguono costantemente il comando ls
... eccelle in questo modo. Se l'attaccante ritorna, potresti essere in grado di riconoscerlo in base a questi.
-
Le grandi organizzazioni che gestiscono un numero enorme di attacchi (e attacchi riusciti) a volte costruiscono reti honeypot su cui inseriscono computer compromessi. Guardano l'attaccante e capiscono cosa possono essere dopo , quali sono i loro obiettivi e chi potrebbero essere . Ciò può aiutarti a decidere se è necessario apportare modifiche alla tua politica di sicurezza.
-
Se sono davvero scadenti potresti essere in grado di capire chi sono (ho visto succedere spesso con le botnet). Fai con questa informazione quello che ti piace ... Costruisci un caso giudiziario o quello che vuoi ...
Se ti stavi chiedendo più di un tecnico Come setacciare i log, avrai bisogno del kung-fu standard della linea di comando di Linux. Grep e awk sono tuoi amici. Oppure puoi usare uno strumento per costruire una timeline come Zeitline o un'altra.
La tua linea d'azione dipende molto dai dati che hai raccolto. Se c'è il traffico IRC, ovviamente si vuole investigarlo. Se scopri gli eseguibili scaricati, vuoi indagare su questo. Letteralmente tutto ciò che è fuori dall'ordinario vuoi investigare. tcprelay e security onion potrebbero essere davvero utili per capire cosa è successo perché ti aiuterà a creare una timeline e a vedere tutto ciò che hai chiesto.
Spero di essere stato utile.