1、蜜罐是伪装欺骗+溯源的蜜罐平台,获取威胁情报
2、探针和蜜罐,探针对流量牵引到蜜罐。探针部署在某个网络,开放某个服务,检测响应把流量给蜜罐。
3、易受攻击的网段,放探针
4、探针身份被黑客发现
5、dmz选哪个类型,建议是web,如后台、登录页。但不建议有漏洞的
6、agent已被攻击,优先下线agent,免得内网泄露
7、办公内网探针是全端口监听,办公内网可选择有缺陷的蜜罐。
8、APP区的探针,开启全端口监听,伪装核心系统名称
9、403/404达到阈值,直接联动waf拦截。
10、HIDS或EDR可以记录终端的一些异常行为日志,蜜罐联动其他安全产品
11、探针是小程序/脚本,蜜罐是容器/虚拟机系统
12、探针不会对原服务器有大的资源消耗
13、蜜罐弄巧成拙,不建议有缺陷的蜜罐公布到公网
14、非护网期间,不建议对公网开放蜜罐