智能仿真与攻击诱捕蜜罐系统DecoyMini 用户手册

• 一、产品背景

• 二、产品介绍

• 三、产品安装与卸载

• 四、仪表盘

• 五、事件篇

•   5.1 风险事件

•   5.2 诱捕日志

• 六、策略篇

• 6.4.1 企业微信接入

• 6.4.2 钉钉接入

• 6.3.1 威胁情报

• 6.3.2 黑白名单

• 6.2.1 基础信息

• 6.2.2 参数配置

• 6.2.3 响应数据

• 6.2.4 资源文件

• 6.1.1 参数配置

• 6.1 诱捕策略

• 6.2 仿真模板

• 6.3 安全规则

• 6.4 事件预警

• 七、节点篇

• 7.1 节点管理

• 7.2 节点分组

• 八、系统篇

• 8.1 参数配置

• 8.2 系统信息

• 8.3 自动升级

• 8.4 手动升级

一、产品背景

随着以数字化、网络化和智能化为特征的信息化浪潮的蓬勃兴起，信息已经成为重要的战略资源与重要生产要素，在国家的发展和人们的生产生活中起到至关重要的作用。

信息化在给人们带来便利的同时，网络信息安全问题也日益凸显。经过多年的网络安全基础设施的建设，安全防护系统经历了从无到有、从有到全的发展过程，防火墙、IDS、漏扫、杀毒软件、流量监测等安全产品应运而生，构成了庞大而复杂的安全防御体系，但是尽管如此，针对网络的风险事件却依然频发，APT攻击、蠕虫木马、勒索、挖矿、敏感数据泄露等安全事故更是层出不穷。

网络攻击由传统的盲目、直接、粗暴的方式转变为目前的精确化、持久化、隐匿式的恶意攻击，攻击者通过有组织、有策略的步骤和方法达到攻击目的。

攻击过程中只需发现并利用一个未被修复的漏洞或不安全配置即可击破边界防御，试图将攻击者拒之门外的安全防护方案在面对攻击手段的多样化、复杂化时已经力不从心。

传统的被动防御技术已无法满足当前最新的网络安全对抗态势，在这种被动防御状态下，企业的信息系统长期处于敌暗我明的被动状态中，不利于开展积极的网络安全防范工作，无法及时、有效的检测各种新型攻击行为。

二、产品介绍

智能仿真与诱捕防御系统 DecoyMini 采用欺骗防御等新技术，以攻防对抗思路为基础，以攻击者视角去发现威胁，可有效弥补传统网络安全防御方案的弱点，提升网络安全防御能力。

产品在用户内部网络中的关键区域智能化部署高度仿真、安全可控的虚假服务、计算环境和网络，通过布设的蜜标、诱饵等手段主动吸引入侵者对虚假环境或服务进行攻击。

在虚假环境中对攻击者行为进行抓取和存储，基于对攻击者的行为分析来实现攻击告警、威胁分析和溯源取证，结合多种处置响应手段对威胁进行快速处置和防御。

最终达到改变攻防不对称的现状，变被动为主动，提升用户网络安全的主动防御能力。

三、产品安装与卸载

1、首先前往 https://github.com/decoymini/DecoyMini/ 下载，支持 32 位和 64 位的 Windows 和 Linux 系统
2、windows 下，以管理员方式运行 cmd，打开后输入以下命令进行安装（3 秒完成 ）：

DecoyMini_Windows_v1.0.1420.exe -install

DecoyMini_Linux_x64_v1.0.1420.pkg -install

帐号：admin密码：Admin@123

Windows：decoymini.exe -uninstall    // Windows 下卸载同样也需在 cmd 管理员模式下Linux：decoymini -uninstall

Usage of decoymini:  -info        Show information  -set -addr string        Set Manager address  -uninstall        Uninstall Software

decoymini -info

四、仪表盘

仪表盘主要用于展示系统的关键指标和数据，以图表的形式来进行展示。点击 “监控” –> “仪表盘”，进入仪表盘界面：

主要展示以下信息：

• 事件数量分布：统计最近一段时间内发生的风险事件的数量分布情况；

• 节点事件数量 TOP10：展示的为根据仿真节点或诱捕探针上报的事件数量统计的 Top10 排名；

• 攻击次数 TOP10：展示的为根据IP攻击次数的数量统计的 Top10 排名；

• 攻击源分布 TOP10：展示的为根据攻击者来源的地域统计的 Top10 排名；

• 攻击类型 TOP10：展示的为根据攻击类型统计的 Top10 排名；

• 安全级别 TOP10：展示的为根据风险事件的安全级别统计的 Top10 排名；

• 攻击用户 TOP10：展示的为根据攻击者使用的攻击用户名统计的 Top10 排名；

• 攻击动作 TOP10：展示的为根据攻击者的攻击动作统计的 Top10 排名；

可以点击右上角时间选择按钮，选择今天、最近 24 小时、最近 3 天、最近 7 天、最近 30 天、指定时间段，来展示对应时间范围内的统计数据。报表导出：可导出 PDF 形式报表。

五、事件篇

事件主要提供对系统接收的诱捕日志进行查询，以及对系统产生的风险事件进行查询、分析的功能。

在事件下的两个子菜单项中，可点击页面上的 “提交情报…” 转至 Mini 情报版块处进行提交情报。

5.1 风险事件

风险事件主要用于分析系统发现的风险事件，并对事件提供查询和快速分析的功能，同时支持对事件进行快速处理。点击 “事件” –> “风险事件”，可以打开风险事件管理页面：

诱捕日志的详细信息中包含两个标签页：基本信息和时间线。基本信息是展示诱捕日志的各项基本信息，主要包括如下属性：

• 类型；

• 诱捕器名称；

• 描述；

• 日志级别；

• 攻击源 IP；

• 攻击目的 IP；

• 操作用户；

• 操作类型；

• 操作结果；

• 日志记录时间；

• 日志保存时间；

时间线是将该日志对应会话产生的所有诱捕日志以时间先后顺序来进行展示，还原攻击的完整过程，展示的内容如下图所示：

5.2 诱捕日志

诱捕日志管理功能提供对攻击者在诱捕器中所有操作行为，包括网络操作、命令执行、文件操作以及文件等数据进行综合浏览、查询的功能。点击 “事件” –> “诱捕日志” 打开如下页面：

六、策略篇

策略包含诱捕策略、仿真模板、安全规则、系统预警系统核心业务的配置功能。

6.1 诱捕策略

DecoyMini 默认已添加了 6 个诱捕器，如下图所示：

选择一个仿真模板，配置模板相关参数：

• 模板名称；

• IP地址；

• 协议；

• 端口；

• 状态；

说明：不同模板对应的配置参数可能会有差异。当填写完成模板参数后，点击 “确定” 按钮保存威胁诱捕器配置。完成威胁诱捕器配置后，点击 “保存” 按钮应用此诱捕配置。

参数配置设定仿真节点的如下参数：

• PING 扫描检测：仿真节点被 ping 时，产生诱捕日志；

• TCP 连接检测：仿真节点有 TCP 连接时，产生诱捕日志；

• 监测端口范围：TCP 连接监测的端口范围；

• 节点心跳间隔：仿真节点与管理中心之间的心跳间隔；

• 诱捕网口：指定仿真节点的诱捕器使用哪个网口；

6.2 仿真模板

仿真模板提供对系统各仿真能力进行配置的功能，通过仿真模板可以来灵活自定义仿真配置和内容。点击 “策略” –> “仿真模板配置”，可以打开仿真模板配置页面：

仿真列表支持按类别和引擎两种方式展示，可以通过点击树形列表上方对应按钮进行切换。在类别中，系统默认包括如下分类：

• 网络服务类；

• WEB 类；

• 数据库类；

• 中间件类；

• 应用类；

• 设备类；

• 其它类；

• 基础模板；

选择一个模板，则进入模板对应的配置界面，如下图所示：

模板配置界面提供对基础信息、参数配置、响应数据、资源文件进行配置的功能。

• 基础信息：定义该仿真模板的基本信息；

• 参数配置：定义该模板的配置参数；

• 响应数据：定义模板响应数据；

• 资源文件：定义模板运行所需的资源文件；

通过对仿真模板的自定义配置，可以灵活自定义仿真内容，灵活配置对网络请求数据的各种解析方式和定义应答数据，实现灵活扩展仿真能力和对新的网络协议或服务的仿真能力.

基础信息配置为配置该仿真模板的基本参数，包括定义该仿真模板的 ID、名称、事件日志类型、类别、处理引擎、父模板名称、运行环境、版本、描述等信息；界面如下图所示：

参数配置用于配置模板运行参数，界面如下图所示：

配置的参数包括如下几类：

• 请求数据：根据网络请求数据按照指定的规则进行解析；

• 预定义：引擎预定义的参数；

• 自定义：用户自定义参数，自定义的参数可以在响应数据里引用；

点击增加按钮，可以增加配置参数。界面如下图所示：

点击参数行操作列的 “修改” 按钮，可以修改指定参数属性；点击参数行操作列的 “删除” 按钮，可以删除对应参数。

根据请求参数定义对应的响应数据，如下图所示：

对应的配置项主要包括：

• 名称；

• 描述；

• 响应条件；

• 响应数据；

• 执行动作；

• 记录日志；

• 优先级；

• 类别；

• 状态；

点击 “编辑” 按钮，则可以编译对应的响应数据项；点击 “删除” 按钮，可以删除对应的相应数据。

资源文件功能用于配置仿真引擎和响应数据所需的资源数据和文件。界面如下图所示：

点击 “新建文件夹”，可以创建一个新的文件夹；点击 “上传文件”，可以将本地的文件上传到当前的资源目录下。

6.3 安全规则

安全规则用于配置系统安全监测规则，包括威胁情报配置和黑白名单配置。

系统产品支持威胁情报检测能力，通过定期和云端威胁情报平台同步，及时更新最新的情报数据到本地，利用威胁情报能够快速发现恶意 IP 和恶意文件。点击 “策略” –> “安全规则” –> “威胁情报” 标签，可以打开威胁情报配置页面，如下图所示：

黑白名单功能用于配置黑白名单，系统支持配置各类白名单，添加到白名单的数据将不做告警；支持按需配置黑名单，匹配到黑名单里的日志将进行告警。系统当前支持的黑白名单种类如下：

• 文件黑白名单；

• 进程黑白名单；

• IP 黑白名单；

• 域名黑白名单；

• URL 黑白名单；

• 端口黑白名单；

点击 “策略” –> “安全规则” –> “黑白名单” 标签，可以打开黑白名单配置页面，如下图所示：

选择需要应用的对象，配置对应的黑白名单，点击 “保存” 按钮，即可保存应用黑白名单配置。

6.4 事件预警

当产生了指定的新的风险事件后，支持通过多种方式发送告警通知。当前通知方式支持以下五种，分别为邮件告警、弹窗告警、Syslog 输出、企业微信，钉钉。依次配置预警参数，界面如下所示：

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（希石安全团队）：智能仿真与攻击诱捕蜜罐系统DecoyMini 用户手册