¿Cómo se puede monitorear el número de ataques contra la infraestructura de la empresa? Una forma es instalar sistemas especiales llamados honeypots. Un honeypot es una trampa que te permite registrar, total o parcialmente, una secuencia de acciones que realiza un atacante. En este artículo, intentaremos seleccionar y configurar un honeypot, y usaremos la pila ELK como sistema de monitoreo.
Elegir un honeypot
. , TOP 25 MITRE. . , , .
. - , . , :
-
, , . , OpenSource.
, -. CMS. - , . . , :
Symfony2 EoHoneypotBundle;
Python Share;
nodeJS ;
c Drupal CMS;
ELK.
, . , . :
, . Ubuntu 20.04, Virtual Box. , Image, Docker Hub. Image Google :
honeypot ELK inurl:hub.docker.com
Docker Hub , Image. Image ELK Image ELK .
. ELK+honeypot. Docker:
git clone https://github.com/kobadlve/underworld.git
:
docker-compose build docker-compose up
FROM logstash
MAINTAINER kobadlve
USER root #<= new line
ADD conf/ /root/conf
...
. , nmap:
Kibana ( 5601). , . , .
OTUS " : Zabbix, Prometheus, ELK". .