はじめに
タイトル通り久しぶりにハニーポットを植えてみました。
前回はハニーポットとしてcowrieを使い
分析環境としてSplunkを使い、リアルタイム分析ができる環境でした。
まあこれでもよかったのですが、どうせならもうちょっと拡大したいと思い
新しく環境を作りました。
T-Potでええやんとも思いましたが、VPS上で運用するにはお金もかかるし
家にリソースが余っているパソコンがあったため有効活用しようということで使っていません。
使ったものについて
- Cowrie
- WOWHoneypot
- Suricata
WOWHoneypot
dionaeaとかglastopfとかようわからんし環境作るのが面倒だった。
しかしWOWHoneypotはほんとお手軽。
構成について
ハニポはAWSのLightsailで構築。
logrotateで1日一回s3にログをアップロードするような構成。
自宅PCのELKは
Logstashでs3に取りに行く。
cowrieとSuricataに関してはjsonなのでそのまま設定。
wowhoneypotについてはgrokを使って自分でパース。
Kibanaについて
dashboardはVisualizationから作って
Visualizationはsaved searchからつくるって考えるとどう構成するのがいいのか考え中。
とりあえずは検索できるのでまあよし。
画像とか
suricata
どのシグネチャを有効にするのかを考えなければ
cowrie
よく見るやつ。
password
input command
wowhoneypot
いろいろなところにアクセスしようとしている。
