蜂蜜的文件

蜂蜜文件是一个位于网络文件共享中的假文件。蜂蜜文件的目的是检测攻击者谁正在访问和潜在地删除数据从您的网络。攻击者通常会在网络上发现一个文件共享,将共享的内容压缩到一个文件夹中,并转储数据以进行离线分析。

因为蜂蜜文件没有真正的用途,所以你不应该访问、修改或移动蜂蜜文件。任何这样的尝试都会引起警报。

在你开始之前

配置蜂蜜文件前,请先完成以下操作:

  1. 在提供网络文件共享的Wi必威体育app登录ndows服务器上安装Insight Agent。
  2. 启用“审计详细文件共享”日志记录(如果尚未启用)。可以在“组策略”或系统的“本地安全策略”中配置。
  3. 在网络文件共享的所需位置创建一个新文件。文件可以是任何类型、名称或内容。
  4. 注意文件的完整路径。

在系统上配置蜂蜜文件

在你的系统上配置一个honey文件:

  1. 将配置为蜂蜜文件的文件必须位于运行Rapid7 Insight Agent的系统上。必威体育app登录在这个示例中,有两个文件将被用作“蜂蜜文件”。
  2. 仅当从网络共享访问这些文件时,才会生成蜂蜜文件访问警报。在本例中,HR文件夹也被共享了。
  1. 现在必须对本地安全策略启用审计。
  1. 在组策略或本地安全策略工具中,启用审计功能。
    • 选择高级审计策略配置
    • 选择对象访问
    • 打开“审计详细文件共享”的属性。
    • 启用“成功和失败”的审计。
    • 保存这个改变。
  1. 当您完成更改时,“审计详细文件共享”应该启用“成功”和“失败”审计。

在InsightIDR中配置蜂蜜文件

在InsightIDR中配置蜂蜜文件:

  1. 从您的InsightIDR主页,选择设置在左边的菜单上。
  2. 查找和选择欺骗技术在列表中单击蜂蜜的文件选项卡。单击添加一个新的蜂蜜文件右上角的按钮。
  3. 一个面板将出现。输入文件的完整本地路径,正如Insight Agent会看到的那样。必威体育app登录例如,输入:C: \ \ \目录\ filename.eg路径而不是\ \主机名\ \ filename.eg路径\ \目录
  4. 选择您先前配置的资产。
  5. 点击添加
  1. 您可以添加多个蜂蜜文件。

测试你的蜂蜜文件

通过网络访问蜂蜜文件

本地访问不会导致生成蜂蜜文件访问警报。

此外,通过使用隐藏共享访问文件将不会生成蜂蜜文件访问警报。

任何从非本地网络访问蜂蜜文件的方式都会产生警报。

  1. 通过网络导航到包含蜂蜜文件的系统。
  2. 浏览到蜂蜜文件的位置,并压缩文件夹,这将触发警报。

下面的示例显示了入侵者从HR文件夹中压缩文件。

  1. 蜂蜜文件访问将在您的安全日志中触发一个事件,其中蜂蜜文件以5145 EVID驻留。
  1. 在InsightIDR调查时间线的几分钟后,您应该会收到蜂蜜文件访问警报。此警报的证据包括源用户和资产。
  1. 打开警报调查查看警报证据。