也许是一个奇怪的问题,但我已经有一个面向公众的 HTTP/SSH 蜜罐一年多了,我想知道是否有任何地方可以上传我的日志?有一堆自动扫描,一些有趣的 RFI / RCE 尝试和恶意 SSH 登录尝试,我相信它可以使整个社区受益,以记录这些 IP 地址以防止可能的恶意活动。我之前在 subreddit 上问过这个问题,显然有私人团体/组织收集这些,但没有任何公共团体?谁能详细说明这一点?这个领域真的没有公共努力吗?提前致谢...
有没有可以上传蜜罐日志的地方?
信息安全
日志记录
蜜罐
2021-09-02 21:34:02
4个回答
Luc的一条评论引发了一个有趣的问题。任何接受蜜罐日志的站点的问题是判断您是受信任的来源还是只是完整的来源。他们不希望您意外/恶意地包含合法流量以试图破坏这些用户的声誉,或者只是通过用无意义的非恶意流量淹没池来“稀释”池。
我建议您创建自己的站点,发布日志并手动跟进您发现的更有趣的攻击,可能通过拆卸他们的恶意软件或尝试追踪/关闭 C&C。尝试发布有关从未见过的新威胁的新闻。您将慢慢建立自己的声誉,并被信息安全社区认可为可信赖的来源。
从 AlienVault 查看这个平台:
这是一个共享威胁信息的开放平台。除了特定的恶意软件活动之外,我还看到了人们愿意与社区分享的私人蜜罐的日志
我曾多次在 SANS ISC 播客上听到过类似的内容。你检查过https://isc.sans.edu/webhoneypot/吗?似乎与您要执行的操作相似。
如果可以的话,这听起来像是潜入 AWS 的最佳时机。亚马逊为这类事情提供了很棒的日志管理和聚合服务。我建议使用 ELK 堆栈进行构建,但您选择的服务取决于您。从技术上讲,您可以转发您的日志以在 CloudWatch 中使用,但添加更多功能以提供可操作的日志(即用于警报等...)并不费力。下面是我整理的一个简单图表,展示了如何在高层次上执行此操作。
此外,您似乎正在寻找一种标准化的方式来共享有关 IOC 的信息。我还会研究 OpenIOC 和 Mandiant 提供的一系列其他免费工具。链接如下: