HONEYPOT – ハニーポットトラフィック

メソッドの説明

このメソッドは、いわゆるハニーポット(ネットワークトラップ)に着想を得たものです。これは、着信トラフィックがないと想定されるコンピュータに関連しています。そのため、着信トラフィックはすべて異常と見なすことができます。この検知メソッドも同様に機能します。ハニーポットを表すIPアドレスはフィルタとして定義され、これらのIPアドレスへのアクセスが行われると、イベントが生成されます。

このメソッドは、以下のサブメソッドで構成されます。

• General: 潜在的な侵入者のために攻撃のターゲットとして意図的に公開されているデバイスとの通信をレポートします。

メソッド設定

このメソッドは、(設定上の理由などにより)ハニーポットへのアクセスが想定されるIPアドレスを除き、ネットワーク全体にわたってすべてのネットワークトラフィックに対して適用することをお勧めします。適切に機能させるには、ハニーポットを定義するフィルタの名前を設定する必要があります。トラフィックの適切な監視場所はインターネット接続回線または中央のスイッチです。

メソッドパラメータ

• IgnoreAccessFrom: (管理上の理由などにより)ハニーポットとの通信が許可されるIPアドレスを定義するフィルタの名前。

• HoneypotFilter: (IgnoreAccessFromパラメータで定義されているIPアドレスを除き)どのデバイスからもリクエストしてはならないネットワークトラップのIPアドレスを定義するフィルタの名前。

フィルタの割り当て

このフィルタは、送信元IPアドレスを制限するために使用されます。

結果の解釈

このメソッドは、ネットワーク内の選択されたコンピュータへの不正アクセスに対するアラートを出します。これは水平スキャンやネットワーク全体に対する攻撃の試行を意味している可能性があります。