目录
- 部署模型(容器 vs VM)
- 网络隔离与防爆策略
- 日志上报与持久层选择
- 监控与告警关键指标
- 自动化响应与 IR 流程
- 合规与审计清单
1. 部署模型
- 开发/测试:单机 Docker Compose,快速迭代。
- 生产:建议轻量 VM(KVM)或受管 Kubernetes 命名空间 + NetworkPolicy。关键点:每个蜜罐实例必须在隔离网络中,禁止访问内部业务网络。
2. 网络隔离与防爆策略
- 把蜜罐放在独立 VPC/VLAN,出口仅允许日志上报(单向),禁止对内网发起连接。
- 使用防火墙规则限制出站流量,仅允许到 SIEM/ELK/Kafka 的 TLS 出口。
- 对外暴露端口应通过 NAT/跳板,避免直接暴露管理面板。
3. 日志上报与持久层
- 开发期:JSONL + 日志轮转(logrotate)。
- 生产期:Filebeat -> Logstash -> Elasticsearch,或 Kafka -> Consumer -> ClickHouse。
- 推荐对敏感字段在写入前进行掩码或加密(至少对 password 做不可逆哈希或加密存储)。
4. 监控与告警(Prometheus/Grafana)
关键指标:
honeypot_active_sessions(当前)honeypot_sessions_total(累计)honeypot_auth_attempts_per_minhoneypot_queue_depth(事件队列)honeypot_bytes_in/out告警示例:auth_attempts_per_min激增触发速率限制与防火墙封锁。
5. 自动化响应与 IR 流程
- 触发条件:同 IP 爆破阈值 / 跨协议交互 / 命令包含下载器(wget/curl)。
- 自动动作:临时黑名单 -> snapshot VM -> 导出会话日志 -> 发起 SOC 工单。
- 证据保全:保留
raw_base64、相关 PCAP(若启用流量镜像)、事件时间线。
6. 合规与审计清单
- 明确谁能访问明文日志。
- 日志保存期限与法律合规对齐(根据地域法规)。
- 在日志/事件中标注脱敏状态与处理人。
- 部署前与法务确认诱捕行为边界与责任。
结语(对执行者)
把你现有的 handler 做成可管理、可监控、可审计的系统,并非一夜之功。优先级:网络隔离 -> 日志脱敏 -> 事件总线 -> 自动化响应。按此路线,PoC 可在数小时内运行,生产级系统则需要两周到几个月的工程与合规工作。
