すべてのプロダクト
Search

このプロダクト

    Security Center:ハニーポットの設定

    ドキュメントセンター

    Security Center:ハニーポットの設定

    最終更新日:Nov 07, 2024

    クラウドハニーポット機能を使用して、仮想プライベートクラウド (VPC) とサーバーにハニーポット (デコイ) をデプロイし、サーバー上のクラウド内外で発生した攻撃を検出できます。 ハニーポットを使用して攻撃を追跡し、追跡情報を使用して攻撃者を防御できます。 クラウドハニーポット機能は、セキュリティ認識を向上させ、攻撃を防ぎます。 このトピックでは、ハニーポットを設定する方法について説明します。

    前提条件

    • クラウドハニーポット機能が有効になっています。 詳細については、「クラウドハニーポット機能の購入」をご参照ください。

    • データセンターにパブリックIPアドレスを持たないサーバーにハニーポットをデプロイする場合は、データセンターにプロキシサーバーを構築し、Security centerコンソールでプローブを作成するときにサーバーのプロキシIPアドレスを構成する必要があります。 これにより、プロキシモードでサーバーにハニーポットをデプロイできます。

      データセンターにプロキシサーバーを構築するにはどうすればよいですか?

      1. プロキシサーバーとして使用できるサーバーを少なくとも1つ準備します。 GNUコンパイラコレクション (GCC) とzlib-develがサーバーにインストールされていることを確認します。

      2. リバースプロキシをサポートするNGINXのバージョンをダウンロードします

        ハニーポットはHTTPS接続を使用します。 ハニーポットをデプロイするには、レイヤー4 HTTPSプロキシを構築する必要があります。 NGINXをダウンロードした後、NGINXをコンパイルしてインストールするときに、-- with-streamパラメーターを追加する必要があります。 

        tar -xvf nginx-1.9.0.tar.gz
cd nginx-1.9.0
./configure --without-http_rewrite_module --with-stream
make
make install

      3. nginxアプリケーションの /usr/local /NGINX /conf/ ディレクトリで、nginx.conf設定ファイルを変更します。 

        #user nobody;
worker_processes auto;
error_log logs/error.log;

#error_log logs/error.log notice;
error_log logs/error.log info;
pid logs/nginx.pid;

events {
    use epoll;
    worker_connections 60000;
}

stream {
        server {
            listen 1337;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1337;
        }
        upstream proxy1337 {
           # You can view the IP address of the management node for a honeypot in the IP Address of Management Node column of the Management Node tab. To go to the tab, choose Risk Governance > Cloud Honeypot > Configuration Management in the left-side navigation pane of the Security Center console.
           server # The IP address of the management node for a honeypot#:1337; 
        }

        server {
            listen 1338;
            proxy_timeout 10m;
            proxy_connect_timeout 60s;
            proxy_pass proxy1338;
        }
        upstream proxy1338 {''
          # You can view the IP address of the management node for a honeypot in the IP Address of Management Node column of the Management Node tab. To go to the tab, choose Risk Governance > Cloud Honeypot > Configuration Management in the left-side navigation pane of the Security Center console.
           server # The IP address of the management node for a honeypot#:1338; 
        }
}

      4. 設定ファイルを変更した後、次のコマンドを実行してNGINXを起動します。 

        /usr/local/nginx/sbin/nginx

    手順の概要

    image
    重要

    ハニーポットを設定するときは、新しく追加されたホストプローブを持つホストサーバーが、関連付けられた管理ノードにアクセスできることを確認してください。

    ステップ1: 管理ノードの作成

    管理ノードは、欺瞞ベースの保護機能を提供するためのコアおよび基本コンポーネントです。 管理ノードでハニーポットを設定し、プローブを使用してトラフィックをハニーポットに転送できます。

    1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、[リスクガバナンス] > [クラウドハニーポット] > [設定管理] を選択します。

    3. [構成管理] ページの [管理ノード] タブで、[管理ノードの作成] をクリックします。 表示されるパネルで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。

      パラメーター

      説明

      管理ノード名

      管理ノードの名前を指定します。

      割り当てられたプローブ

      管理ノードに割り当てるプローブの数を指定します。 有効な値: 20 ~ 100 100を超える値を指定すると、このパラメーターは自動的に100に設定されます。 各CIDRブロックに2〜3つのホストプローブをインストールし、各VPCに1つのVPCプローブをインストールすることを推奨します。

      説明

      プローブは、トラフィックのリダイレクトに使用されます。 クラウドハニーポットは、ホストプローブとVPCプローブをサポートします。

      • ホストプローブ: ホストプローブはホストにクライアントをインストールし、設定されたポートトラフィックをバックエンドハニーポットクラスタに転送します。

      • VPCプローブ: VPC内のIPアドレス (IP_A) が存在しない内部IPアドレス (IP_B) にアクセスしようとすると、トラフィックはVPCプローブにリダイレクトされます。 設定されたハニーポットマッピング規則に基づいて、VPCプローブはIP_AとハニーポットIP_Cとの間の通常の接続を確立し、この操作はIP_Aに対して透過的なままである。

      ホストプローブがホストにインストールされ、ポートトラフィックをハニーポットに転送します。 VPCプローブはVPCにインストールされ、存在しない内部IPアドレスを宛先とするトラフィックをハニーポットに転送します。

      CIDRブロック許可

      ホストプローブの出力CIDRブロックを指定します。 これにより、CIDRブロックはホストプローブから管理ノードにアクセスできます。 デフォルト値は0.0.0.0/0です。 最大100個のCIDRブロックを指定できます。 欺瞞ベースの保護を提供するために、プローブは管理ノードと通信しなければならない。 プローブの出力IPアドレスが指定されたCIDRブロック内にあることを確認します。

      Honeypotアクセスインターネットを許可

      管理ノードがハニーポットにインターネットへのアクセスを許可するかどうかを指定します。

      重要

      スイッチをオンにすると、セキュリティ上のリスクが発生する可能性があります。 攻撃者はハニーポットに侵入し、深刻な攻撃を開始できます。 スイッチをオフにすると、攻撃検出のみがサポートされ、内部ネットワークに適しています。

      作成した管理ノードを管理ノードリストに表示できます。 作成された管理ノードの管理ノードステータスパラメーターの値は準備です。 ノードは約5分間この状態にとどまる。 管理ノードのステータス通常に変わるまでお待ちください。

    ステップ2: (オプション) ハニーポットテンプレートを作成する

    ハニーポットテンプレートを使用すると、ハニーポットタイプに基づいてカスタム属性を設定できます。 ハニーポットテンプレートを使用して、さまざまなビジネスシナリオに適したハニーポットを作成し、実際のアプリケーションをより適切にシミュレートできます。 webサイトのタイトル、OA (office automation) の背景画像、webページのデータなどのカスタム属性を設定できます。 ビジネス要件に基づいてハニーポットテンプレートを作成できます。

    1. の左侧にHoneypotテンプレートのタブ構成管理ページでハニーポットタイプを選択し、テンプレートの作成.

    2. [テンプレートの作成] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      テンプレート名

      ハニーポットテンプレートの名前を指定します。

      管理ノード

      ハニーポットをデプロイする管理ノードを指定します。 この例では、手順1で作成した管理ノードを選択します。

      説明

      テンプレートの作成パネルのパラメーターは、ハニーポットの種類によって異なります。 より多くの要件がある場合は、 チケットを起票し、テクニカルサポートにお問い合わせください

    ステップ3: ハニーポットを作成する

    ハニーポットは、欺瞞ベースの保護機能を提供するための基本単位です。 このシステムは、さまざまなビルトインハニーポット画像を提供します。 ハニーポット画像に基づいてハニーポットを作成できます。

    1. 構成管理ページハニーポット管理のタブでハニーポットを作成をクリックします。

    2. [ハニーポットの作成] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      名前

      ハニーポットの名前を指定します。

      管理ノード

      ハニーポットをデプロイする管理ノードを指定します。 この例では、手順1で作成した管理ノードを選択します。

      Honeypotタイプ

      ハニーポットのタイプを指定します。 有効な値:

      • Web

      • 高度

      • 特殊欠陥

      • システムサービス

      • データベース

      Honeypotカスタム設定

      ハニーポットのカスタム属性を指定します。 チェックボックスをオンにすると、ハニーポットタイプに基づいてカスタム属性を設定できます。 さまざまなビジネスシナリオに適したハニーポットを作成し、実際のアプリケーションをより適切にシミュレートできます。 webサイトのタイトル、OAの背景画像、webページのデータなど、カスタム属性を設定できます。

      事前にハニーポットテンプレートタブでハニーポットテンプレートを作成し、[設定のテンプレートのインポート] をクリックして、テンプレートからカスタム属性をインポートすることもできます。

      カスタムハニーポットハニーポットテンプレートを設定する方法の詳細については、 チケットを起票し、テクニカルサポートにお問い合わせください

    ステップ4: プローブを作成する

    プローブは、トラフィックをリダイレクトし、ホストやネットワークからの異常なトラフィックをハニーポットに転送するために使用されるツールです。 VPCプローブとホストプローブがサポートされています。

    1. [構成管理] ページの [プローブ管理] タブで、[プローブの追加] をクリックします。 次に、[ホストプローブ] または [VPCプローブ] をクリックします。

    2. AddHost ProbeまたはAddVPC Probeパネルで、パラメーターを設定し、OKをクリックします。

      • 次の表に、AddHost Probeパネルのパラメーターを示します。

        パラメーター

        説明

        プローブ名

        プローブの名前を指定します。

        管理ノード

        プローブをデプロイするサーバーの管理ノードを指定します。 この例では、手順1で作成した管理ノードを選択します。

        プロキシIPアドレス

        ハニーポットがプロキシサーバーを使用してデータセンターのサーバーにデプロイされている場合は、プロキシサーバーのIPアドレスを入力します。 それ以外の場合は、このパラメーターを設定する必要はありません。

        プローブ配置のホスト

        プローブをデプロイするサーバーを指定します。

        サービスの設定

        プローブがトラフィックを転送するハニーポットの名前とリスナーポートを指定します。

        説明

        リスナーポートは、プローブがトラフィックをハニーポットにリダイレクトするために使用するホスト (ECSなど) 上のポートです。 このポートがプローブ専用に予約されており、他のサービスが使用していないことを確認することが重要です。

      • 次の表に、AddVPCプローブパネルのパラメーターを示します。

        重要

        ハネポットはVPCでのみ作成できます。 他のタイプのネットワークではハニーポットを作成できません。 VPCに作成できるハニーポットは1つだけです。 VPCプローブは、サポートされているリージョンにのみデプロイできます。 詳細については、「制限事項」をご参照ください。

        パラメーター

        説明

        プローブ名

        プローブの名前を指定します。

        管理ノード

        プローブをデプロイするサーバーの管理ノードを指定します。 この例では、手順1で作成した管理ノードを選択します。

        デプロイ済みVPC

        プローブをデプロイするVPCを指定します。

        サービスの設定

        プローブがトラフィックを転送するハニーポットの名前とリスナーポートを指定します。

    次のステップ

    ハニーポットを設定すると、ハニーポットはターゲットからの攻撃を回避します。 このようにして、攻撃者はハニーポット内のおとりアプリケーションを攻撃し、ハニーポットは攻撃に関する情報を記録してアラートを生成します。 アラートを表示および処理して、サーバーとVPCのセキュリティを強化できます。 詳細については、「アラートイベントの表示と処理」をご参照ください。