動態端口蜜罐概述

什么是動態端口蜜罐

動態端口蜜罐功能是一個攻擊誘捕陷阱，利用真實端口作為誘餌端口誘導攻擊者訪問；在內網橫向滲透場景下，可有效地檢測到攻擊者的掃描行為，識別失陷主機，延緩攻擊者攻擊真正目標，從而保護用戶的真實資源。

用戶可選擇系統推薦端口或自定義端口開啟動態端口蜜罐，誘捕失陷主機，降低真實資源被入侵的風險。

如何使用動態端口蜜罐

約束與限制

使用動態端口蜜罐功能，須滿足以下條件：

• 服務器未綁定EIP。

• 服務器已開啟HSS旗艦版、網頁防篡改版或容器版防護。

• 服務器已安裝Agent的版本為以下版本且Agent狀態為“在線”。

  • Linux：3.2.10及以上版本。
  • Windows：4.0.22及以上版本。

• 一臺服務器最多支持添加10個蜜罐端口。

• 一個蜜罐端口只能綁定一個協議，支持TCP和TCP6協議。

創建動態端口蜜罐防護策略

操作場景

動態端口蜜罐功能是以真實端口作為誘餌端口誘導攻擊者訪問，因此開啟動態端口蜜罐防護時，用戶需要創建防護策略以添加服務器端口作為蜜罐端口并綁定服務器開啟防護。

本節介紹如何創建動態端口蜜罐防護策略。

約束與限制

• 一臺服務器最多支持添加10個蜜罐端口。
• 一個蜜罐端口只能綁定一個協議，支持TCP和TCP6協議。

操作步驟

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在“防護配置”頁簽，單擊“創建防護策略”，彈出“創建防護策略”對話框。

6、根據界面提示，創建防護策略。

a.配置策略，配置完成后單擊“下一步”。

參數名稱	參數說明
策略名稱	可保持默認名稱，您也可以自定義輸入一個易識別的名稱。
操作系統類型	選擇要添加動態端口蜜罐功能的服務器操作系統類型。
防護端口	選擇實現動態端口蜜罐功能的服務器端口。 推薦端口：主機安全服務提供的交叉端口推薦，Linux系統推薦使用Windows常用端口，Windows系統推薦使用Linux常用端口，供您參考。 自定義端口：您可根據自身需求添加自定義端口或者刪除一些推薦端口。 說明：請您確定添加的防護端口未被其他服務占用，如果端口被占用會導致動態端口蜜罐功能開啟失敗。
源IP白名單（可選）	動態端口蜜罐功能默認主動連接蜜罐端口的主機都是內網失陷主機，一旦檢測到可疑的連接行為將會上報告警。 因此如果有您信任的主機會產生連接蜜罐端口的行為，建議您將該主機的IP加到源IP白名單。

b.勾選綁定目標服務器，單擊“保存并啟用”，創建防護策略完成。

7、在創建好的目標策略所在行的“關聯服務器”列，單擊數值，彈出“關聯服務器”對話框。

8、在關聯服務器所在行的“端口啟用情況”列，查看服務器端口啟用情況。端口啟用失敗后系統不會重新嘗試啟用端口，如果需要重新嘗試啟用端口，請通過“編輯策略”操作先去勾選服務器并保存，再通過“編輯策略”操作重新勾選綁定該服務器。

常見問題

端口啟用失敗怎么辦？

• 可能原因一：端口被其他服務占用

解決辦法：通過“編輯策略”操作，添加其他空閑的端口。

• 可能原因二：系統資源不足

解決辦法：清理部分系統資源后，請通過“編輯策略”操作先去勾選服務器并保存，再通過“編輯策略”操作重新勾選綁定該服務器。

查看并處理蜜罐防護事件

操作場景

動態端口蜜罐功能默認主動連接蜜罐端口的主機都是內網失陷主機，一旦發現可疑的連接行為將會上報告警。

本節介紹如何查看并處理這些防護告警事件。

操作步驟

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在操作指引下方，查看防護信息概覽。

• 您可以查看防護策略數量、防護服務器數量、防護事件數量等信息。
• 如果您有新增主機需要默認開啟動態端口蜜罐功能時，可開啟“新增主機自動綁定默認策略”，按鈕狀態為表示開啟。

6、選擇“防護事件”頁簽，查看蜜罐防護事件。

參數名稱	參數說明
告警名稱	告警事件名稱。單擊告警名稱，可查看告警詳情。
告警等級	告警威脅等級，蜜罐防護事件分為以下兩個等級： 高危：遠端主機多次連接蜜罐端口。 中危：遠端主機連接了蜜罐端口。
告警摘要	告警事件關鍵信息摘要，您可以根據這些信息了解可能失陷的主機和該主機與蜜罐端口建立的連接行為。
影響資產	失陷主機連接的動態端口蜜罐服務器。
告警發生時間	告警發生的時間。
狀態	告警處理狀態，分為“已處理”和“待處理”。
操作	您可以對告警事件進行“處置”操作。

7、確認告警信息后，在“狀態”為“待處理”的防護事件所在行的“操作”列，單擊“處置”，彈出“處理告警事件”對話框。

如果您需要批量處理多個告警事件，可在告警事件列表左上角，單擊“批量處理”。

8、選擇處理措施。

參數名稱	參數說明
處理方式	忽略：忽略本次防護告警事件，當下一次威脅事件發生時仍為您告警。 手動處理：您自行手動對失陷主機進行隔離端口等處理。 加入告警白名單：觸發告警事件的主機是您信任的主機，將該告警事件加入到告警白名單中，后續類似威脅事件發生時不再告警。
批量處理	如果您需要同時處理相同告警事件，可以勾選。
備注描述（可選）	為了方便后續易辨別本次處理操作的情況，可作補充描述。

9、單擊“確認”，完成處理。

告警詳情參數說明

參數名稱	參數說明
情報引擎	企業主機安全采用的檢測引擎，包括病毒檢測引擎、AI檢測引擎、惡意情報檢測引擎。
攻擊狀態	當前威脅攻擊服務器的狀態。
首次告警發生時間	首次發生攻擊告警的時間。
告警ID	告警的唯一ID。
Att&CK階段	攻擊者在各階段用到的攻擊技術模型。
最新告警發生時間	最新發生攻擊告警的時間。
告警信息	告警的詳細信息說明，包括告警說明、告警摘要、受影響資產和處置建議。
調查取證	動態端口蜜罐功能排查溯源定位到攻擊源的網絡取證信息。
相似告警	與本次告警事件相似的告警。您可以根據相似告警的處置方法處理本次告警。

篩選不同處置狀態的防護事件

在防護事件列表左上方的狀態下拉框中，選擇目標處置狀態的防護事件進行查看。

管理動態端口蜜罐防護策略

操作場景

動態端口蜜罐防護策略創建成功后，您可以根據自身的防護需求管理防護策略。

• 停用策略：僅暫時關閉動態端口蜜罐功能。
• 啟用策略：將停用的動態端口蜜罐動能啟用。
• 編輯策略：修改動態端口蜜罐防護策略信息，例如添加或刪除蜜罐端口、解綁或綁定服務器。
• 刪除策略：刪除動態端口蜜罐防護策略并停用動態端口蜜罐防護功能。

約束與限制

默認策略不支持刪除。

停用策略

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標防護策略所在行的“操作”列，單擊“停用策略”，彈出“停用策略”對話框。

6、確認信息無誤后，單擊“確認”，完成停用。

啟用策略

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標防護策略所在行的“操作”列，單擊“啟用策略”，彈出“啟用策略”對話框。

6、確認信息無誤后，單擊“確認”，完成啟用。

編輯策略

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標防護策略所在行的“操作”列，單擊“編輯策略”，彈出“編輯防護策略”對話框。

6、配置策略。可修改策略名稱、防護端口、源IP白名單。

7、單擊“下一步”。

8、選擇綁定服務器。

9、單擊“確認”，完成編輯。

刪除策略

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標防護策略所在行的“操作”列，單擊“刪除”，彈出“刪除策略”對話框。

6、確認信息無誤后，單擊“確認”，完成刪除。

管理關聯服務器

操作場景

針對單個防護策略關聯的服務器，您可以為服務器切換防護策略或解除策略綁定。

切換防護策略

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標策略所在行的“關聯服務器”列，單擊數值，彈出“關聯服務器”彈窗。

6、在目標服務器所在行的操作列，單擊“切換防護策略”，彈出“切換防護策略”對話框。

如需為多臺服務器切換防護策略，您可以勾選所有目標服務器并單擊列表左上角的“切換防護策略”。

7、根據界面提示，選擇防護策略。

8、單擊“確認”，完成切換。

解除策略綁定

1、登錄管理控制臺。

2、在頁面右上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 動態端口蜜罐”，進入“動態端口蜜罐”界面。

4、（可選）如果您已開通企業項目，可在界面上方的“企業項目”下拉列表中選擇目標主機所在的企業項目。

5、在目標策略所在行的“關聯服務器”列，單擊數值，彈出“關聯服務器”彈窗。

6、在目標服務器所在行的操作列，單擊“解除綁定”，彈出“解除綁定”對話框。

如需為多臺服務器解除綁定，您可以勾選所有目標服務器并單擊列表左上角的“解除綁定”。

7、確認信息無誤后，單擊“確認”，解除綁定。