Así que hay bastantes cosas que puedes hacer. Al igual que AviD dijo que realmente necesitas saber cuál es tu objetivo con el honeypot antes de configurarlo.
-
Observa el comportamiento. Dependiendo del tipo de honeypot que tengas, es posible que veas ciertos tipos de comportamiento que puedes usar para caracterizar a la persona que te ataca. Por ejemplo ... Si el atacante siempre envía 1 paquete ICMP como si ejecutara el comando ping -c 1 x.x.x.x
. O si tienes un honeypot de mayor interacción, si ejecutan constantemente el comando ls
... esta clase de cosas. Si el atacante regresa, entonces es posible que lo reconozcas basándose en estos.
-
Las grandes organizaciones que lidian con una gran cantidad de ataques (y ataques exitosos) a veces construyen redes de honeypot en las que ponen computadoras comprometidas. Observan al atacante y descubren qué pueden estar detrás , cuáles fueron sus objetivos y quiénes podrían ser . Esto puede ayudarlo a decidir si se deben realizar cambios en su política de seguridad.
-
Si son realmente desagradables, quizás puedas descubrir quiénes son (he visto que esto sucede a menudo con botnets). Haz con esta información lo que te gusta ... Crea un caso judicial o lo que quieras ...
Si estuvieras preguntando más de un técnico Cómo tamizar los registros, entonces necesitarás la línea de comando estándar de Linux kung fu. Grep y awk son tus amigos. O puedes usar una herramienta para construir una línea de tiempo como Zeitline o alguna otra.
Su curso de acción realmente depende de los datos que recopiló. Si hay tráfico de IRC, por supuesto que desea investigarlo. Si descubres ejecutables descargados, entonces quieres investigar eso. Literalmente todo lo que está fuera de lo común quiere investigar. tcprelay y security onion pueden ser realmente útiles para calcular lo que sucedió porque te ayudará a crear una línea de tiempo y ver todo lo que preguntaste.
Espero haber sido de ayuda.