Створення Honeypot VM в хмарі:
- Спочатку мені потрібно було створити безкоштовний обліковий запис Azure
- Це буде машина, яка буде виставлена в Інтернет, і люди активно намагатимуться її атакувати (honeypot)
- Для початку я натиснув “створити” у верхньому лівому куті панелі інструментів
- Це привело мене до вкладки “Створити віртуальну машину”, яку ви можете побачити нижче
- Як ви бачите, є багато різних налаштувань, які можна налаштувати
- Ви можете вибрати все від базової операційної системи до різних зон доступності тощо
- Потім я створив нову групу ресурсів
- Група ресурсів — це просто логічне об'єднання ресурсів в Azure, які зазвичай мають однаковий термін служби
- Все в цьому проєкті буде знаходитися в одній групі ресурсів
- Я назвав цю групу ресурсів “SIEMhoneypotLab”
- У вкладці Інформація про інстанс я можу налаштувати ім’я, регіон, зону, образ та архітектуру віртуальної машини
- Ім’я інстансу буде “honeypot-VM”
- Для регіону, який позначає місце розташування дата-центру, я вибрав US. West 3
- Я змінив образ з Ubuntu на Windows 10 Pro
- Для цього з'явилося повідомлення, що “розмір” не підтримується в регіоні US. West 3, тому я змінив його на US. West 2
- Потім з'явилося повідомлення, що розмір не підтримується в зоні 1 регіону US. West 2, але регіон 2 підтримував
- Як тільки я змінив його на регіон 2, все спрацювало
- Потім мені потрібно було налаштувати дані адміністратора
- Це ім’я користувача та пароль, які ми будемо використовувати для входу у віртуальну машину
- Я залишив решту налаштувань за замовчуванням, включаючи дозвіл на вхідний порт 3389 (RDP)
- Це означає, що цей порт доступний з публічного інтернету
- Незважаючи на те, що я дозволив це, мені все одно дали таке повідомлення: “Усі з'єднання з Інтернету будуть заблоковані за замовчуванням. Ви зможете змінити правила вхідних портів на сторінці VM > Мережа.”
- Мені доведеться змінити це пізніше
- Потім я натискаю “Далі: Диск”, залишаючи ці налаштування за замовчуванням
- Далі йде вкладка Мережа, де я фактично налаштовую мережеву карту інтерфейсу та де я можу змінити правила вхідних портів, налаштувати балансування навантаження тощо
- У розділі “NIC група безпеки мережі” я можу змінити радіокнопку з “None” на “Basic” або “Advanced”, я змінив на “Advanced”
- Це схоже на брандмауер
- У розділі “Налаштувати групу безпеки мережі” я створюю нову групу безпеки мережі
- Це брандмауер, який буде відкритий для всіх
- Я видаляю стандартні вхідні правила і натискаю кнопку “+Додати вхідне правило”
- Я збираюся зробити так, щоб він дозволяв все до віртуальної машини
- Для діапазону портів призначення я ставлю зірочку *, що означає “будь-що”
- Також для пріоритету правила я даю йому 100
- Чим менше число, тим вищий пріоритет
- Для назви вхідного правила безпеки я поставив “DANGER_ANY”
- Потім я натискаю додати
- Це дозволить весь трафік з Інтернету до нашої віртуальної машини
- Ви можете побачити користувацьке правило нижче
- Є також інші вкладки, такі як Управління, Моніторинг, Розширене і Теги, які ви можете налаштувати для вашої віртуальної машини
- Це не потрібно для цієї лабораторії, тому я одразу перейшов до вкладки “Огляд + створення”
- Після того, як я натиснув її, знадобиться хвилина на перевірку
- Потім ви можете переглянути ціни та підсумовані налаштування вашої віртуальної машини, як показано нижче
- Після завершення я натиснув “Створити”
- Процес розгортання займе деякий час
- Мета цієї віртуальної машини — зробити її максимально виявною, чи це TCP пінги, SIN скани, ICMP пінги
- Ця віртуальна машина — це honeypot
- Ми не хочемо, щоб трафік відкидався, оскільки ми хочемо, щоб вона була виявлена якомога швидше
- Поки я чекаю на її розгортання, я створю наступний робочий простір для аналітики журналів
Перекладено з: Project #2: Building SIEM/Honeypot: Part 1