提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

基础排查:云蜜罐问题基础排查

|

问题描述

云蜜罐(主动诱捕)问题基础排查

告警信息

可能原因如下:
1、未购买云蜜罐订阅服务——在授权管理中查看是否有开通云蜜罐订阅服务
2、蜜罐策略未勾选“云端分析能力”——检查主动诱捕策略配置,确认是否启用了云端分析能力(本地蜜罐服务忽略)
3、伪装服务IP类型选择错误——确认伪装服务的IP类型配置正确
4、未配置默认路由会导致无法回包——确认是否有配置默认路由,云蜜罐功能回包依赖于设备自身的默认路由
5、设备和云端地址交互异常——测试云端服务连通性(chp.sangfor.com.cn:8972,chpm.sangfor.com.cn:443)
详细操作方法可以参考下列有效排查步骤说明

有效排查步骤

一、确认设备是否有购买云蜜罐订阅服务


二、确认正确配置了主动诱捕策略,并启用了云端分析能力(本地蜜罐服务忽略)
人工未开启云端分析能力,是无法访问到真实服务的,只能telnet通端口。

三、确认伪装服务的IP类型配置正确
注意两点:
     ·1、真实业务IP和伪装IP的区别:“真实业务IP”内网真实存在的IP地址或者设备接口的地址,能够正常响应arp报文;“伪装IP”,可以是内网不存在的一个地址,由AF设备响应arp报文
     ·2、伪装服务填写的端口,可以理解为设备监听。黑客需要访问到该端口才可以踩到蜜罐,因此设备如果不是出口部署,则需要外网做对应的DNAT映射规则。

四、如果设备是出口部署,确认是否有配置默认路由
云蜜罐功能回包依赖于设备自身的默认路由,如果未配置默认路由会导致无法回包,端口访问异常。


五、测试云端服务连通性
chp.sangfor.com.cn:8972,chpm.sangfor.com.cn:443


解决方案

以上步骤未解决您的问题,可收集以下信息问题流转L2:
1、故障现象描述:
2、故障发生时间:
3、故障前做过的操作:
4、设备部署模式及网络拓扑:
5、设备版本信息:

我要分享
文档编号: 231509
作者: admin
更新时间: 2023-01-05 17:29
适用版本: