终端欺骗
最近更新时间:2025年03月19日 11:28:58
支持向终端下发勒索诱饵、Web 业务诱饵及 RDP 应用诱饵,并在指定目录下自动生成诱饵文件以引诱攻击者进行攻击进而保护真实网络资产,并触发告警。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 规则运营。
2. 在规则运营页面,选择终端欺骗,单击新建策略。
![]()
3. 在新建终端欺骗策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
![]()
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 根据实际需求,选择如下终端欺骗策略,单击保存。
针对勒索病毒的诱饵
1. 系统会自动生成勒索诱饵文件到指定目录下,用户对文件有删除修改等行为会自动触发告警.
2. 勾选针对勒索病毒的诱饵,单击![]()
![]()
3. 系统自动在盘符根目录下随机生成诱饵文件。
![]()
4. 攻击者对诱饵文件进行删除修改等操作。
5. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
![]()
Web 业务诱饵
1. 系统会随机在某个盘符下生成文件夹,其中包含「密码备忘.txt」文件,文件内容包含 URL 以及系统随机生成的账密欺骗信息。
2. 勾选 Web 业务诱饵,单击![]()
![]()
3. 系统自动生成密码文件,攻击者查看密码文件获取系统随机生成的欺骗业务地址密码等信息。
![]()
4. 攻击者使用浏览器访问获取的业务地址。
5. iOA 系统管理员进入终端安全防护中心 >威胁狩猎,条件查询筛选业务欺骗事件,查看攻击者远程 IP 等信息。
![]()
6. iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
![]()
RDP 应用诱饵
1. 系统会随机在某个盘符下生成文件夹,其中包含「密码备忘.txt」文件,文件内容包含 IP 地址(随机选择两个)以及系统随机生成的账密欺骗信息。
2. 勾选 RDP 应用诱饵,单击![]()
![]()
3. 系统自动生成 IP 地址,您无需填写 IP 地址信息,输入备注后单击确定。
![]()
4. 终端验证。
4.1 系统随机在某个盘符下自动生成密码文件,文件内容包含 IP 地址、账户、密码等信息。
![]()
4.2 攻击者远程连接服务器,连接失败。
4.3 iOA 系统管理员进入终端安全防护中心 > 威胁狩猎,条件查询筛选 RDP 欺骗事件,查看攻击者远程 IP 等信息。
![]()
4.4 iOA 系统管理员进入终端安全防护中心 > 威胁告警,在告警统计页面单击终端欺骗,查看告警信息。
![]()