Shikong/HFish
1
0
Fork 0
mirror of https://gitee.com/lauix/HFish synced 2025-02-24 19:52:18 +08:00
Code Issues Packages Projects Releases Wiki Activity
0174daae06
HFish/docs/setting.md
WeiMing 427986b91f update
2021-06-11 11:12:36 +08:00

3.8 KiB
Raw Blame History

服务端配置

告警策略

添加一个新的策略

image-20210318173355287

对策略进行配置

image-20210209202737224

通知当前分为威胁告警和系统通知两种类型

威胁告警是系统感知攻击时的告警;系统通知是系统自身运行状态的告警。

在设置通知方式前,您应该先完成了前边的通知配置

如果您完成了通知配置,那么这里三种不同的通知方式中就会出现您之前的配置,勾选即可。

对接精准的云端的威胁情报后,可以对攻击行为进行更准的研判,帮助我们更科学的进行处置。

对接了威胁情报后当HFish捕获到了来自外网的攻击行为后我们可以在攻击列表中了解攻击者的IP情报。HFish会把您在云端查询到的情报在本地缓存7天保持您攻击情报时效性的同时节省您的查询次数。

image-20210318220204897
  • 我们支持对接两种来自微步在线的威胁情报

对接微步在线云APIIP信誉接口

关于该接口完整的说明,可以参考微步在线云API文档

本接口在注册后可以获得每日50条云端情报的查询额度给微步发送扩容邮件后可以提升到每日200条的额度。详情访问微步在线X社区

如果有企业化需求,可以邮件 honeypot@threatbook.cn

对接TIP的本地情报您可以跟据页面的描述进行注册和使用。

使用该接口需要购买微步在线的TIP本地情报系统

image-20210318221558637

通知功能是蜜罐的核心功能之一

对于蜜罐捕获到的信息跟据您不同的安全运营流程您可能需要把该信息第一时间通知其它的安全设备也可能需要把该信息通知给相关的安全运营人员。HFish用三种方式满足您的需求。

  • Syslog通知
  • 邮件通知
  • Webhook通知
image-20210318215610629

用 Syslog 联动其它安全设备

您可以自定义接受通知设备的地址、协议和端口用来接受OneFish捕获的攻击信息和报警。HFish最多支持5路syslog进行通知。

image-20210318215642971

用邮件通知相关安全人员

您可以通过配置相关的邮件服务器信息来接受OneFish的通知和报警。

image-20210318215718987

Webhook通知其它设备/人

很多的场景下我们都可以方便的使用webhook联动人或者设备。

  • 对于当前企业办公中最为流行的3大即时通讯软件企业微信、钉钉、飞书的机器人我们也做了适配您在IM中建立一个机器人把机器人的token复制到OneFish的webhook配置中就可以第一时间在IM中获取蜜罐捕获的攻击告警了。
  • 三家IM的官方文档如下您可以对照进行参考
- 企业微信官方文档

  https://work.weixin.qq.com/help?doc_id=13376#%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8%E7%BE%A4%E6%9C%BA%E5%99%A8%E4%BA%BA

- 钉钉官方文档

  https://ding-doc.dingtalk.com/doc#/serverapi2/qf2nxq

- 飞书官方文档
  https://www.feishu.cn/hc/zh-CN/articles/360040553973