Détection des accès aux honeypots avec Varonis

Sécurité des données

Honeypot

Les honeypots sont des pièges que les Blue Teams (équipes qui protègent les systèmes) posent partout dans le réseau pour intercepter d’éventuels hackers cherchant à exfiltrer des données ou élever des privilèges. Ces pièges prennent la forme d’un dossier comportant de fausses données alléchantes ou d’un compte dont les privilèges sont supérieurs à ceux du compte utilisé par les hackers. Tout accès à un honeypot constitue une menace potentielle et doit générer une alerte.

Les honeypots permettent d’intercepter efficacement les attaquants, mais ils peuvent aussi attirer l’attention d’innocents un peu trop curieux : il est donc important d’utiliser des méthodes de détection spécifiques.

Avec Varonis, vous pouvez créer des alertes sur mesure qui se déclenchent lors de la détection d’une activité liée à votre honeypot et informent ainsi votre équipe de réponse aux incidents qu’une personne fouine sur votre réseau. La piste d’audit solide générée par Varonis l’aidera à déterminer rapidement si cet accès est innocent ou non, et à réagir sans tarder pour éviter que de véritables données sensibles soient compromises.

Dans cet article, nous allons voir comment configurer une alerte Varonis pour un honeypot et remonter la piste d’un hacker à l’aide des données d’audit de la plateforme.

Création du honeypot avec une alerte en temps réel sur mesure

DatAlert est le composant de la plateforme Varonis de sécurité des données qui assure la détection des menaces. En plus de fournir des analyses comportementales avancées des utilisateurs et des modèles de menaces prédéfinis, il permet de créer des alertes personnalisées.

Mais commençons par le commencement. Tout d’abord, vous devez créer un honeypot. Il en existe plusieurs types, et vous pouvez consulter cette étude pour les découvrir en détail. Dans le cadre de cet article, nous allons utiliser un honeypot à faible interaction, qui prend la forme d’un fichier alléchant situé dans un dossier non sécurisé.

Ensuite, vous devez créer une alerte personnalisée liée à ce honeypot.

Dans DatAdvantage, sélectionnez Outils dans la barre de menus, puis DatAlert pour ouvrir la fenêtre de configuration du même nom.

Cliquez sur le signe + vert pour ouvrir la fenêtre permettant d’ajouter une alerte.

Dans l’onglet Général, saisissez le nom de la nouvelle règle et sa gravité (4 – Avertissement pour un honeypot). Sélectionnez la catégorie de l’alerte et le type de ressources dans laquelle se trouve le honeypot dans la liste déroulante Type de ressource. J’ai sélectionné Déplacement latéral. Vous pouvez conserver les valeurs par défaut pour les autres options.

Ignorez l’onglet Qui (objet actif), car nous souhaitons que cette alerte se déclenche, quelle que soit la personne qui accède au honeypot.

Sélectionnez le serveur et le répertoire du honeypot dans l’onglet Où (objet affecté).

Dans l’onglet Quoi (Détails de l’événement), sélectionnez les événements liés à l’accès au fichier et au dossier.

Passez ensuite à l’onglet Méthode Alerte pour définir comment répondre au déclenchement de cette alerte. Vous pouvez envoyer des e-mails, déclencher des alertes dans des SIEM ou exécuter un script PowerShell. Nous utilisons des scripts pour désactiver les comptes des utilisateurs et éteindre leurs ordinateurs afin de les retirer du réseau.

Cliquez sur Appliquer, puis attendez que quelqu’un se fasse piéger.

les causes de l’incident

Lorsqu’un utilisateur déclenche l’alerte, vous pouvez utiliser l’interface Web pour créer une image globale de ses déplacements dans votre réseau. Gardez à l’esprit que des utilisateurs non malveillants, mais un peu trop curieux se feront piéger par votre honeypot. Vous devrez ainsi gérer quelques faux positifs. L’analyse des détails des alertes permettra de les éliminer.

Dans l’interface Web, activez le filtre d’activité pour filtrer les données relatives à l’utilisateur piégé.

L’abondance des données d’audit vous permet de retracer facilement son parcours. Ces données d’analyse sont essentielles pour s’acquitter de ses obligations de communication des fuites de données et remédier à une cyberattaque.

Une sécurité renforcée par l’analyse comportementale

Les honeypots constituent un outil important, mais ils ne sont pas évolutifs, et vous ne devez pas dépendre d’eux pour détecter les acteurs malveillants les plus doués. Des modèles de menaces comportementaux dynamiques comme ceux inclus dans DatAlert sont bien plus efficaces pour détecter les attaquants discrets et ne génèrent que peu de faux positifs.

Plutôt que de configurer des honeypots artificiels, DatAlert peut détecter à quel moment les utilisateurs commencent à accéder de manière anormale aux données. Il peut par exemple s’agir d’un administrateur système qui lit la boîte de réception du PDG et marque des messages comme non lus, ou d’un compte de service qui accède à des documents Office sensibles, puis se connecte à Internet pour la première fois.

Inscrivez-vous à une démonstration de Varonis pour découvrir en quoi notre approche de la cybersécurité est particulièrement innovante.

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.