8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh

用途：个人学习笔记，欢迎指正

目录

背景：

一、潮源反制-平台部署-蜜罐-Hfish

二、溯源反制-平台部署-HIDS-Wazuh

三、溯源反制-平台部署-HlDS-Elkeid-hub

---

背景：

攻击者对服务器存在着各种威胁行为，作为安全人员，可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统，又或是HlDS-Elkeid系统，诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵，安全人员可以了解攻击者的行为和攻击手段，为溯源反制提供依据。

#各项目资源地址：https://github.com/birdhan/SecurityProduct

一、潮源反制-平台部署-蜜罐-Hfish

蜜罐系统：蜜罐系统可以帮助安全人员模拟真实的网络环境，诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵，安全人员可以了解攻击者的行为和攻击手段，为溯源反制提供依据。

HFish：HFish是一款网络安全测试和评估工具，可以帮助安全人员识别和分析网络设备、操作系统和服务。使用HFish可以快速发现和了解目标网络的拓扑结构和潜在漏洞，为后续的溯源反制提供支持。

支持：Linux x32/x64/ARM、Windows x32/x64平台

部署参考：反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
主要功能：模拟各类应用漏洞，样本威胁检测，情报告警对接等

 大屏功能：   看起来还挺高级

二、溯源反制-平台部署-HIDS-Wazuh

Wazuh：Wazuh是一款开源的恶意软件检测和分析系统，可以帮助安全人员实时监测和分析恶意软件的行为和特征。通过Wazuh，安全人员可以快速发现和应对恶意软件攻击，提高溯源反制的效率。

支持系统：Linux x32/x64/ARM、Windows x32/x64平台、MacOS等

部署参考：https://documentation.wazuh.com/current/virtual-machine/virtual-machine.html

1、主要功能：基线检测，ATT&CK攻击，日志分析，漏洞自查等
2、测试：-爆破-、Web攻击-、横向移动、服务端部署

客户端加入：将蓝队需要监控的主机加入该平台系统

 

三、溯源反制-平台部署-HlDS-Elkeid-hub

Elkeid：Elkeid是一款自动化恶意软件分析和归档工具，可以帮助安全人员快速识别和分析恶意软件。使用Elkeid可以获取到恶意软件的行为和特征，为溯源反制提供线索。

支持系统：Linux系统

服务端部署参考：快速部署

1、主要功能：资产探针，基线检测，病毒扫描，入侵检测，漏洞自查等
2、测试：-资产探针、-基线检查、-病毒扫描、·入侵检测

客户端加入： 将蓝队需要监控的主机加入该平台系统

爆破测试：

   监控到内容：