Всем привет! Меня зовут Юлия Айдарова, я старший аналитик информационной безопасности группы внутреннего мониторинга Innostage. В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что это, с чем его едят, нюансы при настраивании и с радостью поделюсь своим опытом по внедрению и работе с данной системой.
«Мир глазами Xello Deception: где обман — это щит, а не меч»
Никого не удивлю, но все же скажу: в современном цифровом мире вопрос кибербезопасности и разработки новых подходов к защите от киберугроз крайне актуален, так как злоумышленники становятся более изощренными, а кибератаки — все более частыми.
Представьте себе лабиринт зеркал, где каждый поворот ведет к еще большей путанице. Именно такой мир Xello Deception создает для хакеров. Вместо критичных данных и ценных активов, злоумышленники наталкиваются на обманчивые приманки и ловушки — ложные базы данных, фальшивые документы, имитирующие реальную инфраструктуру.
Что такое Xello Deception
Xello Deception — это платформа, предназначенная для раннего обнаружения кибератак на корпоративную сеть.
Принцип работы — распространение ложной информации в корпоративной сети компании и своевременное реагирование на события безопасности, которые связаны с использованием распространенных приманок и ловушек злоумышленниками.
![](https://habrastorage.org/getpro/habr/upload_files/7b9/505/b64/7b9505b648a82740ae4f4e73a3649291.png)
Преимущества Xello Deception:
Обнаружение атаки на начальном этапе (это отвлекает от реальной цели и минимизирует ущерб компании).
Уровень False Positive минимальный.
Дополнительная информация о тактике и технике для анализа поведения злоумышленника и в дальнейшем улучшения кибербезопасности в инфраструктуре.
Внедрение Xello Deception и интеграция с другими системами
Внедрение Xello Deception — процесс несложный, но требующий системного подхода.
Ключевые этапы:
Проектирование. Здесь нужно проанализировать инфраструктуру, определить, какие угрозы и риски вы хотите обнаруживать, и включить это в план работ.
После анализа разработать более реалистичные сценарии атак и определить, какие обманки будут эффективны в вашем случае. Для начала рекомендую охватить малую часть, создав примерно 1/10 копий инфраструктуры, на основе анализа, куда в первую очередь могут пойти злоумышленники или, иными словами, что является лакомым кусочком и с чего они начнут ;)
Установка и настройка системы. Систему относительно легко установить и настроить, если соблюдать все пункты, указанные в Руководстве администратора.
В веб-интерфейсе все понятно на интуитивном уровне, главное — быть внимательными и не делать глупых ошибок в формате «неправильно прописан домен» или «забыли включить сателлит», с помощью которого идет распространение приманок.
Пройдемся по каждому пункту поподробнее…
После того, как вы установили Xello Deception, вам будет доступен веб-интерфейс, в котором необходимо произвести ряд настроек.
Инфраструктура
В разделе Инфраструктура, во вкладке Домены, мы указываем информацию про наш домен: LDAP-серверы и Источники событий. Зеленый индикатор показывает, что подключение произведено успешно и все требуемые в документации порты были открыты, красный индикатор — возникли проблемы при установке соединения (Рисунок 1).
![Рисунок 1. Инфраструктура: Домены Рисунок 1. Инфраструктура: Домены](https://habrastorage.org/getpro/habr/upload_files/27a/96c/15c/27a96c15ca9e84064b2c3d42a8db84a9.png)
LDAP-серверы и Источники событий можно прописать как вручную, так и автоматически, нажав на ... рядом с указываемым доменом (Рисунок 2). Заполняются следующие колонки:
Пользователь — сервисная учетная запись, с помощью которой происходит взаимодействие с доменом.
Протокол и Тип указанного сервера. В случае автоматического обнаружения данные поля заполняются автоматом.
Сателлит — сервер, через который идет взаимодействие компонентов Xello с инфраструктурой. Отобразится в том случае, если уже настроена интеграция (как на Рисунке 2), иначе колонка будет пустая.
![Рисунок 2. Инфраструктура: Обнаружение Рисунок 2. Инфраструктура: Обнаружение](https://habrastorage.org/getpro/habr/upload_files/4d6/ed5/44e/4d6ed544e92275c62518d516fe64287d.png)
Во вкладке DNS-зоны указываются наши DNS-серверы, которые также могут быть заполнены через автоматическое обнаружение либо вручную. Не забываем про то, что в свежих версиях (начиная с 5.4 и выше) необходимо указывать еще и сателлит (Рисунок 3).
![Рисунок 3. Инфраструктура: DNS-зоны Рисунок 3. Инфраструктура: DNS-зоны](https://habrastorage.org/getpro/habr/upload_files/fa8/410/4e3/fa84104e3ca49228f35ed49ba915be98.png)
Пользователи
В разделе Пользователи вносим сервисные учетные записи (Рисунок 4):
AD Пользователь — пользователь с правами чтения журналов AD для наполнения контекстом событий безопасности. С помощью данной УЗ идет распространение приманок на хосты с различными OC.
LDAP Пользователь — пользователь с правами чтения LDAP-каталога для генерирования приманок, создания ложных учетных записей, отображения каталога LDAP для добавления защищаемых хостов и т.д.
DNS Пользователь — пользователь с правами чтения DNS-зон для генерации приманок и DNS-записей о созданных приманках в инфраструктуре.
![Рисунок 4. Настройки: Пользователи Рисунок 4. Настройки: Пользователи](https://habrastorage.org/getpro/habr/upload_files/2a5/ef0/287/2a5ef02877f919532a669f683fe2d16e.png)
Интеграция
Xello Deception легко интегрируется с другими системами безопасности, такими как SIEM и SOAR, что позволяет автоматизировать процессы обнаружения и реагирования на угрозы.
Для интеграции со сторонними системами, а также с сателлитами и ловушками инфраструктуры Xello необходимо перейти в раздел Интеграции. Существуют следующие форматы интеграции:
API-Токены: в первую очередь, на данной вкладке не забываем указывать сателлиты и ловушки, которые мы используем, а потом уже указываем остальные системы (Рисунок 5, 6).
Syslog-серверы: все стандартно -порт, протокол и формат syslog-сообщения (Рисунок 7).
Email-уведомления.
![Рисунок 5. Интеграции: API-Токены Рисунок 5. Интеграции: API-Токены](https://habrastorage.org/getpro/habr/upload_files/58d/342/8a0/58d3428a0ba77e35a441dc87dcb3adbc.png)
![Рисунок 6. Интеграции: API-Токены (создание) Рисунок 6. Интеграции: API-Токены (создание)](https://habrastorage.org/getpro/habr/upload_files/3ab/542/ef4/3ab542ef4dc4c09429a0c8821489e144.png)
![Рисунок 7. Интеграции: Syslog-серверы Рисунок 7. Интеграции: Syslog-серверы](https://habrastorage.org/getpro/habr/upload_files/a70/6aa/5e0/a706aa5e03fd8503134f52437bd68054.png)
Сателлиты
В разделе Сателлиты мы увидим наш подключенный сателлит (Рисунок 8). Обращаем внимание на зеленый индикатор: он появится, если на веб-странице сателлита вы корректно создали API-токен и указали его в разделе интеграций (Рисунок 5).
![Рисунок 8. Настройки: Сателлиты Рисунок 8. Настройки: Сателлиты](https://habrastorage.org/getpro/habr/upload_files/37b/332/7db/37b3327db12949b2b9f9d81ef22077cf.png)
Исключение
В разделе Исключения мы можем внести исключения по сработкам, которые являются для нашей инфраструктуры легитимными, чтобы события по ним не отправлялись на интегрированные системы (Рисунок 9).
![Рисунок 9. Настройки: Исключения Рисунок 9. Настройки: Исключения](https://habrastorage.org/getpro/habr/upload_files/02e/d15/874/02ed15874e95838f7af5cc2e0c297037.png)
Роли
В разделе Роли мы можем добавить пользователей, для которых хотим предоставить доступ к Xello. В случае уже настроенной интеграции с DC аутентификация пользователей будет происходить через единое окно (SSO). Как и во многих системах, здесь есть роли, которые можно назначить для пользователей: Администратор, Аналитик, Наблюдатель (Рисунок 10).
![Рисунок 10. Настройки: Роли Рисунок 10. Настройки: Роли](https://habrastorage.org/getpro/habr/upload_files/15e/e11/cf3/15ee11cf3352fe21c2b3e91927c83789.png)
Распространение
Ух, здесь мы можем разгуляться. В данном разделе мы указываем механизм распространения и количество параллельных распространений. Например, на скрине ниже мы видим, что в качестве механизма распространения у нас выбран psexec. В данном случае файл psexec.exe необходимо загрузить на сам сателлит (Рисунок 11).
![Рисунок 11. Распространение: Основные Рисунок 11. Распространение: Основные](https://habrastorage.org/getpro/habr/upload_files/058/f90/5b3/058f905b3b8ccb94baad6976f767859c.png)
Помимо PsExec в Xello имеются и другие механизмы распространения, такие как:
PaExec;
WinRm;
SCCM;
Сторонний механизм. Это может быть как антивирусное ПО (например, KSC), так и GPO.
При знакомстве с данной системой рекомендую сначала протестировать распространение на своей тестовой машине, скачав соответствующий скрипт и запустив его с правами администратора.
Для упрощения можно настроить распространение по расписанию, указав все необходимые параметры, которые нас интересуют (Рисунок 12).
![Рисунок 12. Распространение: По расписание Рисунок 12. Распространение: По расписание](https://habrastorage.org/getpro/habr/upload_files/513/1f6/d7e/5131f6d7e03d326acac0c111b302d2a2.png)
Общие
В данном разделе собраны общие настройки, где мы можем оставить стандартные настройки либо настроить их в зависимости от наших предпочтений и инфраструктуры (Рисунок 13, 14, 15, 16).
![Рисунок 13. Общие: Обработка инцидентов Рисунок 13. Общие: Обработка инцидентов](https://habrastorage.org/getpro/habr/upload_files/56f/b10/8eb/56fb108eb34384bd347667e0e07ac949.png)
![Рисунок 14. Общие: Журналирование Рисунок 14. Общие: Журналирование](https://habrastorage.org/getpro/habr/upload_files/81c/597/66e/81c59766e84e6baea1980316e18500a9.png)
![Рисунок 15. Общие: Сброс Рисунок 15. Общие: Сброс](https://habrastorage.org/getpro/habr/upload_files/d0e/6ee/374/d0e6ee374cf60d528d5ed4dbad344768.png)
![Рисунок 16. Общие: Другое Рисунок 16. Общие: Другое](https://habrastorage.org/getpro/habr/upload_files/d25/9f6/2f9/d259f62f98b33dc4ed83cf80d20c3cb7.png)
Ловись, рыбка, большая и маленькая: как расставить приманки и ловушки чтобы улов был хорошим?
![](https://habrastorage.org/getpro/habr/upload_files/3bc/981/80a/3bc98180ab6cd6d6dcfa5079d4dd49e2.png)
Рекомендую начать с малого: не пытайтесь сразу же защитить всю инфраструктуру. На начальном этапе достаточно небольшого количества обманок в самых критичных зонах с постепенным их расширением.
В Xello Deception ловушки делятся на три типа:
1. RealOS Traps — ловушки с различными сервисами, службами и сетевыми протоколами на реальной операционной системе (Рисунок 17).
![Рисунок 17. Ловушки: RealOS Рисунок 17. Ловушки: RealOS](https://habrastorage.org/getpro/habr/upload_files/9f7/01d/52d/9f701d52daa8a877a9923b23fc409819.png)
При установке RealOS-ловушки необходимо убедиться в том, что все индикаторы горят зеленым цветом. Если вы видите красный индикатор (Рисунок 18), рекомендую перепроверить настройки в соответствие с документацией системы (Инструкция по поиску и устранению неисправностей).
![Рисунок 18. Ловушки: RealOS (Индикаторы) Рисунок 18. Ловушки: RealOS (Индикаторы)](https://habrastorage.org/getpro/habr/upload_files/64a/6e4/f81/64a6e4f815573b7cac66e4ab77421e1a.png)
Каждую ловушку мы можем настроить как душе угодно, начиная с используемых протоколов и заканчивания закладыванием ложных веб-сервисов (Рисунок 19, 20, 21, 22).
![Рисунок 19. RealOS (Протоколы) Рисунок 19. RealOS (Протоколы)](https://habrastorage.org/getpro/habr/upload_files/f44/efd/61d/f44efd61d6de3e4ffb7e8979370219f1.png)
![Рисунок 20. RealOS (папки общего доступа) Рисунок 20. RealOS (папки общего доступа)](https://habrastorage.org/getpro/habr/upload_files/aad/c98/e5b/aadc98e5b5a1c66b2245d15c40a536ff.png)
![Рисунок 21. RealOS (Автоматизация протоколов) Рисунок 21. RealOS (Автоматизация протоколов)](https://habrastorage.org/getpro/habr/upload_files/974/e98/542/974e98542399a74ead7e0a27ce03e0c0.png)
![Рисунок 22. RealOS (Веб-сервис) Рисунок 22. RealOS (Веб-сервис)](https://habrastorage.org/getpro/habr/upload_files/eb5/32c/d88/eb532cd88475f9b8afefc4c8866cea41.png)
2. Decoy Traps — гибридные ловушки с сервисами, эмулирующими различные службы и сетевые протоколы, или по-простому – эмулируемые ловушки.
После установки эмулируемой ловушки и произведенных интеграций, ловушка отобразится во вкладке Гипервизоры (Рисунок 23).
В зависимости от состояния доступности ее цветовой индикатор может иметь следующие значения:
зеленый — сервер ловушек доступен;
желтый — сервер ловушек не отправил запрос на проверку состояния;
красный — сервер ловушек недоступен.
![Рисунок 23. Decoys: Гипервизоры Рисунок 23. Decoys: Гипервизоры](https://habrastorage.org/getpro/habr/upload_files/ff8/f59/4cf/ff8f594cf4682434fe3485bb5aff9ed1.png)
Нажав на i, мы увидим информацию по гипервизору, нажав на ... выполнить операции, приведенные на рисунке ниже (Рисунок 24):
![Рисунок 24. Decoys: Гипервизоры (info) Рисунок 24. Decoys: Гипервизоры (info)](https://habrastorage.org/getpro/habr/upload_files/666/b35/607/666b356078ff1fd5ac86954dcb15d384.png)
На вкладке Устройства мы можем создать одиночное устройство, нажав на соответствующую активную кнопку (Рисунок 25).
![Рисунок 25. Decoys: Устройства Рисунок 25. Decoys: Устройства](https://habrastorage.org/getpro/habr/upload_files/83d/0a6/279/83d0a6279e345b5ee173c84c96cd6752.png)
После создания устройства не забываем перевести ее в статус Active (Рисунок 26).
![Рисунок 26. Decoys: Устройства (Active) Рисунок 26. Decoys: Устройства (Active)](https://habrastorage.org/getpro/habr/upload_files/937/626/ab5/937626ab59712a071354a4e8782807d2.png)
Сервер управления Xello Deception поддерживает интеграцию с несколькими серверами эмулируемых ловушек (Decoy Traps). Максимальное количество таких серверов, которые могут быть интегрированы в рамках одной инсталляции, – 200.
MITM-агенты — ловушки, позволяющие выявлять атаки типа «человек посередине» (Man-in-the-Middle). Есть возможность конфигурировать следующие типы (Рисунок 27):
a. LLMNR — ловушка LLMNR (Link-Local Multicast Name Resolution), используемая для обнаружения и анализа атак на протокол LLMNR в сетях;
b. NBT-NS — ловушка NBT-NS (NetBIOS Name Service), используемая для обнаружения и анализа атак на протокол NBT-NS, который используется для разрешения NetBIOS имен в IP-адреса;
c. mDNS — ловушка mDNS (Multicast DNS), используемая для обнаружения и анализа атак на протокол mDNS, который используется для разрешения имен устройств в IP-адреса в локальных сетях.
![Рисунок 27. MITM-агенты Рисунок 27. MITM-агенты](https://habrastorage.org/getpro/habr/upload_files/42a/d1e/8f5/42ad1e8f547057e17960889448a5635f.png)
Для каждой ловушки можно выбрать на каком сетевом интерфейсе запускать MITM-агенты (Рисунок 28).
![Рисунок 28. MITM-агенты (Интерфейс) Рисунок 28. MITM-агенты (Интерфейс)](https://habrastorage.org/getpro/habr/upload_files/eed/031/be2/eed031be2ea7962494ef384b6696e906.png)
Приманки
После интеграции с AD Xello Deception сам генерирует начальный набор приманок, но их рекомендую сделать более реалистичными: внести свои, придерживаясь стандарта наименования УЗ в вашей инфраструктуре, а также сгенерировать для них более сложные пароли (Рисунок 29).
![Рисунок 29. Приманки: Аккаунты Рисунок 29. Приманки: Аккаунты](https://habrastorage.org/getpro/habr/upload_files/2d2/23e/b9f/2d223eb9f88e608f48544a2454b137e7.png)
Собственные приманки можно загрузить в разделе Приманки -> Аккаунты -> Настройки (Рисунок 30):
![Рисунок 30. Аккаунты: Настройки Рисунок 30. Аккаунты: Настройки](https://habrastorage.org/getpro/habr/upload_files/068/74b/629/06874b629453b45ef28a67eb12ac56f2.png)
Dexem — особый вид приманок, который создается на основе реальных объектов AD. В качестве основы для генерации используется группа привилегированных пользователей AD (например, группа Domain Admins). В основном целью злоумышленников является получение именно этих учетных данных.
Скрипт для создания Dexem-приманок генерируется автоматически под вашу инфраструктуру, но его можно скорректировать (Рисунок 31).
С Dexem-приманками рекомендую быть очень осторожными и следить за их активностью не только в Xello Deception, но и дополнительно в других системах.
![Рисунок 31. Аккаунты: Скрипты Рисунок 31. Аккаунты: Скрипты](https://habrastorage.org/getpro/habr/upload_files/9cb/603/927/9cb6039277fc54b71132206d6a628c25.png)
Политики
Политики позволяют объединять наборы защищаемых хостов в группы и настраивать для них правила защиты. По умолчанию создается политика с названием DEFAULT.
В политику добавляются:
1. Учетные данные приманок. Во вкладке добавляются сгенерированные приманки через кнопку Добавить учетные данные. После добавления можно производить поиск по частичному совпадению имени пользователя среди добавленных УЗ (Рисунок 32).
![Рисунок 32. Политики: Учетные данные Рисунок 32. Политики: Учетные данные](https://habrastorage.org/getpro/habr/upload_files/181/0f4/3e9/1810f43e9c142056b11101c03c23b2bb.png)
Цели. Здесь отображаются созданные DNS-цели серверов ловушек. Для добавления необходимо перейти в раздел Приманки → Цели и нажать на Генерировать либо добавить DNS-цель вручную. Подробно про конфигурацию целей описано в документации (Руководство администратора). После добавления можно производить поиск по частичному совпадению имени целей среди добавленных записей (Рисунок 33).
![Рисунок 33. Политики: Цели Рисунок 33. Политики: Цели](https://habrastorage.org/getpro/habr/upload_files/097/1f5/2c2/0971f52c2cb5d748a178a409b0fb2794.png)
Защищаемые группы хостов. Для добавления хостов необходимо нажать на Добавить защищаемые хосты (Рисунок 34).
![Рисунок 34. Политики: Защищаемые хосты Рисунок 34. Политики: Защищаемые хосты](https://habrastorage.org/getpro/habr/upload_files/823/9b2/f3c/8239b2f3c484971d40ed97ea5b74492f.png)
В появившемся справа окне отобразятся режимы загрузки хостов:
Загрузка. Указать домен и загрузить файл. Формат записей: перечисление одного из видов атрибутов через запятую или с новой строки: IP/NetBIOS/FQDN (Рисунок 35).
![Рисунок 35. Режим: Загрузка Рисунок 35. Режим: Загрузка](https://habrastorage.org/getpro/habr/upload_files/2b8/642/27f/2b864227f12104a964357d7a060f8af6.png)
Ручной. В этом режиме можно добавить как доменные, так и недоменные хосты под управлением различных ОС. Чтобы добавить хост, введите имя хоста или IP-адрес в поле Хост, выберете тип ОС и нажмите Добавить (Рисунок 36).
![Рисунок 36. Режим: Ручной Рисунок 36. Режим: Ручной](https://habrastorage.org/getpro/habr/upload_files/244/695/8e6/2446958e675309a5cf84d784751455cd.png)
Дерево. При успешной интеграции и наличии LDAP/LDAPS отобразится дерево каталога. Выбрав DC, вы сможете добавить интересующий хост или группу в политику (Рисунок 37).
![Рисунок 37. Режим: Дерево Рисунок 37. Режим: Дерево](https://habrastorage.org/getpro/habr/upload_files/1ed/aa8/360/1edaa8360ac5468836c6e106d5b58a85.png)
Подсеть. В этом режиме можно просканировать нужную подсеть, после чего найденные хосты добавятся в защищаемые. При обнаружении новых хостов в подсети они будут автоматически добавлены в защищаемые хосты (Рисунок 38).
![Рисунок 38. Режим: Подсеть Рисунок 38. Режим: Подсеть](https://habrastorage.org/getpro/habr/upload_files/3a8/08a/8c4/3a808a8c473da1b2157d586ddd2a91cf.png)
После добавления хосты отобразятся в разделе Политики → Защищаемые хосты и на странице Защищаемые хосты.
Настройка политик
После создания политики её можно изменить, перейдя в раздел Настройки и нажав на рядом с наименованием политики. Во вкладке:
Пользователи — указываются сервисные УЗ, с помощью которых распространяются приманки на защищаемых хостах (Рисунок 39).
![Рисунок 39. Настройки: Пользователи Рисунок 39. Настройки: Пользователи](https://habrastorage.org/getpro/habr/upload_files/40a/50c/f2c/40a50cf2c4dd9412a4c5e50be941084c.png)
Конфигурация. В данной вкладке мы можем задать следующие параметры (Рисунок 40):
a. Тип защищаемых хостов: ENDPOINT, TERMINAL, VDI.
b. Интенсивность распространения: Small, Medium или Large.
c. Количество защищаемых профилей на хосте.
d. Сканирование портов — на доступность хостов по протоколам: SMB, WINRM (HTTP/HTTPS).
e. Тип сканирования сети: NMAP, ICMP или SOCKET. Если у нас тип сканирования NMAP, то необходимо, чтобы на сервере сателлит был установлен Nmap.
f. Сателлит — сервер, через который по данной политике будет происходить распространение приманок.
![Рисунок 40. Настройки: Конфигурация Рисунок 40. Настройки: Конфигурация](https://habrastorage.org/getpro/habr/upload_files/ff7/023/ff5/ff7023ff5b5c4183b661357c3b11abf3.png)
Типы приманок. На данной вкладке выбираем типы приманок (в зависимости от нашей инфраструктуры) для их распространения в выбранной политике. При раскрытии появится возможность более тонко настроить тип (Рисунок 41).
![Рисунок 41. Настройки: Типы приманок Рисунок 41. Настройки: Типы приманок](https://habrastorage.org/getpro/habr/upload_files/735/798/3ec/7357983ec8b988b6d414025d038a3415.png)
На вкладке Настройки ротации приманок можно задать (рисунок 42):
a. Время жизни приманки на хосте. По истечении срока она устаревает и помечается на удаление.
b. Время устаревания профиля с приманками. По истечении этого времени профиль и все приманки, относящиеся к нему, помечаются на удаление.
c. Время жизни профиля с приманками. По истечении этого времени профиль и все приманки, относящиеся к нему, удалятся с сервера управления и с хоста при следующем распространении.
![Рисунок 42. Настройки: Настройки ротации приманок Рисунок 42. Настройки: Настройки ротации приманок](https://habrastorage.org/getpro/habr/upload_files/7da/849/a1c/7da849a1ca56493dd46e140f425308c3.png)
Защищаемы хосты
Добавленные в политики хосты доступны на вкладке Защищаемые хосты (Рисунок 43). В верхней части вкладки Защищаемые хосты отображается панель фильтров. Возможна фильтрация по:
наименованию хоста;
временному промежутку распространения приманок;
статусу распространения;
доступности хоста по определенным протоколам;
домену;
политике;
операционной системе;
количеству распространенных профилей;
количеству распространенных приманок.
![Рисунок 43. Защищаемые хосты Рисунок 43. Защищаемые хосты](https://habrastorage.org/getpro/habr/upload_files/bce/94b/2ec/bce94b2eccdd5d657cbe5242c5d54c5f.png)
С защищаемыми хостами доступны следующие действия:
очистить все хосты от приманок;
распространить приманки на все хосты;
запустить анализ учетных записей (функционал Credential Defender) на всех хостах;
обновить статусы доступности всех хостов.
Для просмотра детальной информации о приманках и перечня протоколов на хосте нужно выбрать хост и нажать на < (Рисунок 44). При необходимости возможна выгрузка информации по всем приманкам просматриваемого хоста в формате JSON.
![Рисунок 44. Защищаемые хосты: Детальная информация Рисунок 44. Защищаемые хосты: Детальная информация](https://habrastorage.org/getpro/habr/upload_files/d0c/877/7fc/d0c8777fc29806781b7dda50d1c1903b.png)
Дашборд
На данной вкладке мы видим всеми нами любимые графики (Рисунок 45)
![Рисунок 45. Дашборд Рисунок 45. Дашборд](https://habrastorage.org/getpro/habr/upload_files/24a/747/7df/24a7477df2ba9da368aa7ea9eb144605.png)
Инциденты
Во разделе Инциденты отображается информация об инцидентах в течение всего времени эксплуатации системы (Рисунок 46). Также доступен функционал фильтрации инцидентов по:
временному промежутку;
IP или имени исходного хоста;
триггеру — протоколу, с которым было взаимодействие;
статусу;
источнику события;
имени пользователя;
комментарию.
Закрытые инциденты не отображаются по умолчанию (Рисунок 47).
![Рисунок 46. Инциденты Рисунок 46. Инциденты](https://habrastorage.org/getpro/habr/upload_files/152/9c2/771/1529c2771e83ecb7a03046b0366d4d64.png)
![Рисунок 47. Инциденты (статус) Рисунок 47. Инциденты (статус)](https://habrastorage.org/getpro/habr/upload_files/405/85c/1d3/40585c1d307525d313123dd669839707.png)
При проваливании в инцидент появляется:
подробная информация, которую можно скачать, нажав на соответствующую кнопку;
возможность удаления;
возможность добавления комментариев к инциденту, а также смены статуса и пометки инцидента.
В блоке Стадии атаки отображаются тактики и техники по матрице MITRE ATT&CK, которые в рамках данного инцидента были использованы злоумышленниками (Рисунок 48).
![Рисунок 48. Инциденты: Детальная информация Рисунок 48. Инциденты: Детальная информация](https://habrastorage.org/getpro/habr/upload_files/46f/e5b/4fd/46fe5b4fd388f3d0eb848162184f3041.png)
При нажатии на стрелку рядом с УЗ откроется окно Информация о событии и пользователе (Рисунок 49).
![Рисунок 49. Инциденты: Детальная информация (Информация о событии и пользователе) Рисунок 49. Инциденты: Детальная информация (Информация о событии и пользователе)](https://habrastorage.org/getpro/habr/upload_files/4eb/b92/169/4ebb92169fb27167245f9bc0df201a84.png)
Как мы ловили злоумышленников?
Xello Deception мы поднимали в инфраструктуре Цифрового двойника, выставленного в рамках PHD. Это позволило нам оперативнее обнаруживать хакеров в связке с SIEM-системой.
При интеграции с SIEM-системой необходимо нормализовать события и написать правила корреляции. Примеры:
псевдокод правила для выявления инцидентов, связанных с использованием хакерами приманок на хостах:
{Correlation Event}:
{AND}
-> deviceVendor = xello
-> deviceProduct = deception
-> name = incident
-> user != null
-> user in [deception_users]
{Aggregation}:
{AND}
-> Count = 1
-> Time = 1 min
-> Identity = Device Host Name
где deception_users — УЗ, созданные в качестве приманки.
псевдокод правила для выявления инцидентов, связанных с Dexem-приманками, которые имеют SPN-запись:
{Correlation Event}
{AND}
-> Device = Windows
- {OR}
- {AND}
-> Event ID = 4769
-> Status = 0x0
-> ServiceName in [SPN_users]
- {AND}
-> Event ID = 4768
-> Status = 0x0
-> PreAuthType = 2
-> ServiceName in [SPN_users]
{Aggregation}
{AND}
-> Count = 1
-> Time = 1 min
-> Unique = IpAddress
где SPN_users — сервисные УЗ, созданные в качестве ловушки для выявления нелегитимных запросов билета Kerberos Service — TGS/TGT.
После настройки серверов-ловушек, расставления приманок и создания правил корреляции в SIEM нам оставалось только наблюдать, когда жертва «попадет в сети».
Атакующие пытались зайти как на серверы-ловушек, так и использовать приманки, обнаруженные на хостах VDI (Рисунок 50):
![Рисунок 50. Xello Deception: использование приманок атакующими Рисунок 50. Xello Deception: использование приманок атакующими](https://habrastorage.org/getpro/habr/upload_files/2d6/346/cc3/2d6346cc36791e0e52f596f8266e6ec7.png)
Также фиксировались сканы на RealOS-ловушках c хостов атакующих (Рисунок 51).
![Рисунок 51. Xello Deception: сканы на RealOS Traps Рисунок 51. Xello Deception: сканы на RealOS Traps](https://habrastorage.org/getpro/habr/upload_files/cb3/7f4/ef3/cb37f4ef358c667b1d3b00bc215eddaa.png)
Заключение
В заключение хочу сказать: трудозатраты на внедрение Xello Deception небольшие, но при этом значительно ускоряется процесс обнаружения злоумышленников в инфраструктуре. Решение позволяет поймать их на начальных стадиях атаки и получать информацию о тактиках и техниках для дальнейшего улучшения кибербезопасности в инфраструктуре. Для нас это очень актуально, ведь Innostage сейчас проводит программу открытых кибериспытаний. Мы находимся под постоянным прессингом со стороны белых хакеров. Так что наш опыт с Xello стал в разы интереснее.