======T-Pot======
T-Potとはいくつかの[[https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88|ハニーポット]]が準備されたプラットフォームです。ハニーポットのツールがまとめられていて便利。

=====入手=====
[[https://github.com/dtag-dev-sec/tpotce/releases|GitHub]]からtpot.isoを入手します。

=====システム要件=====
ここの[[https://github.com/dtag-dev-sec/tpotce|System Requirements]]にシステム要件がありますが、注意点はDHCPでIPが取得できること、プロキシなしでインターネットへ接続できることです。
DMZ上にDHCPサーバを用意して、指定MACに固定IPを払い出すということが少し敷居が高いです。

=====インストール=====
インストール時のキャプチャ(19.03)
{{wiki:tpotinst01.png?640}}
{{wiki:tpotinst02.png?640}}
{{wiki:tpotinst03.png?640}}
{{wiki:tpotinst04.png?640}}
{{wiki:tpotinst05.png?640}}
{{wiki:tpotinst06.png?640}}
{{wiki:tpotinst07.png?640}}
{{wiki:tpotinst08.png?640}}
{{wiki:tpotinst09.png?640}}
{{wiki:tpotinst10.png?640}}
{{wiki:tpotinst11.png?640}}
{{wiki:tpotinst12.png?640}}
{{wiki:tpotinst13.png?640}}
{{wiki:tpotinst14.png?640}}
{{wiki:tpotinst15.png?640}}
{{wiki:tpotinst16.png?640}}

=====Webコンソールへのアクセス=====
ブラウザで、httpsを利用してIPアドレス:64297にアクセスします。
ユーザ名とパスワードはインストール時に設定したものを利用します。
{{wiki:tpotweb01.png?640}}

Tpotを見ると全体が表示されます。30分も待てばこんな感じで攻撃が観測できます。
{{wiki:tpotweb02.png?640}}


=====Cowrie=====
CowrieはTelnetとSSHのハニーポット。ポートが開いていればログインを試みることは攻撃の定石。
ダッシュボードでも情報は得られますが、詳細を追うにはログを見ます。
{{wiki:tpotweb02.png?640}}

ログは左側のメニューからDiscoverをクリックします。ここから欲しい情報だけを表示します。
{{wiki:tpotweb04.png?640}}

_type=Cowrieを指定します。
{{wiki:tpotweb05.png?640}}

時刻の左側にある黒い▲のアイコンをクリックして詳細を表示します。messageとsrc_ipのトグルアイコンをクリックして▲を元に戻します。
{{wiki:tpotweb06.png?640}}

どこから何のコマンドを入力されたかは見やすくなります。
{{wiki:tpotweb07.png?640}}