허니팟 계정
허니팟 계정은 미끼 계정이며 Active Directory를 통해 네트워크를 침해하려 하는 공격자를 탐지하는 것이 이 계정의 유일한 목적입니다.
Tenable Identity Exposure의 공격 지표가 Kerberoasting 악용 시도를 탐지하려면 이 계정이 전제 조건입니다. 이 공격은 서비스 티켓을 요청 및 탈취한 다음 해당 서비스 계정의 자격 증명을 오프라인으로 크래킹하여 서비스 계정에 대한 액세스를 얻으려고 합니다. Kerberoasting 공격 지표는 허니팟 계정에 로그인 시도 또는 티켓 요청이 수신되면 알림을 보냅니다.
도메인당 하나의 허니팟 계정을 연결합니다. 허니팟 계정은 보안 프로필과 관련이 없습니다.
-
Tenable Identity Exposure에서 시스템 > 도메인 관리를 클릭합니다.
도메인 관리 창이 표시됩니다.
-
허니팟 계정을 추가하려는 도메인을 가리킵니다.
-
허니팟 계정 구성 상태 아래에서 +를 클릭합니다.
허니팟 계정 추가 창이 표시됩니다.
-
이름 상자에 허니팟 계정으로 사용할 사용자 계정의 고유 이름(DN)을 입력합니다.
팁: 임의의 문자열을 입력하면 Tenable Identity Exposure에서 검색을 실시하여 해당 사용자 계정이 Active Directory에 있는 경우 일치하는 사용자 계정 이름을 드롭다운 상자에 표시합니다.
-
배포 섹션에 Tenable Identity Exposure에서 허니팟 계정을 배포하기 위해 실행할 적절한 설정을 포함한 스크립트를 생성합니다. 를 클릭하여 이 스크립트를 복사합니다.
-
추가를 클릭합니다.
메시지가 표시되어 Tenable Identity Exposure에서 허니팟 계정을 추가했다고 확인합니다. 도메인 관리 창에서 선택한 도메인의 허니팟 계정 구성 상태가 주황색()으로 표시되어 활성화하려면 허니팟 계정 배포 스크립트를 실행해야 한다고 알려줍니다.
참고: 허니팟 계정 구성 상태가 빨간색()으로 표시되는 경우, Tenable Identity Exposure에서 Active Directory에서 이 사용자 계정을 찾을 수 없음을 나타냅니다. 이 사용자 계정부터 만들고 다음 단계로 계속 진행해야 합니다.
-
Active Directory 모듈을 포함한 시스템의 Windows PowerShell에서 복사한 허니팟 계정 배포 스크립트를 실행합니다.
도메인 관리 창에 선택한 허니팟 계정 구성 상태가 녹색 상태()로 표시되어 활성 상태임을 나타냅니다.
참고: Tenable Identity Exposure에서 허니팟 계정을 처리하고 활성화하는 데 시간이 걸릴 수 있습니다.
-
Tenable Identity Exposure에서 시스템 > 도메인 관리를 클릭합니다.
도메인 관리 창이 표시됩니다.
-
허니팟 계정을 추가하려는 도메인을 가리킵니다.
-
허니팟 계정 구성 상태 아래에서 오른쪽에 있는 아이콘을 클릭합니다.
허니팟 계정 편집 창이 표시됩니다.
-
이름 상자에서 필요에 따라 사용자 계정을 수정합니다.
-
배포 섹션에서 를 클릭하여 허니팟 계정 배포 스크립트를 복사합니다.
-
편집을 클릭합니다.
메시지가 표시되어 Tenable Identity Exposure에서 허니팟 계정을 업데이트했다고 확인합니다. 도메인 관리 창에서 선택한 도메인의 허니팟 계정 구성 상태가 주황색()으로 표시되어 활성화하려면 허니팟 계정 배포 스크립트를 실행해야 한다고 알려줍니다.
참고: 허니팟 계정 구성 상태가 빨간색()으로 표시되는 경우, Tenable Identity Exposure에서 Active Directory에서 이 사용자 계정을 찾을 수 없음을 나타냅니다. 이 사용자 계정부터 만들고 다음 단계로 계속 진행해야 합니다.
-
Active Directory 모듈을 포함한 시스템의 Windows PowerShell에서 복사한 허니팟 계정 배포 스크립트를 실행합니다.
도메인 관리 창에 선택한 허니팟 계정 구성 상태가 녹색 상태()로 표시되어 구성된 상태임을 나타냅니다.
참고: Tenable Identity Exposure에서 허니팟 계정을 처리하고 활성화하는 데 시간이 걸릴 수 있습니다.
-
Tenable Identity Exposure에서 시스템 > 도메인 관리를 클릭합니다.
도메인 관리 창이 표시됩니다.
-
허니팟 계정을 추가하려는 도메인을 가리킵니다.
-
허니팟 계정 구성 상태 아래에서 오른쪽에 있는 아이콘을 클릭합니다.
허니팟 계정 편집 창이 표시됩니다.
-
삭제를 클릭합니다.
메시지가 표시되어 Tenable Identity Exposure에서 허니팟 계정을 삭제했다고 확인합니다.
참고 항목