Conpot连接Splunk

最新推荐文章于 2026-02-24 00:36:23 发布
原创 最新推荐文章于 2026-02-24 00:36:23 发布 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#splunk #conpot
本文介绍如何在Conpot.cfg中配置日志发送到Rsyslog服务器,并通过Splunk进行攻击检测与预警设置。主要内容包括配置Conpot与Rsyslog服务器的连接、调整Splunk的预警级别及Splunk的主要功能。

1. 在conpot.cfg里配置

[syslog]
enabled = True
host = IP # The address of the Rsyslog server


2. Conpot Server 与 Rsylog Server连接

注意:需要配置防火墙:allow UDP:514


3. 用Splunk来识别攻击者使用的工具,可以调节预警级别


4. Splunk是一个托管的日志文件管理工具,主要功能:

日志聚合功能;
搜索功能;
对结果进行分组、联合、拆分和格式化;
可视化功能;
电子邮件提醒功能;
conpot虚拟工控蜜罐日志文件
04-23
这是一个真实搭建的conpot工控蜜罐所捕获的真实异常网络会话,可用于挖掘 Conpot是一个部署在服务端的低交互ICS蜜罐,能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议,使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。为了提高这套蜜罐的欺骗性和迷惑性,开发者同时也提供了一个人机接口来增加这套蜜罐的攻击面。蜜罐的响应时间能够通过相关参数进行调节,由此模拟出当前负载下的响应时间。Conpot对协议栈有着完整的支持,因此它能够接收生产环境中的HMI或是直接拓展的真实硬件。最后要说明的是,Conpot是站在巨人的肩膀上,以Honeynet Project为基础开发的。
Splunk-官方最新文档-中文版
01-15
Splunk-官方最新文档-中文版-非常重要,非常经典的入门教材
工控蜜罐Conpot部署和入门及高级演变
墨痕诉清风的博客
12-20 6074
我大致地翻译了官方的介绍:Conpot是一个部署在服务端的低交互ICS蜜罐,能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议,使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。为了提高这套蜜罐的欺骗性和迷惑性,开发者同时也提供了一个人机接口来增加这套蜜罐的攻击面。蜜罐的响应时间能够通过相关参数进行调节,由此模拟出当前负载下的响应时间。Conpot对协议栈有着完整的支持,因此它能够接收生产环境中的HMI或是直接拓展的真实硬件。
Conpot:一个专注ICS/SCADA安全的蜜罐系统
gitblog_01073的博客
11-06 641
**Conpot** 是一款专为收集有关攻击工业控制系统(ICS/SCADA)的对手动机与方法而设计的开源蜜罐软件。此项目托管在GitHub上,采用广受欢迎且成熟的Python编程语言实现,占比高达99.6%,剩余少量代码涉及其他辅助语言。它的存在旨在提高工业安全领域对抗恶意活动的能力。 ## 核心功能 Conpot的核心亮点在于模拟真实的工业控制环境,能够仿真多种SCADA设备,如PLCs、...
探索ConPot:一款强大的工控系统模拟器
gitblog_00050的博客
04-09 918
是一个开源的工业控制系统(Industrial Control System, ICS)蜜罐系统,它主要用于安全研究人员和企业进行网络防御训练、漏洞检测和威胁情报收集。这个项目由蘑菇安全团队(Mushroom Security)开发并维护,其目标是帮助用户在一个安全可控的环境中理解和应对针对ICS系统的攻击。 ## 技术分析 ### 蜜罐技术 **蜜罐**是一种网络安全防御手段,它模拟真实系...
Docker容器搭建conpot蜜罐
qq_43629220的博客
03-30 1593
可以在下载安装,直接点击“下一步”,安装完成!
Ubuntu 安装工控蜜罐 Conpot
还没想好昵称的新建p的博客
08-27 1922
本文介绍如何下载并安装 Conpot,包括准备环境,安装和运行,以及可能遇到的部分问题的解决方案。 注:如果您要查找如何配置 Conpot,那么这篇文章或许对您帮助不大。
splunk解析数据动作
CheneyChan's Knowledge
04-21 541
在解析数据的时候,splunk会有一系列的动作:
Ubuntu中Docker-compose批量部署conpot
qq_43629220的博客
12-05 194
但是VMware部署conpot占用资源多,Docker容器很好解决了这个问题,下面将介绍如何批量安装conpot,并将多个conpot日志写入同一个mysql中。创建多个conpot容器和一个mysql容器,固定mysql容器的IP。conpot容器的配置文件中,将mysql配置信息中host修改为mysql容器IP。在前面三个文章里面,我们已经安装了conpot,并且实现将日志写入mysql,可以应对Nmap对102端口的扫描。这里暂时不更新,说下思路。
Ubuntu安装conpot蜜罐系列——(2)安装mysql
qq_43629220的博客
12-05 1130
(本文来自CSDN 作者/sun,禁止转载,原文链接(尝试在Ubuntu 22.04上安装暂时没有成功)安装conpot + 日志存入mysql + 数据库GUI + Nmap对蜜罐进行指纹扫描 + 修改蜜罐指纹。
虚拟日志文件剖析(转)
weixin_33834628的博客
01-30 107
虚拟日志文件剖析(转)
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 6978
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
splunk操作手册中文版
02-27
splunk操作手册中文版
使用Splunk(WMI)远程获取服务器日志
04-11
使用Splunk(WMI)远程获取服务器日志
splunk快速入门教程
12-12
splunk快速入门教程
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 2464
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Conpot支持哪些工业协议?Modbus/S7comm/BACnet全面解析
最新发布
gitblog_01001的博客
02-24 1090
Conpot作为一款专业的ICS/SCADA蜜罐工具,能够模拟多种工业控制协议,帮助安全研究者和企业防御工业网络攻击。本文将详细解析Conpot支持的主流工业协议及其应用场景,为工业网络安全防护提供实用参考。 ## 核心工业协议支持清单 Conpot实现了对工业控制系统中最常用的多种协议的模拟,主要包括: ### Modbus协议 Modbus是工业自动化领域应用最广泛的协议之一。Conpo
conpot配置及使用
sploitmaster的博客
09-21 2040
两种方法: .docker+image pyharm+conpot源码 第一种方法: docker pull conpot docker images查都有哪些,创建容器,可以使用ID或NAME,命令如下:「docker run -i -t -p 端口的映射 ID 」 进入容器后,是一个终端,使用命令「conpot -f —template=default」这是默认配置的六种协议蜜罐,也...
工控蜜罐 Conpot 的进阶玩法
liweiminlining的专栏
01-24 2663
本文将分享工控蜜罐Conpot的一些进阶玩法 0×01 引言 & Why Docker 之前在工控蜜罐Conpot的部署和入门指南这篇博客中介绍了 Conpot 的部署和简单配置,但是很多时候我们往往需要部署多个蜜罐形成蜜网,用虚拟机的硬件消耗不太划算,所以说这时候部署在 Docker 上就非常有必要了。我在上一篇博客中已经尝试在一台 32 核 32GB 服务器上部署了150个 Pre...
【学习笔记】《网络安全态势感知》第三章:网络安全数据采集与融合
weixin_43894455的博客
10-06 3620
学习笔记
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值