В систему HoneyCorn встроен достаточно мощный блок сбора, аналитики и распространения данных о методах и способах попыток проникновения злоумышленника в инфраструктуру компании.
Ловушки и приманки реализованы таким образом, что злоумышленник вынужден с ними взаимодействовать на всех этапах взлома в каждом сегменте сети. При взаимодействии хакера с ловушкой продукт HoneyCorn собирает различные данные, которые мы можем использовать для повышения эффективности работы системы защиты и блокировок злоумышленника:
-
IP атакующего;
-
Скомпрометированный URL;
-
Скомпрометированная учётная запись;
-
Используемые техники атак;
-
Используемые для перебора паролей;
-
Данные о нагрузках (сэмплы, хэши, вердикты, yara-правила);
-
Данные о фишинговых рассылках (почты, темы, содержание) и другие.
Эти данные система использует для оповещений службы ИБ, автоматических блокировок через встроенную IRP-систему и для распространения в виде IOC и правил реагирования по классическим системам защиты (SIEM, SOAR, МЭ, антиспам, антивирус и т.д.).
Основные методы распространения и реагирования реализованы и не требуют дополнительных интеграций. Если интеграции требуются, то пользователь системы может реализовать их самостоятельно, используя классические методы.