Honeypot SSH
Simula demonios SSH con credenciales falsas y banners realistas.
Guía de Despliegue de Dispositivos de Deception
Cómo desplegar dispositivos de deception de Cyber Defence como imágenes Docker en entornos internos, en la nube y remotos.
Despliegue de deception de manera segura y eficaz
Los dispositivos de deception de Cyber Defence están diseñados para un despliegue rápido y seguro con una configuración mínima. Entregados como imágenes Docker, se ejecutan en hosts Linux en cualquier entorno con conectividad saliente hacia SOC365.
No es necesario abrir puertos entrantes. Los dispositivos presentan servicios señuelo internamente mientras envían telemetría de forma segura a SOC365 mediante TLS. Esto los hace adecuados para redes altamente segmentadas, ubicaciones remotas, cargas de trabajo en la nube y entornos OT.
Requisitos
Sistema operativo del host: Cualquier distribución moderna de Linux que soporte Docker (Debian, Ubuntu, RHEL, Rocky, Alpine, etc.)
Computación: 1 vCPU, 1GB de RAM (mínimo)
Red: HTTPS saliente hacia el endpoint de ingestión de SOC365; no se requieren puertos entrantes
Almacenamiento: 2–4GB
Privilegios: Motor Docker con permisos para ejecutar contenedores
Descarga de la imagen de deception
Cyber Defence proporciona un registro de contenedores privado. Se emiten credenciales a cada cliente.
Para descargar la imagen:
docker pull registry.cyber-defence.io/deception/device:latest
Comando básico de ejecución
Ejecute un dispositivo de deception con una configuración mínima:
docker run -d \
--name=cd-deception-01 \
-e SENSOR_CODE="TU-CODIGO-DE-SENSOR" \
-e SIEM_ENDPOINT="https://siem.cyber-defence.io/ingest" \
-e AUTH_TOKEN="TOKEN" \
registry.cyber-defence.io/deception/device:latest
Cada despliegue recibe un Código de Sensor y un Token de Autenticación únicos, vinculados a su tenant y entorno.
Módulos
Módulos de deception incluidos
Señuelos SMB/Compartición de archivos
Comparticiones tipo Windows falsas con documentos sintéticos que generan alertas al acceder.
Señuelos HTTP/HTTPS
Portales administrativos falsos, endpoints de API, páginas de login y consolas de gestión.
Señuelos de bases de datos
Interfaces simuladas de MySQL/PostgreSQL/Mongo con respuestas diseñadas.
Señuelos de protocolos OT/ICS
Servicios PLC falsos para capturar enumeración no autorizada de dispositivos.
Trampas de credenciales
Contraseñas, claves de API, tokens y cuentas de servicio falsas colocadas dentro del dispositivo.
Ubicaciones recomendadas de despliegue
• Subredes corporativas internas
• Redes DMZ
• Segmentos OT/ICS
• Clústeres de Kubernetes
• Sitios remotos o embarcaciones
• Enclaves especializados o zonas restringidas
La colocación debe seguir patrones de movimiento del atacante, no del tráfico de usuarios.
Integración con SOC365
Toda la actividad de los dispositivos de deception se envía de forma segura a SOC365. Cada interacción genera alertas de alta confianza y bajo ruido, permitiendo la detección temprana de presencia no autorizada.
La telemetría de deception también se utiliza para:
• perfeccionar la ingeniería de detección
• activar respuestas automáticas de Pulsar
• apoyar investigaciones de IR
• mapear la técnica de adversarios
Los analistas del SOC reciben la transcripción completa de la interacción, metadatos e indicadores de comportamiento para investigación.
¿Necesita ayuda desplegando deception?
Cyber Defence proporciona soporte de ingeniería, revisiones de despliegue y estrategia de colocación para los dispositivos de deception.
Contacte con nuestro equipo de ingeniería SOC365 para asistencia.