T-Pot構築にあたり、参考にさせていただいたサイトが2つあります。①[ハニーポッター入門]LightSailに TPot(HoneyPot)を設置と、②Amazon Lightsail でハニーポット (T-Pot 20.06) を構築になります。
①を抜粋させていただくと、環境はLightSailの$80の月額上限プラン : Linux debian 10(buster)にT-Pot(20.06)とあります。概要では「T-potとは数種類のHoneyPotがセットになったツールであり、画面から収集したデータをグラフで視覚的に確認できる」とあります。
代表的なハニーポットとして、Dionaeaをあげています。ハエトリグサという意味とのことです。提供サービスはSMP、HTTP、HTTPS、FTP、TFTP、MSSQL、MySQL、SIPとあり、馴染みのあるものだと思いました。
可視化ツールは、elastic stack というセットがT-Potインストール時に自動でインストールされます。logstash(ログデータの収集)、elascit(収集したログの蓄積や検索)、kibana(ログの管理、可視化)の3つで構成されており、頭文字をとってELKと呼ぶようです。
T-Potのアーキテクチャは、図で書くと分かりやすいですが、一旦文字で記述します。
——————————————-
Dionaea等ハニーポット、ELK
——————————————-
Docker Engine
——————————————-
Linux OS(debian)
——————————————-
AWS
——————————————-
次に攻撃者からの流れです。
攻撃者 -> Dionaea等ハニーポット -> /data/dianaea等 -> ELK(logstash -> elasticsearch -> kibana)