Honeypot

Un honeypot est un actif de tromperie qui imite un serveur, une application ou une donnée réelle, de sorte que toute interaction avec lui est par définition suspecte. Les honeypots à faible interaction émulent un nombre limité de services pour détecter les scans et les logiciels malveillants courants, tandis que ceux à forte interaction exécutent des systèmes d'exploitation complets pour capturer des techniques avancées. Les défenseurs exploitent la télémétrie collectée pour en tirer des indicateurs de compromission, étudier les TTP et alimenter l'ingénierie de détection. Le honeypot doit être isolé du réseau de production pour ne pas devenir un point de rebond, et ses résultats sont en général transmis à un SIEM ou à une plateforme de threat intelligence.