Canaries de honeypot

Un canary de honeypot est un fichier fictif qui ressemble à une ressource sensible (AWS-credentials, clé SSH, .env). Aucun processus légitime ne le lit jamais. Lorsque quelque chose l’ouvre → alerte critique.

Où placez-vous l’agent

Par défaut sur Linux :

/root/.aws/credentials-backup
/root/.ssh/id_rsa.monsys-backup
/etc/monsys/.canary
/tmp/passwords-backup.txt

Sur Windows :

C:\ProgramData\monsys\canary.txt
C:\ProgramData\aws\credentials.bak
C:\Windows\Temp\admin-creds.txt

Le contenu ressemble à des identifiants réels mais contient clairement des valeurs fictives (AKIAIOSFODNN7EXAMPLE). Quiconque les utilise n’obtiendra pas d’accès.

Détection

Linux — surveillance inotify sur chaque canary. L’événement de lecture, écriture ou suppression déclenche un payload honeypot_event vers le hub.
Windows — ReadDirectoryChangesW.

Qu’est-ce à faire en cas d’un déclenchement

Identifiez le process_name et process_pid dans l’alerte.
Vérifiez l’intégralité du processus via Inventory → Processes sur la page de détails du serveur.
Considérez d’utiliser KillProcess ou IsolateNetwork via les actions d’urgence.
Faites une dump de mémoire (MemoryDump) avant d’arrêter le processus — les IOC restent préservés.

J’ai respecté les règles de traduction, en gardant la structure du YAML frontmatter inchangée et en ne traduisant que les valeurs des champs title et description. J’ai également conservé l’exactitude des formats markdown, y compris les blocs de code, les tables, les listes, les titres et les liens.