Symantec hat 3 Richtlinien erstellt, mit denen Sie eine Art Honey Pod auf Ihren SEP-Clients erstellen können. Die erste dieser Richtlinien mit dem Namen "Deception Deployment - Process Termination.dat" ist eine Host Integrity Richtlinie und erstellt auf den SEP-Clients mit Hilfe eines Skriptes einige Fake-Prozesse, Verzeichnisse, etc. Mit der Application Control Richtlinie werden diese "Täuschkörper" dann überwacht und eine Warnung kann zugestellt werden, wenn Malware versucht zuzugreifen.

Die Deception.zip Datei kann ganz normal bei Symantec Fileconnect heruntergelden und importiert werden. Beim Import der Richtlinien bitte darauf achten, welche DAT-Datei zu welcher SEP-Technologie gehört, sonst gibt es Fehlermeldungen beim Import.

Außerdem muss die Apache Tomcat Konfigurationsdatei "conf.properties" um den Eintrag "scm.deception.enabled=true" erweitert werden, damit die Ereignisse auch protokolliert und berichtet werden. Dadurch gibt es dann einen neuen Eintrag in den Notifications mit dem Namen "Deception Detection", mit dem z. B. ein Email-Alert geschickt werden kann.

Eine PDF-Datei mit weiteren Erklärungen und Anleitung liegt der ZIP-Datei immer bei. Ich nehme an, dass Symantec die Datei des Öfteren aktualisiert und empfehle, die Deception Policies in Verbindung mit den Services von Symantec oder niwis zu verwenden.