FortiDeceptor, 首先，它是一款基于蜜罐技术的模拟仿真环境解决方案，也称为蜜罐产品。

FortiDeceptor可以模拟OT网络SCADA/ICS中的资产，例如西门子S7、罗克韦尔ENIP、施耐德TRICONEX等；IoT设备的模拟，例如Cisco路由器、IP摄像头、打印机以及UPS等，以及医疗物联网的IoT资产与服务。

它还可以通过模拟 Windows 和 Linux 客户端和服务器广泛覆盖企业及组织机构的 IT 部分。除了设备本身之外，FortiDeceptor 还支持各种应用程序和服务的模拟，例如 ERP包括SAP、POS、虚拟专用网络 (VPN)、SMB、FTP、Web 服务器、数据库等。

FortiDeceptor通过蜜罐技术构建虚拟仿真环境，诱导攻击者混淆真实目标的攻击，从而暴露其行为和踪迹，使攻击远离真正的关键及敏感资产。

采用可用 IP 地址经 FortiDeceptor 控制台部署和运行诱饵。由于诱饵利用不同网段中未使用的 IP 地址，不对应于网络上的任何真实主机或设备，因此不影响网络可用性，而在攻击者看来，这些IP地址“货真价实”。FortiDeceptor 平台由多个蜜罐诱饵组件共同构成一个高度仿真且可扩展的“诱饵”资产层，这些资产与您网络中的其他资产看似完全相同。这些诱饵即虚假资产，如工业控制系统、医疗设备、ATM机、POS 设备、物联网设备、网络基础设施等，均基于真实的操作系统和服务，并生成有限的虚假流量以引诱攻击者攻击诱饵，使其远离真正的敏感资产。

为进一步扩展仿真事件，FortiDeceptor 将诱饵（或令牌）放置于真实的终端和服务器上。这些诱饵可以是伪造的文档、文件或虚假凭据，以诱导攻击者利用其进行横向移动或数据加密。诱饵看似与真实文件和凭据无异，目的是引导攻击者或恶意软件横向移动至陷阱系统。FortiDeceptor 可即刻检测到任何使用虚假凭据的行为，并生成可操作告警，同时使用内置的终端隔离功能或安全编排、自动化和响应Playbook 自动隔离终端。

除了FortiDeceptor自带的海量“诱饵”，用户还可以自带“诱饵”上传专属的镜像文件。

其次，FortiDeceptor是一款可提供主动性防御的安全产品。

FortiDeceptor 目前可以提供漏洞爆发防御的功能。也就是说，当 FortiGuard实验室-威胁情报中心，FortiDeceptor会自动将该漏洞作为“爆发诱饵”的源头进行主动释放并推送，以将攻击者重定向到虚假资产并在杀伤链的早期隔离攻击。此外，还可以与SOAR类产品相集成，在其playbook自动启动“诱导”资产的创建和有策略的部署，收集详细情报同时阻断可疑活动。FortiDeceptor 现在还提供了一个新的威胁情报交换功能，允许 FortiDeceptor 用户匿名交换有关最新攻击的有价值的威胁情报，并采取主动措施避免违规。

最后，它还是一款整合了SOC能力，可大力提升安全运营效率的产品。

在FortiDeceptor作为蜜罐产品的介绍段落中，我们有谈到它可以实时检测虚假凭据的行为，并生成让安全人员可以便捷操作的告警，同时启动内置的终端隔离或安全编排、自动化和响应隔离终端。

我们这里进一步要说到的是，FortiDeceptor的有效SOC能力是基于其丰富的、高确定性的、具有可操作性的威胁情报，在这个基础上使用不同的取证引擎来验证恶意活动，帮助安全运维团队在取证、调查、监控、验证、拦截的整条通路上实现安全运营的自动化。

FortiDeceptor不仅可与Fortinet的安全产品，例如FortiGate防火墙、FortiAnalyzer日志分析、FortiEDR终端监测与响应、FortiSIEM安全信息与事件管理、FortiSOAR安全编排与自动化响应、FortiSandbox沙盒多款产品协同与联动构成威胁早期检测发现例如勒索软件、横向传播阻断、主动且自动化防御的完整闭环；同时基于API可与第三方产品达成主动防御体系的构建。

例如在今年的护网活动中，FortiDeceptor作为主动安全不可或缺的一环，与Fortinet其他安全产品协同，协助自动化驾驶开发的客户在磐石行动中获得了零扣分的优异成绩。

在主动性安全防御这一方面，FortiDeceptor通过在公网端口部署“诱饵”，促发了上千次安全事件，其中严重级占比10.9%；同时将攻击日志同步到日志分析平台FortiAnalyzer执行Playbook调出攻击者IP在FortiGate防火墙中进行拦截，同时邮件告警。