LogonTracer:可视化事件日志识别被攻击账户

事故日志阐发是安然事故查询造访中极其紧张的一环。假如收集由Active Directory治理(以下称为AD),则可以经由过程阐发AD事故日志来识别。对付此类查询造访,直接在AD事故查看器中进行具体阐发十分的艰苦; 常见的措施是将日志导出为文本款式或将其导入SIEM /日志治理系统。然则,因为事故日志的数量、体积可能很大年夜,导入光阴受限于情况,这对阐发师来说可能是一个难题。

JPCERT开拓并宣布了一个支持此类事故日志阐发的对象“LogonTracer”。本文先容了它的事情道理以及若何应用。

事故日志可视化

LogonTracer将登录相关事故中的主机名(或IP地址)和帐户名关联起来,并将其可视化。这样,就可以看到哪个帐户考试测验登岸以及登岸哪个主机。下图是LogonTracer创建的可视化图表,显示了一些IP地址和帐户的关系。

对付每个节点,链接到主机(绿点)并带有一行账户信息(红/蓝)表示已应用主机登岸。

血色:SYSTEM权限帐户

蓝色:标准用户帐户

绿色:主机/ IP地址

纵然对付一个没有具体懂得过事故日志的新手,这种可视化也使日志阐发变得简单。

提取更多紧张帐户和主机

除了事故日志可视化之外,LogonTracer还能够经由过程排名显示可能的杠杆帐户/主机。图2是帐户和主机的紧张性等级的示例。

对付此排名,LogonTracer会对事故日志图履行收集阐发,并根据每个节点的“中间性”创建排名。中间性是唆使每个节点与收集中间的靠近度的索引。为了谋略中间性,利用了PageRank 算法。在该算法中,与许多其他节点连接的节点位于图的中间,是以具有更高的中间性。

因为被进击帐户用于对许多主机履行登录考试测验,是以它们每每具有更高的中间性。是以,经由过程对照中间性,可以识别可能受影响的帐户/主机。

事故日志的光阴顺序显示

应用LogonTracer,还可以按光阴顺序显示事故日志。图3显示了光阴序列中每个帐户的事故日志数。

经由过程反省一段光阴内的日志数量,可以发明在短光阴内或事情光阴之外的未经授权的登录考试测验。

事故日志的急剧增添会自动凸起显示。为了检测非常登岸的计数增添,非常检测模式主要利用了变换查找器(详情可查看 http://ieeexplore.ieee.org/document/1599387/)。

若何安装LogonTracer

该对象可以在GitHub上找到。您可以从以下网页下载:

JPCERTCC GitHub – LogonTracer

https://github.com/JPCERTCC/LogonTracer

以下是有关若何应用LogonTracer的阐明。该对象在Linux情况中进行了测试。

1. 获取并安装Neo4j社区版

从以下网站下载Neo4j社区版并安装:

Other Neo4j Releases

2. 下载LogonTracer

从以下网页下载并将其支配在一个文件夹中。

https://github.com/JPCERTCC/LogonTracer

3. 安装Neo4j JavaScript驱动法度榜样

在LogonTracer的静态文件夹中安装Neo4j JavaScript驱动法度榜样。

$ cd LogonTracer/static

$ npm install neo4j-driver

4. 安装Python模块

为LogonTracer安装Python模块

$ pip install -r requirements.txt

*假如statsmodels安装掉败,请先安装numpy。

5. 运行Neo4j

经由过程GUI或敕令行启动Neo4j。

若何应用LogonTracer

应用以下选项启动LogonTracer:

“`

$ python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP Address]

“`

– -r:启动Web办事器

– -o:Web办事器运行的端口号(例如:8080)

– -u:Neo4j用户名(默觉得“neo4j”)

– -p:Neo4j密码

– -s:Web办事器运行的地址(例如:localhost)

下面是履行LogonTracer的示例。

要造访Web界面,请从浏览器转到以下URL。(在此情况中,LogonTracer安装在本地情况中并在端口8080上运行)。

*要导入日志,您可以上传EVTX款式。

若何应用Docker镜像

Docker Hub上供给了LogOnTracer的Docker镜像。

https://hub.docker.com/r/jpcertcc/docker-logontracer/

假如应用Docker,可以经由过程以下敕令启动映像:

$ docker run \

–detach \

–publish=7474:7474 –publish=7687:7687 –publish=8080:8080 \

-e LTHOSTNAME=[IP Address] \

jpcertcc/docker-logontracer

LogonTracer可以阐发的事故日志和留意事变

钻研注解,监控以下事故对付查询造访未经授权的登录是有效的。基于此,LogonTracer还可以显示以下事故ID以进行可视化:

事故ID 4624:登录成功

事故ID 4625:登录掉败

[1] [2]下一页

事故ID 4768:Kerberos身份验证(TGT哀求)

事故ID 4769:Kerberos身份验证(ST哀求)

事故ID 4776:NTLM身份验证

事故ID 4672:权限分配

因为并非所有上述事故ID都应用默认设置进行记录,是以必要启用审核策略以保留此类日志。我们建议启用审核策略。有关设置设置设备摆设摆设的具体阐明,请参阅LogonTracer的“自述文件”,也可在GitHub上找到。

结语

虽然事故日志阐发在事故查询造访中至关紧张,但假如您不知道要阐发什么以及从何处开始,则可能是一个耗时的历程。此对象经由过程可视化帐户和主机之间的关系供给简单的事故日志阐发。我们盼望您考试测验应用此对象来筹备实际事故查询造访。

我们将尽快更新有关若何应用此对象进行实际阐发的更多信息。

感谢你的涉猎。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包