WatchAD介绍
WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。
项目地址:WatchAD
git clone https://github.com/0Kee-Team/WatchAD.git
如果提示没有git命令, 请安装git:yum install git
pip3 install -r requirements.txt
docker-compose up
,前提是前边的docker和docker-compos都正确安装了。
注意: 执行这步时,需要先到https://hub.docker.com/ 平台注册账号,然后在服务器上执行docker login
,然后输入你注册激活过的账号密码 否则直接操作,会报错:ERROR: unauthorized: authentication required
,而且登录过后的下载速度,也明显加快了,不知道为什么docker-compose up
,把基础数据库环境运行起来,好观察输入日志。如果后期服务稳定了,可以执行docker-compose up -d
后台运行。
WatchAD使用python将一些配置信息自动化完成:
Usage: WatchAD.py <options> [settings] Options: -h, --help show this help message and exit --install 执行WatchAD初始化安装,在此之前请确保已完整环境安装和配置。 -d DOMAIN, --domain=DOMAIN AD服务器的域名 A FQDN domain name of detection. -s SERVER, --ldap-server=SERVER 服务器地址,如果域名解析了,可以域名 Server address for LDAP search. e.g: dc01.corp.com -u USERNAME, --domain-user=USERNAME 连接AD的账户,格式:域名\\账户 Username for LDAP search. e.g: CORP\peter -p PASSWORD, --domain-passwd=PASSWORD 管理员密码 Password for LDAP search. --check 检查各个数据库连接状态、消息队列状态 --start 启动检测引擎 --restart 重启检测引擎 --stop 停止引擎 (删除现有消息队列,防止数据量过大造成积压) --status 查看当前引擎状态
直接执行安装命令,如: python3 WatchAD.py --install -d adtest.intra -s 192.168.1.1 -u adtest\\administrator -p password
执行命令:python3 WatchAD.py --start
git clone https://github.com/0Kee-Team/WatchAD-Web.git
修改连接数据库的配置:
把{WatchAD-Web}/server/config/database_config.py
此文件中的127.0.0.1
全改为WatchAD所在的服务器IP。
修改前端页面配置:
把WatchAD-Web/frontend/.env.production
和WatchAD-Web/frontend/.env.development
此文件中的127.0.0.1
改为WatchAD-Web所在服务器的IP。我的WatchAD和WatchAD-Web搭建在一个服务器了,所以IP一样。
进到下载WatchAD-Web目录,执行:docker-compose build
,如果上一步的配置有修改或者代码有变动,需要重新执行此命令,下一步的docker-compose up
才会对修改生效
注意:编译时,报错:
ERROR: Service 'server' failed to build: The command '/bin/sh -c pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple' returned a non-zero code: 2
原因:因为环境中,pip默认指向的是python2.7版的。解决办法:修改{WatchAD-Server}/server/Dockerfile文件中的pip
为pip3
就可以了
执行命令:docker-compose up -d
启动后,就可以访问WatchAD-Web前端页面了,地址:http://服务器ip/activity_timeline.html
参考链接: