Windows ADログ分析プラットフォームWatchADインストールチュートリアル
5907 ワード
[TOC]
WatchADの紹介
WatchADはすべてのドメイン制御上のイベントログとkerberosトラフィックを収集し、特徴マッチング、Kerberosプロトコル分析、履歴行動、敏感な操作、蜜缶アカウントなどの方法で様々な既知と未知の脅威を検出し、機能は現在の一般的なイントラネットドメイン浸透手法の大部分をカバーしている.このプロジェクトは360内部で半年余り運行され、多くの脅威活動を発見し、比較的良い効果を得た.オープンソースシステムにおけるイベントログに基づく検出部を決定する.
プロジェクトアドレス:WatchAD
インストール環境 CentOS 7
WatchADインストール(ログ分析サービス)
インフラストラクチャインストールpython 3.6 ドキュメントの表示:CentOS7.2 Python 3をインストールする.6.3インストールdocker ドキュメントの表示:CentOS Dockerインストールインストールdocker-compose ドキュメントの表示:pip docker-composeのインストール
WatchADのインストールダウンロードWatchADソース python依存パッケージのインストール ダウンロードしたWatchADのディレクトリに進み、インストールデータベース依存 WatchADのディレクトリでは、前のdockerとdocker-composが正しくインストールされていることを前提に
注意:
このステップを実行するには、先に着く必要があります.
https://hub.docker.com/プラットフォームでアカウントを登録し、サーバ上で実行
それ以外の場合、直接操作すると、エラーが発生します.インストールwinlogbeat 4.1 winlogbeatを修正する.ymlファイルは私たちが提供したプロファイル{project_home}/settings/winlogbeat/winlogbeatを開きます.yml、outputを変更します.logstashのhostsフィールドの値は、LogstashをインストールするIPとポート(デフォルト5044)です.LogstashをインストールするIPが10.10.10.10であると仮定すると、プロファイルは次のようになります.
もしあなたが私のチュートリアルにインストールしたら、ここのipはあなたの今のサーバーのIP 4です.2 winlogbeatをWindowsサーバーにダウンロードするWatchADは6.2バージョンをダウンロードすることを要求して、ここはダウンロードリンクです:winlogbeat 6.2バージョン4.3 winlogbeatをインストールします
注意:
WatchADの実行
実行コマンド:
WatchAD-Webソースのダウンロード
構成の変更
接続データベースの構成を変更するには、次の手順に従います.
フロントエンドページの設定を変更するには、次の手順に従います.
コンパイル
WatchAD-Webディレクトリをダウンロードし、実行:
注意:
コンパイル中にエラーが発生しました:
理由:pipはpython 2をデフォルトで指すためです.7版です.
解決策:{WatchAD-Server}/server/Dockerfileファイルの
インストール
実行コマンド:
参照リンク: Winlogbeatのインストール WatchADプロジェクト WatchADインストールチュートリアル ) WatchAD-Webプロジェクトおよびチュートリアル
本文は
BigYoungステーションへようこそ.
WatchADの紹介
WatchADはすべてのドメイン制御上のイベントログとkerberosトラフィックを収集し、特徴マッチング、Kerberosプロトコル分析、履歴行動、敏感な操作、蜜缶アカウントなどの方法で様々な既知と未知の脅威を検出し、機能は現在の一般的なイントラネットドメイン浸透手法の大部分をカバーしている.このプロジェクトは360内部で半年余り運行され、多くの脅威活動を発見し、比較的良い効果を得た.オープンソースシステムにおけるイベントログに基づく検出部を決定する.
プロジェクトアドレス:WatchAD
インストール環境
WatchADインストール(ログ分析サービス)
インフラストラクチャ
WatchADのインストール
git clone https://github.com/0Kee-Team/WatchAD.gitgitコマンドがない場合はgit:yum install gitをインストールします.pip3 install -r requirements.txtを実行します.docker-compose upが実行されます.注意:
このステップを実行するには、先に着く必要があります.
https://hub.docker.com/プラットフォームでアカウントを登録し、サーバ上で実行
docker loginに登録してアクティブにしたアカウントのパスワードを入力します.それ以外の場合、直接操作すると、エラーが発生します.
ERROR: unauthorized: authentication required,しかも登录した后のダウンロード速度も明らかに速くなって、なぜか分かりませんwinlogbeat.event_logs:
- name: Security
ignore_older: 1h
output.logstash:
hosts: ["10.10.10.10:5044"]もしあなたが私のチュートリアルにインストールしたら、ここのipはあなたの今のサーバーのIP 4です.2 winlogbeatをWindowsサーバーにダウンロードするWatchADは6.2バージョンをダウンロードすることを要求して、ここはダウンロードリンクです:winlogbeat 6.2バージョン4.3 winlogbeatをインストールします
- winlogbeat 6.2 , C:\Program Files。
- winlogbeat- Winlogbeat。
- Winlogbeat winlogbeat.yml , , 4.1 ,
- PowerShell ( PowerShell , “ ”)。
- PowerShell , :
```bash
cd 'C:\Program Files\Winlogbeat'
.\install-service-winlogbeat.ps1
``` 注意:
5. WatchAD
> : , , `docker-compose up`, , 。 , `docker-compose up -d` 。
WatchAD python :Usage: WatchAD.py [settings]
Options:
-h, --help show this help message and exit
--install WatchAD , 。
-d DOMAIN, --domain=DOMAIN AD
A FQDN domain name of detection.
-s SERVER, --ldap-server=SERVER , ,
Server address for LDAP search. e.g: dc01.corp.com
-u USERNAME, --domain-user=USERNAME AD , : \\
Username for LDAP search. e.g: CORP\peter
-p PASSWORD, --domain-passwd=PASSWORD
Password for LDAP search.
--check 、
--start
--restart
--stop ( , )
--status
```
, :
`python3 WatchAD.py --install -d adtest.intra -s 192.168.1.1 -u adtest\\administrator -p password`
WatchADの実行
実行コマンド:
python3 WatchAD.py --startWatchAD-webインストール(Webモニタ側サービス)WatchAD-Webソースのダウンロード
git clone https://github.com/0Kee-Team/WatchAD-Web.git 構成の変更
接続データベースの構成を変更するには、次の手順に従います.
{WatchAD-Web}/server/config/database_config.py このファイルの127.0.0.1をすべてWatchADが存在するサーバIPに変更します.フロントエンドページの設定を変更するには、次の手順に従います.
WatchAD-Web/frontend/.env.productionおよびWatchAD-Web/frontend/.env.developmentこのファイルの127.0.0.1をWatchAD-Webが存在するサーバのIPに変更します.私のWatchADとWatchAD-Webはサーバーに構築されているので、IPは同じです.コンパイル
WatchAD-Webディレクトリをダウンロードし、実行:
docker-compose buildを実行します.前のステップの構成が変更されたり、コードが変更されたりした場合、このコマンドを再実行する必要があります.次のステップのdocker-compose upが変更に有効になります.注意:
コンパイル中にエラーが発生しました:
ERROR: Service 'server' failed to build: The command '/bin/sh -c pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple' returned a non-zero code: 2 理由:pipはpython 2をデフォルトで指すためです.7版です.
解決策:{WatchAD-Server}/server/Dockerfileファイルの
pipはpip3でいいインストール
実行コマンド:
docker-compose up -d起動後、WatchAD-Webフロントエンドページにアクセスできます.アドレス:http://サーバip/activity_time...参照リンク:
本文は
BigYoungステーションへようこそ.