Идём по киберследу: Анализ защищенности Active Directory c помощью утилиты BloodHound - страница 3

Для последующего изучения нам потребуются данные из домена. Поэтому в нашей лаборатории запустим SharpHound на хосте >COMP от имени доменной учетной записи >admin, которая входит в группу доменных администраторов. Это позволит собрать всю полезную информацию из домена и хостов (рис. 2.2).

>SharpHound -c All

Рис. 2.1. Подсказка по SharpHound

Рис. 2.2. Результат сбора информации

К собранной информации вернемся позже, а сейчас рассмотрим интерфейс BloodHound.

После прохождения аутентификации открывается основное окно. Пока данных нет, оно пустое; после загрузки данных BloodHound выполняет запрос, который показывает, какие пользователи входят в группу доменных администраторов.

Интерфейс BloodHound интуитивно понятен. Весь его функционал представлен в одном окне.

Рис. 2.3. Основное окно BloodHound

В левом верхнем углу располагаются форма поиска и информационные вкладки, в правом верхнем углу – меню для настройки интерфейса, загрузки и выгрузки данных. В правом нижнем углу – работа с масштабом, внизу по центру окна располагается форма Raw Query для Cypher-запросов.

В основном поле отображается или узел, или граф на основании запроса Cypher. Узлы можно перемещать по полю. Само поле, узлы и связи имеют контекстное меню, которое можно вызвать правой клавишей мыши.

Рис. 2.4. Форма поиска

Форма поиска состоит из следующих элементов:

● Дополнительная информация (More Info)

● Поле поиска узлов

● Поиск путей (Pathfinding)

● Возврат (Back)

● Фильтрация типов связей (Filter Edge Types)

Дополнительная информация (More Info)

Этот объект является основным полем для получения информации о свойствах и некоторых связях узлов. При нажатии на кнопку More Info выпадает поле, состоящее из трех элементов.

Рис. 2.5. Вкладка «Дополнительная информация»

Database Info

Вкладка содержит статистические данные по количеству объектов в базе данных, а также некоторые инструменты для работы с базой данных (рис. 2.6).

Рис. 2.6. Статистика по узлам и связям

Ниже статистики находятся элементы для управления данными.

Рис. 2.7. Управление данными

Кратко рассмотрим эти элементы и их функционал:

● Refresh Database Stats – после загрузки данных или добавления информации через запросы Cypher статистика может быть неверной, эта кнопка обновляет статистические данные.

● Warm Up Database – по описанию от разработчиков, при нажатии этой кнопки данные из базы переносятся в оперативную память, что позволяет увеличить скорость работы с ними.

● Clear Sessions – при нажатии этой кнопки удаляются все связи HasSession. Эта функция бывает полезной перед загрузкой новых данных о сессиях пользователей.

● Clear Database – при нажатии этой кнопки удаляются все узлы и связи между ними.

Информация об узле (Node Info)

В этой вкладке отображаются свойства узла. Кроме того, в ней выполняются некоторые Cypher-запросы, которые предоставляют статистические данные, например, для пользователей и компьютеров выдается информация о сессиях или коротких путях до узлов высокой ценности.

Рис. 2.8. Информация об узле