Идём по киберследу: Анализ защищенности Active Directory c помощью утилиты BloodHound - страница 4
Разные типы узлов содержат разную информацию. Так, например, групповые политики содержат информацию, к каким пользователям или компьютерам они применяются, а у пользователей и компьютеров отображается информация о правах на другие объекты или правах, связанных с боковым перемещением (рис. 2.9).
Рис. 2.9. Информация о группах и правах
Очень полезна информация о входящих и исходящих правах (ACL) на другие объекты, которые могут быть использованы во время работ.
Рис. 2.10. Входящие и исходящие ACL
Анализ (Analysis)
Вкладка Анализ (Analysis) содержит встроенные в BloodHound полезные запросы, с которых можно начать исследовать инфраструктуру Active Directory (рис. 2.11).
Рис. 2.11. Список встроенных запросов
Информация
Встроенные запросы находятся в файле >PrebuildQueries.json в директории >src\components\SearchContainer\Tabs.
Ниже находится раздел для добавления собственных Cypher-запросов, который содержит форму для их создания, а также список созданных запросов, разделенный по категориям.
Рис. 2.12. Раздел создания собственных запросов
При нажатии на кнопку в виде карандаша появляется форма для добавления запросов (рис. 2.13).
При переходе к полю выбора категории запроса можно создать собственную категорию или выбрать из существующих.
Информация
Файл >customqueries.json с собственными запросами находится в домашней директории пользователя, запустившего BloodHound, с путем >\AppData\Roaming\bloodhound\.
Рис. 2.13. Форма добавления собственных запросов
Информация
При вызове формы добавления собственных графов файл создается автоматически, если он еще не создан.
Мы еще вернемся к созданию собственных запросов.
Поле поиска
Следующий элемент – форма поиска узлов. Если начинать вводить буквы, BloodHound предлагает различные варианты. Также форма поиска показывает различные типы меток – они дают возможность видеть, к какому типу принадлежит узел. Функция полезна для поиска узлов по ключевым словам.
Внимание
По умолчанию поиск по ключевому слову ограничивается 10 узлами. Изменить количество узлов можно в Raw Query, если в настройках включен Query Debug Mode.
Кроме имени для поиска можно использовать свойство >objectid.
Форма Поиск путей (Pathfinding)
Функция позволяет строить короткие пути. При нажатии на иконку появляется еще одна форма поиска, в первой строке указывается начальный узел, во второй – конечный (рис. 2.14).
Работает аналогично полю поиска, при нажатии стрелки формируется Cypher-запрос с построением коротких путей от первого узла до конечного.
Рис. 2.14. Форма поиска путей
Информация
BloodHound создает Cypher-запрос со всеми связями, указанными в файле >AppContainer.jsx, и с учетом фильтра связей.
Возврат (Back)
Кнопка в виде стрелки влево возвращает предыдущий граф, но без возврата самого запроса в Raw Query.
Фильтр связей (Filter Edge Types)
При нажатии на кнопку в виде воронки появляется новое окно с перечнем доступных связей, при снятии галки связь убирается из запроса при использовании формы Поиск путей (Pathfinding). Каждая группа имеет кнопки включения всех связей (две галки) и отключения всех связей (ластик).
Рис. 2.15. Фильтр связей
Внимание
Фильтр работает только с функцией Поиск путей (Pathfinding).
Меню состоит из следующих элементов:
● Обновление графа (Refresh)
● Экспорт графа (Export Graph)
● Импорт графа (Import Graph)
● Загрузка данных
● Статус загрузки (View Upload Status)
Похожие книги
