一、项目简介
WatchAD是360 0Kee-Team开源的一款针对域安全的日志分析与监控系统,它可以收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。
WatchAD项目地址:https://github.com/0Kee-Team/WatchAD
二、安装
2.1 总体架构及安装环境
WatchAD分为四部分,elastic套件及数据库部分,规则及日志分析部分,agent,web前后端
elastic套件及数据库部分包括项目中用到的数据库、日志分析等套件,这里使用docker搭建,包括es、mongodb、redis、rabbitmq、logstash
规则及日志分析部分是一个python写的引擎,其中定义了一套规则引擎,从mq和es读取日志,经过规则引擎,匹配到规则后告警,存储等;同时这个引擎还可以与域控进行必要的交互(Ldap查询)
agent其实是winlogbeat组件(是elastic组件中的一个),安装在域控上,负责将windows安全日志传递到上面提到的logstash
web前后端提供了与用户交互的服务,后端是flask开发的,前端不知道用的啥。