BloodHound — инструмент для поиска связей и уязвимостей в Active Directory. С его помощью администратор или специалист по безопасности быстро видит, кто к чему имеет доступ и какие пути атаки возможны.
Шаг 1. Устанавливаем и запускаем программу
Скачайте установочный пакет с официального сайта или репозитория. Запустите клиент на машине администратора и подготовьте базу данных Neo4j (местная или серверная). Откройте интерфейс и подключитесь к базе данных перед загрузкой данных.
Шаг 2. Осваиваем основной сценарий
- Соберите данные из домена: обычно это делает коллекционер (SharpHound) — он собирает пользователей, группы, сессии и права.
- Импортируйте собранные файлы в BloodHound через раздел «Upload».
- Откройте «Queries» и выберите готовый запрос, например «Shortest Paths to Domain Admins», чтобы найти пути привилегированного доступа.
- Проанализируйте результат: кликайте узлы, смотрите свойства (MemberOf, LocalAdmin, HasSession) и отмечайте критичные учетные записи.
- Экспортируйте отчёт или снимки графа для передачи в команду безопасности.
Шаг 3. Полезные функции и советы
- Фильтры: используйте фильтры по типу узла и атрибутам, чтобы быстро отсеять системные учётки.
- Кастомные запросы: учите язык запросов и настраивайте под свои задачи — это экономит время при регулярных проверках.
- Безопасность данных: храните экспортированные данные в защищённом хранилище и удаляйте временные файлы после анализа.
Чем усилить работу с BloodHound
- SharpHound — сборщик данных из AD, который генерирует файлы для загрузки в BloodHound.
- Neo4j — графовая база данных, в которой хранится граф связей и которая нужна для работы BloodHound.
- Интеграции с SIEM/CMDB для связывания выводов BloodHound с инвентарём и событиями безопасности.
Коротко: BloodHound быстро выявляет критичные пути доступа в AD и даёт понятные графы для принятия решений. Начните с регулярных сборов SharpHound, загрузки в BloodHound и анализа через готовые запросы; по мере роста задач добавляйте кастомные запросы и интеграции с Neo4j и SIEM.
Комментарии (0)