[TOC]WatchAD介绍WatchAD收集所有域控制器上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作、蜜罐账户等检测各种已知和未知威胁,功能涵盖了目前大部分常见的内网域渗透方式。该项目在内部运行了半年多,发现了很多威胁活动,取得了不错的效果。现在决定开源系统中基于事件日志的检测部分。项目地址:WatchAD安装环境CentOS7WatchAD安装(日志分析终端服务)基本环境配置安装python3.6查看文档:CentOS7.2安装Python3.6.3安装docker查看文档:CentOSDocker安装installdocker-compose查看文档:pipinstalldocker-Compose安装WatchAD,下载WatchAD源码gitclonehttps://github.com/0Kee-Team/WatchAD.git如果没有git命令,请安装git:yuminstallgitinstallpython依赖包到下载的WatchAD目录下,执行pip3install-rrequirements.txt安装数据库依赖WatchAD的目录,执行docker-composeup,前提是之前的docker和docker-compos安装正确。注意:执行此步骤时需要先在https://hub.docker.com/平台注册一个账号,然后在服务器上执行dockerlogin,然后输入你注册激活的账号密码。否则会报错:ERROR:unauthorized:authenticationrequired,登录后下载速度也明显加快。不知道为什么安装了winlogbeat4.1,修改了winlogbeat.yml文件。打开我们提供的配置文件{project_home}/settings/winlogbeat/winlogbeat.yml,修改输出。logstash的hosts字段是你安装Logstash的IP和端口(默认5044)。假设你安装Logstash的IP是10.10.10.10。此时的配置文件为:winlogbeat.event_logs:-name:Securityignore_older:1houtput.logstash:hosts:["10.10.10.10:5044"]如果你按照我的教程安装的,这里的ip就是IP4.2您当前的服务器。下载winlogbeat到Windows服务器。WatchAD需要下载6.2版本。下载地址在这里:winlogbeat6.2Version4.3安装winlogbeat-将下载的winlogbeat6.2压缩包解压到C:\ProgramFiles。-将winlogbeat-目录重命名为Winlogbeat。-打开Winlogbeat目录下的winlogbeat.yml文件,删除所有内容,然后将4.1步骤修改的内容复制到文件中,保存-以管理员身份打开PowerShell提示符(右击PowerShell图标,然后选择“以管理员身份运行”)。-在PowerShell提示符下,运行以下命令以安装服务:```bashcd'C:\ProgramFiles\Winlogbeat'.\install-service-winlogbeat.ps1```注意:5.初始化WatchAD配置>注意:执行下面的操作需要先开一个窗口,运行`docker-composeup`,运行基础数据库环境,观察输入日志。如果后面服务稳定,可以执行`docker-composeup-d`后台运行。WatchAD使用python自动化一些配置信息:Usage:WatchAD.py[settings]Options:-h,--helpshowthishelpmessageandexit--install执行WatchAD的初始安装,请确保完成在此之前环境安装和配置。-dDOMAIN,--domain=DOMAINAD服务器域名检测的FQDN域名。-sSERVER,--ldap-server=SERVER服务器地址,如果解析了域名,可以通过域名服务器地址进行LDAP搜索。例如:dc01.corp.com-uUSERNAME,--domain-user=AD连接的USERNAME账号,格式:域名\\账号用于LDAP搜索的用户名。例如:CORP\peter-pPASSWORD,--domain-passwd=PASSWORD管理员密码LDAP搜索的密码。--check检查每个数据库连接和消息队列的状态--start启动检测引擎--restart重启检测引擎--stop停止引擎(删除已有的消息队列,防止数据量过大造成的积压)--status查看当前引擎状态```直接执行安装命令,如:`python3WatchAD.py--install-dadtest.intra-s192.168.1.1-uadtest\\administrator-ppassword`运行WatchAD即可执行命令:python3WatchAD.py--startWatchAD-web安装(Web监控终端服务)下载WatchAD-Web源码gitclonehttps://github.com/0Kee-Team/WatchAD-Web.git修改配置修改连接数据库配置:把{WatchAD-Web}/server/config/database_config.py这个文件里的所有127.0.0.1都改成WatchAD所在的地方服务器IP修改前端页面配置:将WatchAD-Web/frontend/.env.production和WatchAD-Web/frontend/.env.development文件中的127.0.0.1修改为WatchAD-Web所在服务器的IP。我的WatchAD和WatchAD-Web搭建在同一台服务器上,所以IP是一样的。编译进入下载的WatchAD-Web目录,执行:docker-composebuild,如果修改了上一步的配置或者更改了代码,需要重新执行这条命令,docker-composeup的下一步会修改生效注意:编译,报错:ERROR:Service'server'failedtobuild:Thecommand'/bin/sh-cpipinstall-rrequirements.txt-ihttps://pypi.tuna.tsinghua.edu.cn/simple'返回非零码:2原因:因为在环境中,pip默认指向python2.7版本。解决方法:修改{WatchAD-Server}/server/Dockerfile中的pip为pip3。安装并执行命令:docker-composeup-d启动后可以访问WatchAD-Web前端页面,地址:http://Serverip/activity_time...参考链接:InstallWinlogbeatWatchADProjectWatchAD安装教程)观看AD-Web项目和教程
