logon LogonTracer：可视化事件日志识别被攻击账户

前言
事件日志分析是安全事件调查中极其重要的一部分。如果网络由活动目录(以下简称AD)管理，可以通过分析AD事件日志来识别。对于这类调查，直接在AD Event Viewer中详细分析是非常困难的。一种常见的方法是将日志导出为文本格式或将它们导入SIEM/日志管理系统。然而，由于事件日志的数量和容量很大，导入时间受到环境的限制，这可能是分析师的一个难题。
JPCERT开发并发布了一个工具“LogonTracer”来支持这种事件日志分析。本文介绍了它的工作原理和使用方法。
事件日志可视化
登录控制台在与登录相关的事件中关联并可视化主机名(或IP地址)和帐户名。这样，您可以看到哪个帐户正在尝试登录，哪个主机正在登录。下图是LogonTracer创建的可视化图表，显示了部分ip地址和账号的关系。

文章图片

对于每个节点，它都通过一行帐户信息(红色/蓝色)链接到主机(绿点)，表示主机已经登录。
红色:系统特权帐户
蓝色:标准用户帐户
绿色:主机/IP地址
即使对于没有详细学习过事件日志的新手，这种可视化也使得日志分析变得简单。
【logon LogonTracer：可视化事件日志识别被攻击账户】选择更重要的客户和主机
除了事件日志可视化，LogonTracer还可以通过排名显示可能的杠杆账户/主机。图2是帐户和主机的重要性级别的示例。

文章图片

对于这个排序，LogonTracer对事件日志图执行网络分析，并根据每个节点的“中心性”创建一个排序。中心性是一个指示每个节点与网络中心接近程度的指标。采用PageRank算法计算中心度。在该算法中，与许多其他节点相连的节点位于图的中心，因此具有较高的中心性。
因为被攻击的帐户用于在许多主机上执行登录尝试，所以它们往往具有更高的中心性。因此，通过比较中心性，可以识别可能受影响的客户/主机。
事件日志的时序显示
使用LogonTracer，您还可以按时间顺序显示事件日志。图3显示了时间序列中每个帐户的事件日志数量。

文章图片

通过检查一段时间内的日志数量，您可以在短时间内或工作时间之外发现未经授权的登录尝试。
事件日志中的急剧增加会自动突出显示。为了检测异常登录次数的增加，异常检测模式主要应用转换查找器(详见http://ieeexplore.ieee.org/document/1599387/)。
如何安装LogonTracer
这个工具可以在GitHub上找到。您可以从以下网页下载:
JPCERTCC GitHub–LogonTracer
https://github.com/JPCERTCC/LogonTracer
以下是如何使用LogonTracer的说明。该工具已经在Linux环境下进行了测试。
1.获取并安装二级社区版
从以下网站下载并安装二级社区版Neo4j:
https://neo4j.com/download/other-releases/#releases
2.下载LogonTracer
从以下网页下载并将其部署到文件夹中。
https://github.com/JPCERTCC/LogonTracer
3.安装辅助Java驱动程序
在LogonTracer的静态文件夹中安装辅助Java驱动程序。
$ CD LoGontracer/静态
$ npm安装neo4j-驱动程序
4.安装Python模块
为LogonTracer安装Python模块
$ pip install-r requests . txt
*如果statsmodels安装失败，请先安装numpy。
5.运行二级
通过GUI Neo4j命令行启动二级。
如何使用LogonTracer