logon LogonTracer:可视化事件日志识别被攻击账户( 二 )
使用以下选项启动登录搜索:
```
$ pyt 3 logontracer . py-r-o[PORT]-u[USERNAME]-p[PASSWORD]-s[IP Address]
```
- r:启动网络服务器
-o:web服务器运行的端口号(例如:8080)
-u:次要用户neo4j(默认为“次要”)
-p:辅助密码
-s:web服务器运行的地址(例如,localhost)
下面是一个执行LogonTracer的例子。
要访问网络界面,请从您的浏览器访问以下网址。(在此环境中,LogonTracer安装在本地环境中,在端口8080上运行。).
*要导入日志,您可以上传EVTX格式。
文章图片
如何使用Docker镜像
LogOnTracer的Docker映像在Docker Hub上提供。
https://hub.docker.com/r/jpcertcc/docker-logontracer/
如果使用Docker,可以用以下命令启动图像:
$ docker运行
-分离
-publish = 7474:7474-publish = 7687:7687-publish = 8080:8080
-e LTHOSTNAME=[IP地址]
jpcertcc/docker-logontracer
LogonTracer可以分析的事件日志和预防措施
研究表明,监控以下事件对于调查未经授权的登录是有效的。在此基础上,LogonTracer还可以显示以下可视化事件id:
事件标识4624:登录成功
事件标识4625:登录失败
事件标识4768:Kerberos身份验证(TGT请求)
事件标识4769:Kerberos身份验证(ST请求)
事件标识4776:NTLM认证
事件标识4672:权限分配
由于并非所有上述事件标识都使用默认设置进行记录,因此有必要启用审核策略来保留此类日志。我们建议启用审核策略。关于配置的详细说明,请参考LogonTracer的“自述文件”,也可以在GitHub上找到。
标签
虽然事件日志分析在事件调查中非常重要,但如果不知道要分析什么,从哪里开始,可能是一个耗时的过程。该工具通过可视化帐户和主机之间的关系来提供简单的事件日志分析。我们希望您尝试此工具,为实际事件调查做准备。
我们将尽快更新更多关于如何使用该工具进行实际分析的信息。
感谢阅读。
*作者:皮奎奥克,转载请注明来自FreeBuf.COM。
推荐阅读
- 极端主义 《纽约时报》是如何将极端主义袭击事件可视化的
- 可视化图表 20种数据可视化图表总有你能用上的
- 童话西游 开启音频可视化新纪元 酷我畅听引领长音频行业提升用户视听体验
- echarts地图 实测3个工具后,我终于找到了地图可视化神器!
- 可视指挥调度系统 可视化应急指挥调度方案在公安单位的成功应用
- pev Pev:Postgres的可视化工具
- 3d控件 解决了!3D可视化应用中的封装问题
- redis可视化管理工具 Redis Desktop Manager for mac 2019.5.70 Redis可视化管理工具 中文破解版