Active Directory Canaries:守卫您的AD情况安全
AD-CanariesThe purpose of this project is to publish and maintain the deployment PowerShell script that automates deployments for Active Directory Canary objects.项目地点:https://gitcode.com/gh_mirrors/ad/AD-Canaries
项目先容
Active Directory Canaries 是一个用于检测Active Directory枚举(或侦察)技术的检测原语。该项目利用了Specter Ops研究职员Andy Robins和Will Schroeder在2017年提出的DACL后门概念,通过自动化部署PowerShell脚原来实现AD对象的部署。其核心目标是在AD情况中部署一系列“金丝雀”对象,当这些对象被访问时,会触发安全事件日记中的4662事件,从而帮助管理员实时发现潜伏的枚举举动。
项目技术分析
技术原理
Active Directory Canaries的核心技术在于利用DACL(Discretionary Access Control List)后门机制。通过在AD情况中部署特定的对象,并为这些对象设置严格的访问控制列表(ACL),当攻击者实验枚举这些对象时,会触发Directory Service Object Access : Failure审计,生成4662事件。这些事件会被记载在域控制器的安全事件日记中,从而帮助管理员实时发现潜伏的枚举举动。
部署流程
- 设置生成:使用-Populate参数生成设置文件,指定部署的OU、全部者等信息。
- 部署:使用-Deploy参数根据设置文件部署AD Canaries对象,并生成包罗CanaryName和CanaryGUID的CSV文件。
- 审计:通过-AuditSACLs参数检查情况中已有的SACL(System Access Control List)设置,评估DS访问审计失败的影响。
- 删除:使用-Revert参数根据设置文件删除已部署的AD Canaries对象。
项目及技术应用场景
应用场景
- 企业内部安全监控:在企业内部AD情况中部署AD Canaries,实时监控是否有未经授权的枚举举动,实时发现潜伏的安全威胁。
- 渗出测试与红队演练:在渗出测试或红队演练中,使用AD Canaries来检测和记载攻击者的枚举举动,帮助评估防御措施的有效性。
- 安全事件响应:在发生安全事件后,通过分析AD Canaries生成的4662事件,快速定位攻击者的枚举举动,为事件响应提供数据支持。
项目特点
1. 自动化部署
项目提供了完备的PowerShell脚本,支持自动化部署、设置生成和删除操作,大大简化了AD Canaries的部署流程。
2. 高度定制化
用户可以根据实际需求,自定义部署的OU、全部者、Canary对象类型等信息,机动顺应不同的AD情况。
3. 强大的检测机制
通过设置严格的DACL和SACL,AD Canaries能够精确检测到AD枚举举动,并生成详细的4662事件日记,帮助管理员快速定位潜伏威胁。
4. 易于集成
项目生成的CSV文件和事件日记可以直接与现有的安全信息和事件管理(SIEM)系统集成,实现自动化监控和告警。
5. 开源与社区支持
作为开源项目,Active Directory Canaries得到了社区的广泛支持,用户可以自由修改和扩展功能,满足更多定制化需求。
结语
Active Directory Canaries为Active Directory情况提供了一种高效、机动的安全检测机制,帮助企业实时发现和应对潜伏的枚举威胁。无论您是企业安全管理员、渗出测试职员还是安全研究职员,AD Canaries都将成为您守卫AD情况安全的得力助手。立即访问项目堆栈,开始您的AD安全之旅吧!
AD-CanariesThe purpose of this project is to publish and maintain the deployment PowerShell script that automates deployments for Active Directory Canary objects.项目地点:https://gitcode.com/gh_mirrors/ad/AD-Canaries
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
