WatchAD 正在参加 2020 年度 OSC 中国开源项目评选,请投票支持!
WatchAD 在 2020 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
投票让它出道
已投票
WatchAD 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」 !
WatchAD 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」「最积极运营项目」 !
WatchAD 获得 2020 年度 OSC 中国开源项目评选「最积极运营项目」 !

软件简介

WatchAD 是 360 公司在面临高级域渗透活动的威胁下,研发出的一款威胁检测产品。适用于基于 Windows 域构建的企业内网。通过对域控服务器数据的即时分析,WatchAD 能够及时准确发现高级域渗透活动,检测覆盖内网攻击杀伤链大部分手法。

本产品作为内部安全防线的最后关键一环,可让企业具备针对公司级别高级域渗透活动的感知与预警能力,加固基于 Windows 域的办公网安全。

工作原理

WatchAD 收集所有域控上的事件日志和 kerberos 流量,通过特征匹配、Kerberos 协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,威胁检测项覆盖了目前大部分常见的内网域渗透手法。

检测功能

  • 信息探测:使用SAMR查询敏感用户组、使用 SAMR 查询敏感用户、蜜罐账户的活动、PsLoggedOn 信息收集

  • 凭证盗取:Kerberoasting(流量)、AS-REP Roasting、远程 Dump 域控密码

  • 横向移动:账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级(流量)、异常的 Kerberos 票据请求(流量)

  • 权限提升:ACL 修改、MS17-010 攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升、MS14-068 攻击检测(流量)、Kerberos约束委派滥用(流量)

  • 权限维持:AdminSDHolder 对象修改、DCShadow 攻击检测、DSRM 密码重置、组策略委派权限授予检测、Kerberos 约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory 属性修改、万能钥匙-主动检测、万能钥匙-被动检测(流量)、黄金票据(流量)

  • 防御绕过:事件日志清空、事件日志服务被关闭

核心优势

1. 检测覆盖广,准确度高

WatchAD 检测的维度覆盖了整个内网攻击杀伤链的大部分常见攻击手法。从横向移动到权限提升,从凭证窃取到后渗透权限维持,我们监控了高级域渗透活动的完整过程;并且可从多个维度的数据进行关键点分析,确保攻击者无法绕过我们的检测。WatchAD 最后生成的高质量告警内容,每一条都对应不同程度威胁,方便运营人员及时处理。

2. 兼容性好,轻量化部署

WatchAD 仅在所有域控服务器上安装数据收集终端,对整个办公网域环境和网络环境没有任何影响,不改变现有网络架构,不做任何侵入式部署,收集终端对域控服务器的负载控制在极低的范围内。WatchAD 兼容从 Windows 2008 之后的所有版本服务器,部署要求极其简单,只需在域控安装 agent,连通域控所在网络,配置安装检测引擎即可。

 应用场景

1.抵御高级域渗透威胁

【问题】:没有产品监控内网高级域渗透活动。

企业不是没有被入侵,而是不知道已经被入侵到了内网。用户数据是否遭到窃取?高级管理人员域账号是否被黑客控制?机密邮件和公司战略是否泄露?内网安全的重要性远大于边界业务安全。业务遭到入侵影响范围是几台服务器,而内网被入侵影响范围是整个公司。

【解决】:WatchAD 可以全方位监控内网的域渗透活动,告警通过时间线详细展示了攻击者的具体活动,既可以及时发现入侵,也可以评估内网被入侵的程度,如是否已攻入域控,是否获取高级管理人员账户,具体入侵了哪些计算机等。

2. 攻防演习

【问题】:攻防演习中,内网关键设施是最终目标。

攻击者一旦攻入内网,边界防御设备不再有效,目前国内没有产品能够有效阻止和检测内网的域渗透活动。内网服务器被入侵后,只能通过分析日志来尝试还原攻击手段,费时费力且没有效果。

【解决】:WatchAD 除了能有效监控内网域渗透活动,还可以灵活自定义分析域控日志,记录所有用户的行为,展现某用户的完整活动记录。我们的检测维度覆盖已知的绝大部分关键攻击手法,在攻防演习时,除了能及时检测攻击活动,还能有效还原攻击路径,展示攻击手法详情,提供应对建议,帮助防守方占领先机。

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论 (5)

加载中
WatchAD 保姆级安装教程:http://bigyoung.cn/blog/posts/23/
2020/03/30 18:01
回复
举报
看见360出品就有阴影
2020/01/05 13:31
回复
举报
watchAD 看广告。。笑死了
2019/11/06 18:43
回复
举报
先笑一会儿 阿哈哈哈哈哈哈
2019/11/26 18:53
回复
举报
mark
2019/10/31 19:08
回复
举报
更多评论
2019/10/31 11:56

业界首个开源域安全入侵感知系统 —— 360WatchAD

2019年10月26日,由360信息安全中心0kee Team 自主开发的域安全入侵感知系统——360WatchAD正式对外开源,成为国内域安全检测领域的开拓者。 什么是360WatchAD? 360WatchAD是360公司在面临高级域渗透活动的威胁下,研发出的一款威胁检测产品。适用于基于Windows域构建的企业内网。通过对域控服务器数据的即时分析,360WatchAD能够及时准确发现高级域渗透活动,检测覆盖内网攻击杀伤链大部分手法。 本产品作为内部安全防线的最后...

15
44
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表于服务端专区
2020/02/26 17:56

Windows AD日志分析平台WatchAD安装教程

[TOC] ### WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。 项目地址:[WatchAD](https://github.com/0Kee-Team/WatchAD/blob/master/README_zh-cn.m...

0
0
2020/02/26 18:59

Windows AD日志分析平台WatchAD安装教程

WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。 项目地址:WatchAD 安装环境 CentOS 7 WatchAD安装(日志分析端服务) 基础环境配置 安装python 3.6 ...

0
0
01/17 11:03

Windows AD日志分析平台WatchAD安装教程

WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。 项目地址:WatchAD 安装环境 CentOS 7 WatchAD安装(日志分析端服务) 基础环境配置 安装python 3.6 ...

0
0
发表于服务端专区
01/18 08:30

Windows AD日志分析平台WatchAD安装教程

WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。 项目地址:WatchAD 安装环境 CentOS 7 WatchAD安装(日志分析端服务) 基础环境配置 安装python 3.6 ...

0
0
发表了博客
2019/04/10 10:10

Windows AD日志分析平台WatchAD安装教程

[TOC] WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。 项目地址:WatchAD 安装环境 CentOS 7 WatchAD安装(日志分析端服务) 基础环境配置 安装pytho...

0
0
02/03 16:30

免费开源的代码审计工具 Gosec 入门使用

↑ 关注 + 星标 ~ 从此不迷路,后台回复【安全】加入群聊,获取大礼包 声明: 本教程是在自己的电脑上本地测试Gosec的效果,所以不涉及其他运行模式,如果想要了解其他模式可以关注后期文档,如果想要自定义交流自定义代码扫描规则,可以跟我交流沟通。 背景: Gosec是一个通过扫描Go AST来检查源代码是否存在安全问题的开源项目。公司到成长到一定程度,就需要对代码进行审计,针对Go的作为主要的开发语言,我就测试一下Gosec...

0
0
发表于服务端专区
2020/06/04 20:01

使用ADMT和PES实现window AD账户跨域迁移-ADMT安装

↑ 关注 + 星标 ~ 从此不迷路,后台回复【Windows】送你Windows学习资料 使用 ADMT 和 pwdmig 实现 window AD 账户跨域迁移系列: 介绍篇 [1] ADMT 安装 [2] PES 的安装 [3] ADMT:迁移组 [4] ADMT:迁移用户 [5] ADMT:计算机迁移 [6] ADMT:报告生成 [7] ADMT 安装 启动先前下载的可执行文件 1。 启动安装向导时,单击“下一步 1”。 接受许可的人,勾选 1 处的“我同意”1,再确认 2.(首发:bigyoung.cn) 选择适合您向 MS...

0
0
2020/06/03 20:01

使用ADMT和PES实现window AD账户跨域迁移-介绍篇

↑ 关注 + 星标 ~ 从此不迷路,后台回复【Windows】送你Windows学习资料 使用 ADMT 和 pwdmig 实现 window AD 账户跨域迁移系列: 介绍篇 [1] ADMT 安装 [2] PES 的安装 [3] ADMT:迁移组 [4] ADMT:迁移用户 [5] ADMT:计算机迁移 [6] ADMT:报告生成 [7] 声明: 本教程适用于 Windows Server 2012 及以上版本的服务器使用。 介绍篇 ADMT(Active Directory 迁移工具)是一个免费的 Microsoft 工具,它允许在两个 Active Direc...

0
0
2020/06/05 20:01

使用ADMT和PES实现window AD账户跨域迁移-PES的安装

↑ 关注 + 星标 ~ 从此不迷路,后台回复【Windows】送你Windows学习资料 使用 ADMT 和 pwdmig 实现 window AD 账户跨域迁移系列: 介绍篇 ADMT 安装 [2] PES 的安装 [3] ADMT:迁移组 [4] ADMT:迁移用户 [5] ADMT:计算机迁移 [6] ADMT:报告生成 [7] PES 的安装 为了在两个目录林之间迁移密码,我们将需要配置和安装 PES。 在安装了 ADMT 的服务器上,(首发:bigyoung.cn)创建一个共享文件夹,我们将在其中放置密码的加密密钥...

0
0
01/19 08:30

DHCP最佳实践(三)

↑ 关注 + 星标 ~ 从此不迷路,后台回复【AD】送你Windows AD学习资料 这是Windows DHCP最佳实践和技巧的最终指南。 如果您有任何最佳做法或技巧,请在下面的评论中发布它们。 在本指南(三)中,我将分享以下DHCP最佳实践和技巧。 仅在需要时才使用IP冲突检测 运行DHCP最佳实践分析器 记录IP地址或我们的IPAM 设置DHCP服务器选项 仅在需要时才使用IP冲突检测 当同一LAN上的两个设备具有相同的IP地址时,会发生IP地址冲突。这导...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
暂无内容
5 评论
148 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部