ابزار LogonTracer

ابزار LogonTracer

تجزیه و تحلیل گزارشات (Events) یکی از مهمترین عناصر در کشف حوادث امنیتی است، اگر یک شبکه توسط اکتیودایرکتوری مدیریت میشود، با استفاده از تحلیل گزارشات اکتیودایرکتوری این حوادث را میتوان پیدا کرد. اما تحلیل به صورت دستی و با استفاده از Windows Event Viewer به همین راحتی نیست و نیاز به ابزارهایی دارد که کار ما را ساده تر میکند. یکی از این ابزارها LogonTracer است که محصول JPCERTCC یا مرکز CERT ژاپن است.

این محصول با استفاده از گزارشات ویندوز که به صورت دستی Export شده‌اند گرافی داینامیک میسازد که اطلاعات بسیاری را در اختیار شما قرار میدهد؛ شما میتوانید با استفاده از آن کل اطلاعات ورود به سیستم‌ها را از قبیل نوع ورود (RDP، Login و…)، آدرس و اسم سیستم، اسم و نوع اکانت، تاریخ و زمان و… را با جدول‌های مختلف کامل به دست بیاورید.

با استفاده از ابزار LogonTracer می توان لاگ های گزارشات (Event) را بر اساس زمان هم، به صورت زیر نمایش داد :

البته این محصول ابزار کوچکی است که به درد راه اندازی سریع میخورد و به هیچ عنوان جایگزین ابزار قدرتمندی مثل Splunk، که همه نوع گزارشات سنگین را به صورت دقیق و لحظه‌ای تحلیل میکند نیست. با استفاده از Splunk و استفاده از Use Case های امنیتی، میتوانید شبکه خود را به صورت کامل مانیتور کنید. راه اندازی، فروش لایسنس و پشتیبانی محصول Splunk به صورت کامل توسط شرکت دژپاد انجام میشود؛ برای اطلاعات بیشتر با بخش فروش تماس بگیرید.

روش نصب

 

ابزار LogonTracer، چون از Python و Neo4j  استفاده میکند، فعلا فقط برای لینوکس منتشر شده است و اگر میخواهید این ابزار را در ویندوز هم اجرا کنید باید با استفاده از ایمیج Docker که نویسنده این برنامه آن را ساخته است استفاده کنید.

در زیر نحوه نصب و استفاده از این ابزار بر روی لینوکس آموزش داده میشود:

۱- ابتدا برنامه را از این لینک دریافت و در پوشه LogonTracer  بریزید.

۲- سپس Neo4j  را از این لینک دریافت و آن را با استفاده از راهنمایی‌های خود وبسایت نصب کنید.

۳- حالا دستورات زیر را وارد کنید تا Neo4j JavaScript driver نصب شود.

$ cd LogonTracer/static

$ npm install neo4j-driver

۴- با استفاده از دستور زیر پیش نیازهای پایتون را با pip نصب کنید.

$ pip install -r requirements.txt

۵- حالا Neo4j را اجرا کنید.

روش اجرا

 

قبل از هر چیز مطمئن شوید که ارسال گزارشات لاگین در Domain Policy شما تعریف شده باشد.

برای استفاده، ابتدا Web Server را با دستور زیر راه‌اندازی کنید:

$ python3 logontracer.py -r -o 8080 -u [USERNAME] -p [PASSWORD] -s localhost

نکته: به جای [USERNAME] و [PASSWORD] باید نام کاربری (به صورت پیش فرض  neo4j) و رمزعبوری که هنگام نصب neo4j به آن داده‌اید را وارد کنید.

مانند شکل زیر:

 

با وارد کردن آدرس http://localhost:8080 در مرورگر میتوانید به Dashboard آن دسترسی پیدا کنید.

حالا با Import کردن فایل Security.evtx در کنسول، نتیجه را مشاهده میکنید.

محدودیت‌ها

 

  1. برنامه فقط مخصوص سیستم عامل لینوکس است.
  2. گزارشات به صورت لحظه‌ای نیستند، یعنی شما باید هر بار این فایل را استخراج کرده و آن را بررسی کنید. برای مانیتورینگ لحظه‌ای باید از محصولی مانند Splunk استفاده کنید.

 

نتیجه گیری

 

تجزیه و تحلیل گزارشات Security در Active Directory به شما امکان این را میدهد که دسترسی‌های غیرمجاز را در شبکه خود به دست بیاورید. سعی کنید به صورت دوره‌ای این عمل را در دستور کار خود قرار دهید. بررسی کردن موارد امنیتی (مانند استفاده نشدن از کاربرهای System برای ورود به سیستم‌ها و…) از وظایف یک مدیر شبکه است.

 

تهیه کننده: علیرضا هوشمند

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *