AD Miner: 洞察Active Directory安全弱点的利器
项目介绍
AD Miner是一款专为审计Active Directory设计的工具,它利用Cypher查询对Bloodhound图数据库中的数据进行深度分析,以揭示潜在的安全漏洞。该工具由Mazars Cybersecurity Audit & Advisory团队开发并维护,旨在提供一个基于Web的静态报告,展示整个域的安全状况,包括详细列表、动态图表、关键指标、历史记录及风险评估。
项目快速启动
安装AD Miner
你可以通过以下两种方式之一安装AD Miner:
使用pipx(推荐)
pipx install 'git+https://github.com/Mazars-Tech/AD_Miner.git'
或
使用pip
请注意,这可能会影响你的系统包。
pip install 'git+https://github.com/Mazars-Tech/AD_Miner.git'
此外,AD Miner在BlackArch和NixOS等Linux发行版中亦可直接通过包管理器获取。
准备环境
确保你有一个包含AD对象的Neo4j数据库。可以通过SharpHound、RustHound或BloodHound从域中提取数据,并使用BloodHound将其导入到Neo4j中。
运行AD Miner
基础使用命令示例:
AD-miner -c -cf My_Report -u neo4j -p mypassword
此命令将不从网络直接读取数据而是使用缓存,并指定用户名和密码连接到Neo4j数据库,生成名为"My_Report"的报告。
应用案例和最佳实践
在企业环境中,AD Miner可以用来定期审计AD安全性。例如,通过设置周期性的执行来跟踪权限变动、密码策略合规性以及高危路径的变化。最佳实践包括:
- 定期运行:使用
--evolution
参数收集多份报告,以分析安全态势随时间的演变。 - 大型数据集处理:启用多线程(
--nb_cores
)和使用Neo4j集群(--cluster
)提高分析效率。 - 结合BloodHound可视化:利用BloodHound的图形界面来直观地理解AD Miner发现的安全路径。
典型生态项目
AD Miner与BloodHound紧密集成,后者是理解和可视化Windows域复杂关系的关键工具。通过BloodHound生成或更新的数据,AD Miner能够在网络安全审计领域提供深入的洞察力。此外,对于需要进行主动监控和更精细控制的企业,考虑结合使用自动化数据抽取工具(如BloodHound Automation),以保持数据库信息实时性,从而增强AD Miner的效能。
本教程仅为快速入门指南,实际使用时建议详细阅读项目官方文档,了解更复杂的配置选项和高级功能。AD Miner及其与BloodHound的配合使用,为AD安全管理员提供了强大而灵活的审计能力,是保护组织免受内部威胁不可或缺的工具。