Docker安装LogonTracer

最新推荐文章于 2024-08-08 20:56:25 发布
最新推荐文章于 2024-08-08 20:56:25 发布
阅读量917 收藏 2
点赞数
文章标签: 运维 操作系统 javascript ViewUI
原文链接:http://www.cnblogs.com/17bdw/p/11359651.html
版权

LogonTracer

LogonTracer:是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的下列事件ID。

4624:登录成功

4625:登录失败

4768:Kerberos身份验证(TGT请求)

4769:Kerberos服务票据(ST请求)

4776:NTLM身份验证

4672:分配特殊权限

作用

LogonTracer使用 PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。

使用LogonTracer,也可以按时间顺序显示事件日志。

环境搭建:

系统:kali linux

IP地址:10.10.110.112

安装软件:Docker

日志文件:Windows的evtx格式的安全日志

分析工具:LogonTracer

1、打开linux终端后启动Docker:

root@killer:~#service docker start

2、拉取镜像:

root@killer:~#docker pull jpcertcc/docker-logontracer

3、运行镜像:

root@killer:~#docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080-e LTHOSTNAME=10.10.110.112 jpcertcc/docker-logontracer

提示:以上IP地址10.10.110.112换成自己的本机IP地址。

4、替换JS

此时可以通过浏览器访问http://[IP]:8080看到Web页面,打开的页面中有几个JS文件是调用的远程网址,这些网址由于一些原因在国内无法正常访问,所以,在通过浏览器访问首页后,点击“Upload Event Log”按钮是无反应的,那就无法上传日志文件,这就是这一步要解决的坑。

解决这个坑要对2处JS进行修改:

第一处:

https://cdn.rawgit.com/neo4j/neo4j-javascript-driver/1.4.1/lib/browser/neo4j-web.min.js

直接修改系统的hosts文件,手动将域名cdn.rawgit.com解析到151.139.237.11上,该网址可以正常访问。

执行命令:

root@killer:~#vim /etc/hosts

然后在文件中最后一行增加如下:

151.139.237.11 cdn.rawgit.com

第二处:

进入Docker镜像编辑index.html模板文件,

执行命令:

root@killer:~#docker exec -it 349d /bin/sh(备注:349d为镜像名)

进入Docker镜像的终端内执行命令,编辑模板文件:

/var/lib/neo4j# vi /usr/local/src/LogonTracer/templates/index.html

找到

https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js

将该网址的改为

https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js

这个时候就可以了。

5、打开http://自己的ip:7474,执行以下命令删除原来的neo4j的节点信息:

输入以下命令:

MATCH(n)

OPTIONALMATCH (n)-[r]-()

DELETEn,r

点击右侧的第三个按钮执行,即可。如果不执行这步,后面上传日志之后可能会导致浏览器响应。

6、重启Docker镜像:

root@killer:~#docker restart 349d

备注:红色349d为镜像名

7、访问前台http://本机ip地址:8080,点击“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击“Browse”选择日志文件,然后点击“Upload”,进行上传。

登录类型 描述

2 互动(键盘和屏幕的登录系统)

3 网络(即连接到共享文件夹从其他地方在这台电脑上网络)

4 批处理(即计划任务)

5 服务(服务启动)

7 解锁密码保护屏幕保护程序(即unnattended工作站)

8 NetworkCleartext(登录凭据发送明文。通常表示与“基本身份验证”登录到IIS)

9 NewCredentials如RunAs或映射网络驱动器替代凭证。这个登录类型似乎并没有出现在任何事件。

10 RemoteInteractive(终端服务,远程桌面或远程协助)

11 CachedInteractive(与缓存域登录凭证时登录一台笔记本电脑等远离网络)

常见的登录类型有2和3,“2”表示用键盘和鼠标登录,而“3”意味着有人通过网络远程登录。

转载于:https://www.cnblogs.com/17bdw/p/11359651.html

weixin_30872337
关注
Docker 安装 SQL Server教程
猿小白的博客
11-14 2万+
本文教你如何快速通过Docker安装SQL Server 前置条件:服务器内存需要于2GB。 安装的版本:SQL Server2017 目录 一、拉取镜像 二、运行容器 三、进入容器 四、远程连接 五、简单小结 一、拉取镜像 docker pull mcr.microsoft.com/mssql/server:2017-latest 二、运行容器 docker run -e "ACCEPT_EULA=Y" -e "SA_PASSWORD=qwe20211114." -p..
Docker安装MinIO教程
猿小白的博客
05-20 2501
本章教程,主要介绍一下,如何在Linux用Docker安装MinIO。MinIO是一个高性能、分布式对象存储系统,支持S3 API,适用于云原生环境。MinIO可以在标准硬件上运行,并且具有低延迟、高吞吐量、高可用性和可扩展性等优势。MinIO使用Erasure Code技术实现数据冗余和恢复,以确保数据的安全性和可靠性。MinIO还支持多租户、数据加密、访问控制等功能,可以满足企业级应用的需求。
Python-LogonTracer通过可视化和分析Windows事件日志来调查恶意Windows登录
08-10
通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
LogonTracer-master.zip
11-29
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。
日志自动分析-操作系统-Gscan&LogonTracer&f8x
金灰的博客
07-12 681
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨专注网络空间安全服务,期待与您的交流分享~❤️🍊易编橙·终身成长社群🍊 :期待您的加入~
Windows系统安全登录日志分析工具logonTracer汉化修正版
公众号:乌云安全
03-18 1707
logonTracer基础使用指南 Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd logonTracer python3.7 -m pip install -r requirements.txt ##导入日志 .
探索网络安全新视角:LogonTracer
gitblog_00065的博客
05-12 691
探索网络安全新视角:LogonTracer LogonTracer Investigate malicious Windows logon by visualizing and analyzing Windows event log 项目地址: https://g...
docker】使用docker安装宝塔面板_docker 安装宝塔面板
2401_84617477的博客
04-26 2872
在使用docker安装宝塔面板之前请先确保服务器已经安装并开启了docker拉取centos基础镜像,用容器启动该基础镜像,直接在这个容器中部署1.拉取纯净系统镜像2.启动镜像,映射主机与容器内8888(宝塔面板)、888(PHPMYADMIN)端口可以同时映射进去其它常用端口比如:80、443、3306等挂载目录3.查看容器id,并进入容器4.执行宝塔面板Centos安装命令如果你也是看准了Python,想自学Python,在这里为大家准备了丰厚的免费。
Docker安装Python3教程
猿小白的博客
08-10 8826
本文主要介绍如何通过安装Python3。
Docker安装】Ubuntu系统下离线部署Docker环境教程
最新发布
jks212454的博客
08-08 1902
Docker安装】Ubuntu系统下离线部署Docker环境教程
LogonTracer:通过可视化和分析Windows事件日志来调查恶意Windows登录
02-05
概念 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。 该工具将与登录相关的事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。 这样,可以查看在哪个帐户中尝试登录以及使用哪个主机。 基于该工具可以可视化以下与Windows登录相关的事件ID。 4624 :成功登录 4625 :登录失败 4768 :Kerberos身份验证(TGT请求) 4769 :Kerberos服务票证(ST请求) 4776 :NTLM身份验证 4672 :分配特殊权限 以下文档描述了更多详细信息: (日语) 附加分析 LogonT
Windows系统安全登录日志分析工具logonTracer汉化修正版_windows下载logontracer(3)
2401_84254087的博客
05-08 611
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
网络拓扑工具_用Golang打造一款便携式网络拓扑可视化的工具
weixin_39597399的博客
12-18 850
0x01:前言之前做内网渗透测试的时候,一直想要有一款能够格式化存储收集到的信息,并且可以方便的查找出重要信息的工具。前段时间看到了Leprechaun 这个工具,给了我一些想法。由于,我对于这个工具有些不喜欢的地方。再加上好久没有写小程序练手了,于是决定自己定制一款类似的工具。有人肯定又会说是重复造轮子。其实,我觉得汽车的轮子再好用,也没办法装到自己的自行车上使用。对于使用者可能只是多...
网安学习-应急响应4
weixin_44770698的博客
08-12 1295
网安学习-应急响应4
【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog
今天是几号的博客
05-03 3075
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 1824
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
应急响应三 - 数据库&漏洞口令检索&应急取证
acepanhuan的博客
04-02 567
应急响应三 - 数据库&漏洞口令检索&应急取证
[应急响应]
weixin_47920370的博客
04-22 4471
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web安
应急响应-数据库&漏洞口令检索&应急取证
xhscxj的博客
03-27 5968
必须知识点: 1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作, 除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。 2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫 案例 1-Win 日志自动神器 LogonTracer-外网内网 如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/ linux 安装使用笔记:阿里云主机记得.
Docker安装Zookeeper详细指南
"本资源详细介绍了如何在Docker环境下安装并配置Zookeeper,包括拉取镜像、创建数据挂载目录、启动Zookeeper服务以及调整配置文件等关键步骤。" 在Docker安装Zookeeper的过程可以分为以下几个步骤: 1. 拉取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值