业界首个开源域安全入侵感知系统 —— 360WatchAD
2019年10月26日,由360信息安全中心0kee Team 自主开发的域安全入侵感知系统——360WatchAD正式对外开源,成为国内域安全检测领域的开拓者。 什么是360WatchAD? 360WatchAD是360公司在面临高级域渗透活动的威胁下,研发出的一款威胁检测产品。适用于基于Windows域构建的企业内网。通过对域控服务器数据的即时分析,360WatchAD能够及时准确发现高级域渗透活动,检测覆盖内网攻击杀伤链大部分手法。 本产品作为内部安全防线的最后关键一环,可让企业具备针对公司级别高级域渗透活动的感知与预警能力,加固基于windows域的办公网安全。 工作原理 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,威胁检测项覆盖了目前大部分常见的内网域渗透手法。 检测功能 信息探测:使用SAMR查询敏感用户组、使用SAMR查询敏感用户、蜜罐账户的活动、PsLoggedOn信息收集 凭证盗取:Kerberoasting(流量)、AS-REP Roasting、远...
