Belajar dengan berlatih: Melacak informasi otentikasi dengan Pelacak Logon JPCert

  • Whatsapp
Belajar dengan berlatih: Melacak informasi otentikasi dengan Pelacak Logon JPCert
Belajar dengan berlatih Melacak informasi otentikasi dengan Pelacak Logon JPCert

[*]News.nextcloud.asia

Postingan kali ini merupakan lanjutan dari postingan sebelumnya. Pertama kita memuat LogonTracer

[email protected]:~/LogonTracer$ python3 logontracer.py --run --port 5678 --user securitynik --password 'Testing1' --server 192.168.0.4

Argumen yang berbeda ini adalah:
–run: Luncurkan server web
–port: Nomor port tempat server web beroperasi – Dalam kasus saya ini adalah “5678”
–user: nama pengguna Neo4j – Dalam kasus saya, pengguna ini adalah “securitynik”
–password: Neo4j password – Dalam kasus saya ini adalah “Testing1”
–server: Alamat tempat server web beroperasi – Dalam kasus saya ini adalah “192.168.0.4”

Ini menghasilkan yang berikut di konsol:

[email protected]:~/LogonTracer$ python3 logontracer.py --run --port 5678 --user securitynik --password 'Testing1' --server 192.168.0.4
[*] Script start. 2019/02/21 20:12:11
 * Serving Flask app "logontracer" (lazy loading)
 * Environment: production
   WARNING: Do not use the development server in a production environment.
   Use a production WSGI server instead.
 * Debug mode: off
 * Running on http://0.0.0.0:5678/ (Press CTRL+C to quit)

Sekarang server sedang berjalan, sekarang mari kita mengaksesnya menggunakan browser kita.

Menggunakan “Unggah Log Peristiwa” di sisi kiri bawah layar, kami dapat menyediakan log Peristiwa Keamanan kami. Kami dapat mengunggah ini dalam salah satu dari dua format. Baik file .evtx mentah atau kita dapat menggunakan Windows Event Viewer dan mengekspor log ini sebagai XML. Anda disarankan untuk mengonversi file .EVTX ke .XML dengan mengekspor peristiwa keamanan dari Windows Event Viewer atau alat lain.

Sementara saya menunjukkan layar ini, saya benar-benar berjuang untuk mendapatkan acara saya dengan cara ini. Setiap kali, saya mengklik layar “log” log mengatakan ada masalah menghubungkan ke database.

Hasilnya, saya membuka “Peraga Peristiwa” dan memilih “Simpan Semua Acara Sebagai”. Di sini saya memberikan nama file saya sebagai “SecurityNik_Security-Events.xml” dan menentukan jenisnya sebagai “XML”. Perhatikan juga daripada memilih semua peristiwa, Anda dapat memfilter log peristiwa untuk ID peristiwa 4624, 4625, 4768, 4769, dan 4776, lalu menyimpan file yang difilter.

[email protected]:~/LogonTracer$ python3 ./logontracer.py --user securitynik --password Testing1 --xml upload/SecurityNik_Security-events.xml --timezone -5 --server 192.168.0.4
[*] Script start. 2019/02/23 17:04:12
[*] Time zone is -5.
[*] Last record number is 164.
[*] Start parsing the EVTX file.
[*] Parse the EVTX file upload/SecurityNik_Security-events.xml.
[*] Now loading 100 records.
[*] Load finished.
[*] Total Event log is 164.
[*] Calculate ChangeFinder.
[*] Calculate Hidden Markov Model.
/home/securitynik/.local/lib/python3.6/site-packages/hmmlearn/hmm.py:412: RuntimeWarning: divide by zero encountered in log
  return np.log(self.emissionprob_)[:, np.concatenate(X)].T
[*] Calculate PageRank.
[*] Creating a graph data.
[*] Creation of a graph data finished.
[*] Script end. 2019/02/23 17:04:33

Penting untuk dicatat bahwa agar ini berfungsi dengan baik, Anda perlu memastikan kebijakan keamanan Anda dikonfigurasi untuk menangkap ID peristiwa: 4624, 4625, 4768, 4769 dan 4776.

Setelah log telah diimpor, Anda dapat masuk ke portal dan memeriksa grafik Anda. Dalam kasus saya, kita melihat:

Harap dicatat bahwa ada contoh file “Security.evtx” di folder “sampel” LogonTracer.

Saya menemukan ini menjadi alat yang sangat menarik Anda harus mencobanya.

Referensi:
https://github.com/JPCERTCC/LogonTracer/wiki/How-to-Use

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.