Skip to content

使用方法

Jump to bottom
shu-tom edited this page Dec 29, 2017 · 15 revisions

1. LogonTracerの起動
2. Web GUIへアクセス
3. EVTXのインポート
4. イベントログの検索と可視化
5. アカウントとホストの重要度
6. タイムライン

LogonTracerの起動

LogonTracerをオプション -r で実行します。
オプション -h でヘルプメッセージを見ることができます。

$ python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP Address]
  • -r: Webサーバの起動
  • -o: Webサーバの動作するポート番号 (8080など)
  • -u: インストールしたNeo4jのユーザ名 (デフォルトではneo4j)
  • -p: インストールしたNeo4jのパスワード
  • -s: Webサーバの起動するアドレス (localhostなど)

Web GUIへアクセス

Webブラウザで http://[LogonTracer_Server]:8080/ にアクセスします。JavaScriptを有効にして下さい。

サポートするブラウザ

  • Mozilla Firefox
  • Google Chrome
  • Microsoft Edge

EVTXのインポート

Web GUIまたはlogontracer.pyを使用してイベントログをインポートします。EVTXをインポートした後、 Webブラウザをリロードする必要があります

Web GUIからインポートする方法

イベントログは"upload EVTX"ボタンでインポートできます。EVTXファイルのインポートが成功しない場合は、"Log"ボタンで確認してください。
Upload EVTX File

pythonスクリプトでインポートする方法

イベントログはlogontracer.pyのオプション -e でインポートできます。

$ python3 logontracer.py -e [EVTX File] -z [TIME Zone] -u [USERNAME] -p [PASSWORD] -s [IP Address]
  • -e: インポートするEVTXファイル
  • -z: タイムゾーン (例: +9, -5)

以下は、logontracer.pyからインポートしたサンプルの出力例です。

$ python3 logontracer.py -e Security.evtx -z -3 -u neo4j -p password -s localhost
/usr/local/lib/python3.5/dist-packages/statsmodels/compat/pandas.py:56: FutureWarning: The pandas.core.datetools module is deprecated and will be removed in a future version. Please use the pandas.tseries module instead.
from pandas.core import datetools
[*] Script start. 2017/12/17 22:02:27
[*] Delete all nodes and relationships from this Neo4j database.
[*] Parse the EVTX file Security.evtx.
[*] Next recode number is 62032.
[*] Time zone is -3.
[*] Start parsing the EVTX file.
[*] Now loading 62000 records.
[*] Load finished.
[*] Total Event log is 62031.
[*] Calculate PageRank.
[*] Calculate ChangeFinder.
[*] Creating a graph data.
[*] Creation of a graph data finished.
[*] Script end. 2017/12/17 22:15:04

イベントログの検索と可視化

ナビゲーションバーを使用して、アカウント名、ホスト名、IPアドレス、イベントID、およびイベント数を検索します。 Exportボタンは、CSV、JPG、PNG、JSONのグラフデータをダウンロードできます。
Web GUI Navigation Bar
サイドバーを使用して、特定の基準に一致するアカウント名を検索します。
Web GUI Side Bar

  • All users: すべてのアカウントとホストを可視化
  • SYSTEM privileges: システム権限のアカウントを可視化
  • RDP Logon: RDPログオンをしているアカウントとホストを可視化 (Logon type: 10)
  • Network Logon: リモートログオンをしているアカウントとホストを可視化 (Logon type: 3)
  • Batch Logon: 自動ログオンしているアカウントとホストを可視化 (Logon type: 4).
  • Service Logon: サービスログオンしているアカウントとホストを可視化 (Logon type: 5).
  • ms14-068 exploit failure: ms14-068の脆弱性悪用の失敗を示すエラーログを可視化
  • Logon failure: ログオン失敗しているアカウントを可視化

ノードの情報

  • Node Red 管理者権限アカウント
  • Node Blue 一般ユーザアカウント
  • Node Green IPアドレスおよびホスト

アカウントとホストの重要度

LogonTracerは、ランキングによって不正使用されたアカウント/ホストを表示することができます。 このランク付けのために、LogonTracerはイベントログのグラフ上でネットワーク分析を実行し、各ノードの「中心性」に基づいてランキングを作成します。 中心性は、各ノードがネットワーク内の中心に近接していることを示す指標です。 中心性の計算には、PageRankを使っています。 PageRankは、Webページの重要性をチェックするアルゴリズムです。 LogonTracerはPageRankを使用して、ドメインネットワーク内のアカウントとホストの重要性を調べます。 PageRankの高いアカウントは多くのホストにログオンしており、攻撃者のLateral Movementの動きによって使用されている可能性があります。
PageRank List

タイムライン

Timelineボタンは、時系列での1時間毎のイベントログのカウントを表示します。時系列で大きくカウント数が変化した部分はハイライト表示されます。この時系列の異常検出には、変化点検知アルゴリズムChange Finderを使用します。 タイムラインのサマリと詳細はDownloadボダンからCSVデータでダウンロードできます。 Timeline

Manual

  1. Home
  2. How to Install
    1. for Linux
    2. for OS X
  3. How to Use
    1. Start LogonTracer
    2. Accessing the Web GUI
    3. Import EVTX
    4. Search and visualize the event log
    5. Importance rank of accounts and hosts
    6. Timeline
    7. User Management
    8. Case Management
  4. Combining LogonTracer with Elasticsearch
  5. Jump start with Docker
  6. Setup with Docker Compose
  7. Setup with SSL
  8. Configuration
  9. Important Notes

マニュアル(日本語)

  1. ホーム
  2. インストール
    1. Linux
    2. OS X
  3. 使用方法
    1. LogonTracerの起動
    2. Web GUIへアクセス
    3. EVTXのインポート
    4. イベントログの検索と可視化
    5. アカウントとホストの重要度
    6. タイムライン
    7. ユーザ管理
    8. ケース管理
  4. Elasticsearchとの連携
  5. Dockerイメージの使い方
  6. Docker Composeの使い方
  7. 通信の暗号化
  8. 設定情報
  9. 注意

Clone this wiki locally