Windows AD日志分析平台WatchAD安装教程,
Windows AD日志分析平台WatchAD安装教程,
目录
- WatchAD介绍
- 安装环境
- WatchAD安装(日志分析端服务)
- 基础环境配置
- 安装WatchAD
- 运行WatchAD
- WatchAD-web安装(Web监控端服务)
- 下载WatchAD-Web源码
- 修改配置
- 进行编译
- 安装
WatchAD介绍
WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。
项目地址:WatchAD
安装环境
- CentOS 7
WatchAD安装(日志分析端服务)
基础环境配置
安装WatchAD
运行WatchAD
执行命令:python3 WatchAD.py --start
WatchAD-web安装(Web监控端服务)
下载WatchAD-Web源码
git clone https://github.com/0Kee-Team/WatchAD-Web.git
修改配置
修改连接数据库的配置:
把{WatchAD-Web}/server/config/database_config.py
此文件中的127.0.0.1
全改为WatchAD所在的服务器IP。
修改前端页面配置:
把WatchAD-Web/frontend/.env.production
和WatchAD-Web/frontend/.env.development
此文件中的127.0.0.1
改为WatchAD-Web所在服务器的IP。我的WatchAD和WatchAD-Web搭建在一个服务器了,所以IP一样。
进行编译
进到下载WatchAD-Web目录,执行:docker-compose build
,如果上一步的配置有修改或者代码有变动,需要重新执行此命令,下一步的docker-compose up
才会对修改生效
注意:
编译时,报错:
ERROR: Service 'server' failed to build: The command '/bin/sh -c pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple' returned a non-zero code: 2
原因:因为环境中,pip默认指向的是python2.7版的。
解决办法:修改{WatchAD-Server}/server/Dockerfile文件中的pip
为pip3
就可以了
安装
执行命令:docker-compose up -d
启动后,就可以访问WatchAD-Web前端页面了,地址:http://服务器ip/activity_timeline.html
参考链接:
相关内容
- 暂无相关文章
评论关闭