开源共建,360推出WatchAD2.0域安全威胁感知系统新版本

news2024/12/23 3:25:26

不论是在攻防演练还是真实入侵对抗场景中,攻击者往往通过攻击域控获取特权管理权限进而横向控制企业内网,窃取重要资产和数据,凭借独特的管理优势,AD域被广泛应用于大型企业的IT基础设施的集中管理。

然而,传统的网络安全防御手段往往不足以抵御域渗透攻击身份凭证的威胁。由于AD域管理的集中性与特权管理特性,如何提升域安全性、识别域攻击威胁并保障办公安全也成为企业关注的重要环节之一。

基于十余年实战攻防经验,360以攻防、实战、对抗为导向,以“看见+处置”为核心,采取“集中化、统一化、平台化、服务化”的技术思想,帮助企业建立纵深防御体系,应对数字时代安全挑战。

360信息安全中心自主研发域安全入侵感知系统WatchAD,自2019年起正式对外开源,并在Defcon 27 Blue Team Village中分享了项目的核心技术,成为国内域安全检测领域的开拓者。四年来,360信息安全中心在WatchAD基础上升级再次开源WatchAD2.0,旨在帮助企业建立域环境安全防护体系,进一步提升企业应对域渗透威胁活动的能力。

 

工作原理

WatchAD2.0分为日志收集Agent、规则检测及分析引擎、缓存数据库和Web控制端四个部分。它通过采集域控产生的事件日志和Kerberos流量,利用流式处理引擎在特征匹配、协议分析、行为监测、敏感操作和蜜罐账户捕获等方面进行实时分析,及时发现并预警安全风险。目前,WatchAD2.0威胁检测项已覆盖了大部分常见的内网域渗透手法。

 

WatchAD2.0可实现AD域安全全生命周期的防护。在企业安全运营中,WatchAD2.0从陈旧对象、特权用户、信任关系、异常对象等多角度进行内容检测,检测范围全面覆盖域内漏洞、基线与后门,及时发现域安全防护体系中的风险,避免域控被攻击者利用而造成企业资产损失。

同时,WatchAD2.0可以有效识别用户异常行为,准确判定攻击行为。针对域信息收集探测、域账户权限提升、横向移动、权限维持、威胁扩散等域渗透攻击的不同阶段,WatchAD2.0都开放了相应的检测方法和规则,支持域渗透全路径的监测。

 

产品优势

WatchAD1.0自开源以来收获了多方的关注与好评,助力众多企业构建了自身域安全防御体系。而相较于1.0版本,WatchAD2.0以下多个方面均有提升:

1.更丰富的检测能力,覆盖广准确度高

结合360多年积累的攻防实战经验,WatchAD2.0在原有能力基础上,新增了账户可疑活动监测场景,加强了权限提升、权限维持等场景检测能力,涵盖了包括异常账户/活动、Zerologon提权、SPN劫持、影子票证等更多检测面。

2.基于Golang重构分析引擎,提升分析效率

WatchAD的开发语言从Python重构为Golang,利用其更高效的并发能力,提高对海量日志及流量等数据处理效率,确保告警检出及时有效。

3.开箱即用,系统稳定易用更高效

我们将Web平台和检测引擎整合,简化了部署过程,用户只依赖消息队列和存储组件即可完成WatchAD2.0的部署。在提高系统的性能和稳定性的同时,也使得系统更加高效和易用,为用户提供更好的体验。

开源共享

WatchAD2.0在360集团内部运行多年,内部攻防演练期间曾监测到PsloggedOn信息泄漏、黄金票据、Kerberoasting、NTLM Relay等多种攻击方式。现今,我们将WatchAD2.0事件日志检测能力再次开源,方便组织和个人爱好者研究和部署。

除开源版本外,WatchAD2.0企业版在基于事件日志检测能力的基础上,融合了流量检测和旁路检测,能够实时分析全流量中的域攻击行为,从而提供更为全面的域安全防护能力。

360本地安全大脑产品也已全面内置WatchAD2.0检测规则和安全能力,企业可根据自身需求与应用场景,依托360本地安全大脑构建集成域安全检测和防护能力的一体化运营平台,联动各类生态安全产品,实现域威胁监测和响应的可视化和智能化。

源码和教程链接:https://pan.baidu.com/s/1GLNNsQzoes19lzN7V81cAQ?pwd=9bnv

提取码:9bnv

360本地安全大脑:https://www.360.net/product-center/security-intelligence-brain/index

信息来源360官方

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/751443.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【手撕C语言基础】结构体(2)

(꒪ꇴ꒪(꒪ꇴ꒪ ),hello我是祐言博客主页:C语言基础,Linux基础,软件配置领域博主🌍快上🚘,一起学习!送给读者的一句鸡汤🤔:集中起来的意志可以击穿顽石!作者水平很有限,如果发现错误…

微服务-Nacos环境安装

文章目录 1. 微服务1.1 微服务概括 2. 微服务框架2.1 Spring Cloud2.2 Spring Cloud alibaba/Spring Cloud Netflix2.3微服务框架组件(alibaba) 3 Nacos3.1 Nacos介绍3.3 Naocs工作结构3.3 Nacos功能3.4 环境准备下载安装 1. 微服务 1.1 微服务概括 单体架构有问题,所以做项目…

【uniapp开发小程序】设置开屏广告,广告图片全屏、覆盖自带胶囊导航

效果图: 点击跳转其他小程序: uni.navigateToMiniProgram() 官方文档:uni.navigateToMiniProgram(OBJECT) | uni-app官网 // 示例代码 uni.navigateToMiniProgram({appId: ,path: pages/index/index?id123,extraData: {data1: test},succes…

最新AI换脸替换工具离线版,一张图实现视频或者图片换脸

最新AI换脸替换工具离线版,一张图实现视频或者图片换脸 AI换脸替换工具离线版 基于开源项目,做了如下的小工具,给定一张人脸图,即可实现将某视频或者图片的人脸替换成给定的人脸。 软件操作依然很简单,鼠标悬停问号都…

七大排序算法——冒泡排序,通俗易懂的思路讲解与图解(完整Java代码)

文章目录 一、排序的概念排序的概念排序的稳定性七大排序算法 二、冒泡排序核心思想代码实现 三、性能分析四、七大排序算法 一、排序的概念 排序的概念 排序:所谓排序,就是使一串记录,按照其中的某个或某些关键字的大小,递增或…

Nacos注册与配置中心:使用详讲

文章目录 注册1. 引入依赖2. yaml配置设置命名空间注册信息在nacos中的内存状态总结nacos的服务注册发现机制 配置中心应用场景配置中心运行结构远程配置:1. 在本地进程添加config 依赖 和bootstrap依赖2. 需要引入一个bootstrap.yaml文件 案例练习 注册 所有组件配置步骤-大三…

面向Web开发人员的Linux实用入门(转)

从 web 开发的视角说一下在使用 Linux 时遇到的问题,主要是针对操作本身,因为指令在网上都可以查到,不会深入原理,但尽量实用。 基础认知 为什么使用 Linux 最初我使用 Linux 是因为我需要的应用在教程里只提供了 Linux 版本&a…

一、Dell服务器的iDRAC管理卡连接

Dell服务器的iDRAC管理卡图文教程 1、网线连接idrac口2、查看idrac地址3、匹配IP地址4、web登录idrac页面5、登录成功页面 带有集成戴尔远程访问控制器 (idrac)的系统具有默认用户名和密码,但您也可以使用安全密码对其进行配置。默认使用web浏…

【设计模式】简易俄罗斯转盘实现JAVA

大家好哇,我是梦辛工作室的灵,最近有些无聊,没得什么事情做,所以想再熟悉熟悉设计模式吧,然后就写了个俄罗斯转盘玩,还是老样子先看结果: 看上去还是不错的吧,最后那个只是打印&…

数学建模 插值算法

有问题 牛顿差值也有问题它们都有龙格现象,一般用分段插值。 插值预测要比灰色关联预测更加准确,灰色预测只有2次 拟合样本点要非常多,样本点少差值合适

Qt 桌面系统设计

文章目录 前言一、项目介绍二、界面布局三、按键图标四、桌面背景五、实现led功能总结 前言 这篇文章介绍 一个Qt 桌面系统的项目,大家可以在此基础上加以改进,实现更多的功能。 一、项目介绍 可以看到 这个桌面系统上分为两部分,左边是 三个…

在Linux上 USRP RIO 2944 使用 PCIe

支持的硬件 USRP-2900USRP-2901USRP-2920USRP-2921USRP-2922USRP-2930USRP-2932USRP-2940 40 MHzUSRP-2940 120 MHzUSRP-2942 40 MHzUSRP-2942 120 MHzUSRP-2943 40 MHzUSRP-2943 120 MHzUSRP-2944USRP-2945USRP-2950 40 MHzUSRP-2950 120 MHzUSRP-2952 40 MHzUSRP-2952 120 MH…

【Unity面试篇】Unity 面试题总结甄选 |算法相关 | ❤️持续更新❤️

前言 之前整理了一篇关于Unity面试题相关的所有知识点:2022年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】为了方便大家可以重点复习某个模块,所以将各方面的知识点进行了拆分并更新整…

山西电力市场日前价格预测【2023-07-14】

日前价格预测 预测明日(2023-07-14)山西电力市场全天平均日前电价为315.29元/MWh。其中,最高日前价格为386.08元/MWh,预计出现在21: 45。最低日前电价为232.93元/MWh,预计出现在14: 45。 价差方向预测 1:实…

利用windows恶意软件获取windows主机shell

实验目的: 模拟黑客利用windows恶意软件获取windows主机shell权限的过程 熟悉操作使用的命令实验准备: kali 同网段的windows主机(关闭防火墙) msfvenom是一个Metasploit独立的有效负载生成器,也是msfpayload和msfenco…

【大数据之Hive】二十二、HQL语法优化之Join优化

主要控制优化使用哪种join算法。 1 Common Join Common Join是Hive中最稳定的join算法也是默认的join算法,其通过一个MapReduce Job完成一个join操作。Map端负责读取join操作所需表的数据,并按照关联字段进行分区,通过Shuffle,将…

【动手学深度学习】--01.线性回归

文章目录 线性回归1.原理1.1线性模型1.2衡量预估质量——平方损失1.3训练数据1.4参数学习1.5优化算法 2.从零开始实现线性回归2.1生成数据集2.2批量读取数据集——Mini-batch思想2.3初始化模型参数2.4定义模型2.5定义损失函数2.6定义优化算法2.7训练模型 3.借助深度学习框架实现…

关于nginx学习记录(一)

系列文章目录 第一章 Nginx 学习入门——Nginx的概述及安装 系列文章目录 一、Nginx 概述 二、安装步骤 1.下载pcre安装包,并放入linux中,进行解压: 2.pcre解压完成后,进入解压后的文件,执行./configure命令 3.在当前目录执行命令:make && make install 4.由于到…

【并发编程的艺术读书笔记】创建线程的四种方式

创建线程的四种方式 继承Thread类 public class MyThread extends Thread {Overridepublic void run() {System.out.println("MyThread...run...");}public static void main(String[] args) {// 创建MyThread对象MyThread t1 new MyThread() ;MyThread t2 new M…

神经网络模型在深度学习中的作用

神经网络模型是一种模拟人脑神经元之间连接和相互作用的数学模型。它由多个神经元(节点)以层次结构相互连接而成,每个神经元通过学习权重和偏置,根据输入数据产生相应的输出。 在深度学习中,神经网络模型被广泛应用于…