观看广告 AD安全入侵检测系统 英文文件|文件 在收集所有域控制器上的事件日志和kerberos流量之后,WatchAD可以通过功能匹配,Kerberos协议分析,历史行为,敏感操作,蜜罐帐户等来检测各种已知或未知威胁.WatchAD规则涵盖了许多常见的AD攻击。 WatchAD在Qihoo 360 Intranet上运行良好已超过六个月,并且发现了一些威胁活动。 为了支持开源社区并促进项目的改进,我们决定基于事件日志检测来开放系统的开源部分。 当前支持以下检测: 发现:使用目录服务查询进行侦察,使用PsLoggedOn进行侦查,Honeypot帐户活动。 凭证转储:Kerbero