WatchAD2.0！360域威胁感知系统

产品简述

WatchAD2.0是360信息安全中心开发的一款针对域安全的日志分析与监控系统，它可以收集所有域控上的事件日志、网络流量，通过特征匹配、协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁，功能覆盖了大部分目前的常见内网域渗透手法。相较于WatchAD1.0，有以下提升：

1. 更丰富的检测能力：新增了账户可疑活动监测场景，加强了权限提升、权限维持等场景检测能力，涵盖包括异常账户/活动、Zerologon提权、SPN劫持、影子票证等更多检测面。

2. 基于Golang重构分析引擎：将开发语言从Python重构为Golang，利用其更高效的并发能力，提高对海量日志及流量等数据处理效率，确保告警检出及时有效。

3. 整合简化架构：Web平台和检测引擎整合，简化部署过程，用户只依赖消息队列和存储组件即可完成部署。在提高系统的性能和稳定性的同时，也使得系统更加高效和易用，为用户提供更好的体验。

• 异常活动检测：证书服务活动、创建机器账户事件活动、创建类似DC的用户账户、重置用户账户密码活动、TGT 票据相关活动；
  

• 凭证盗取：AS-REP 异常的流量请求、Kerberoasting 攻击行为、本地Dump Ntds文件利用；

• 横向移动：目录服务复制、异常的显示凭据登录行为、远程命令执行；

• 权限提升：ACL 异常修改行为、滥用证书服务权限提升、烂土豆提权、MS17-010、新增GPO监控、NTLM 中继检测、基于资源的约束委派、SPN 劫持、攻击打印服务、ZeroLogon 提权攻击；

• 权限维持：DCShadow 权限维持、DSRM 密码重置、GPO 权限委派、SamAccountName欺骗攻击、影子票证、Sid History 权限维持、万能密钥、可用于持久化的异常权限；

• 防御绕过：系统日志清空、关闭系统日志服务；

自定义检测规则：

在{project_home}/detect_plugins/event_log/目录下可以修改或添加规则，需重新编译以使其生效。