LogonTracer 开源项目使用教程

LogonTracer 开源项目使用教程

LogonTracer Investigate malicious Windows logon by visualizing and analyzing Windows event log 项目地址: https://gitcode.com/gh_mirrors/lo/LogonTracer

1. 项目介绍

LogonTracer 是一个用于调查恶意登录行为的工具，通过可视化和分析 Windows Active Directory 事件日志来实现。该工具将主机名（或 IP 地址）和账户名关联起来，并以图形方式展示，从而帮助用户识别登录尝试的发生位置和使用的设备。LogonTracer 支持以下事件 ID 的可视化：

• 4624: 成功登录
• 4625: 登录失败
• 4768: Kerberos 认证（TGT 请求）
• 4769: Kerberos 服务票据（ST 请求）
• 4776: NTLM 认证
• 4672: 分配特殊权限

LogonTracer 还使用 PageRank、隐马尔可夫模型和 ChangeFinder 来检测事件日志中的恶意主机和账户。

2. 项目快速启动

2.1 安装依赖

首先，确保你已经安装了 Docker 和 Docker Compose。然后，克隆 LogonTracer 项目：

git clone https://github.com/JPCERTCC/LogonTracer.git
cd LogonTracer

2.2 启动项目

使用 Docker Compose 启动 LogonTracer：

docker-compose up -d

2.3 访问 LogonTracer

启动后，可以通过浏览器访问 LogonTracer 的 Web 界面：

http://localhost:5000

3. 应用案例和最佳实践

3.1 应用案例

LogonTracer 可以用于以下场景：

• 安全事件响应：在发生安全事件时，通过分析登录事件日志，快速定位恶意登录行为。
• 账户审计：定期分析账户登录行为，识别异常登录尝试，防止账户被滥用。

3.2 最佳实践

• 定期更新：确保 LogonTracer 和相关依赖项保持最新，以获得最新的安全修复和功能改进。
• 日志收集：确保 Windows 事件日志被正确收集并导入 LogonTracer，以便进行分析。

4. 典型生态项目

LogonTracer 可以与其他安全工具和平台集成，形成更强大的安全分析生态系统：

• ELK Stack：与 Elasticsearch、Logstash 和 Kibana 集成，实现更强大的日志管理和可视化。
• SIEM 系统：与安全信息和事件管理（SIEM）系统集成，实现更全面的安全监控和响应。
• 威胁情报平台：与威胁情报平台集成，获取最新的威胁情报，增强安全分析能力。

通过这些集成，LogonTracer 可以更好地服务于企业的安全运营中心（SOC），提升整体安全防护能力。

LogonTracer Investigate malicious Windows logon by visualizing and analyzing Windows event log 项目地址: https://gitcode.com/gh_mirrors/lo/LogonTracer