Рис. 2.5. Вкладка «Дополнительная информация»
Database Info
Вкладка содержит статистические данные по количеству объектов в базе данных, а также некоторые инструменты для работы с базой данных (рис. 2.6).
Рис. 2.6. Статистика по узлам и связям
Ниже статистики находятся элементы для управления данными.
Рис. 2.7. Управление данными
Кратко рассмотрим эти элементы и их функционал:
● Refresh Database Stats – после загрузки данных или добавления информации через запросы Cypher статистика может быть неверной, эта кнопка обновляет статистические данные.
● Warm Up Database – по описанию от разработчиков, при нажатии этой кнопки данные из базы переносятся в оперативную память, что позволяет увеличить скорость работы с ними.
● Clear Sessions – при нажатии этой кнопки удаляются все связи HasSession. Эта функция бывает полезной перед загрузкой новых данных о сессиях пользователей.
● Clear Database – при нажатии этой кнопки удаляются все узлы и связи между ними.
Замечание
Интересно, что при очистке базы данных в браузере neo4j остаются ссылки на свойства объектов и названия связей.
Информация об узле (Node Info)
В этой вкладке отображаются свойства узла. Кроме того, в ней выполняются некоторые Cypher-запросы, которые предоставляют статистические данные, например, для пользователей и компьютеров выдается информация о сессиях или коротких путях до узлов высокой ценности.
Рис. 2.8. Информация об узле
Разные типы узлов содержат разную информацию. Так, например, групповые политики содержат информацию, к каким пользователям или компьютерам они применяются, а у пользователей и компьютеров отображается информация о правах на другие объекты или правах, связанных с боковым перемещением (рис. 2.9).
Рис. 2.9. Информация о группах и правах
Очень полезна информация о входящих и исходящих правах (ACL) на другие объекты, которые могут быть использованы во время работ.
Рис. 2.10. Входящие и исходящие ACL
Анализ (Analysis)
Вкладка Анализ (Analysis) содержит встроенные в BloodHound полезные запросы, с которых можно начать исследовать инфраструктуру Active Directory (рис. 2.11).
Рис. 2.11. Список встроенных запросов
Информация
Встроенные запросы находятся в файле PrebuildQueries.json в директории src\components\SearchContainer\Tabs.
Ниже находится раздел для добавления собственных Cypher-запросов, который содержит форму для их создания, а также список созданных запросов, разделенный по категориям.
Рис. 2.12. Раздел создания собственных запросов
При нажатии на кнопку в виде карандаша появляется форма для добавления запросов (рис. 2.13).
При переходе к полю выбора категории запроса можно создать собственную категорию или выбрать из существующих.
Информация
Файл customqueries.json с собственными запросами находится в домашней директории пользователя, запустившего BloodHound, с путем \AppData\Roaming\bloodhound\.
Рис. 2.13. Форма добавления собственных запросов
Информация
При вызове формы добавления собственных графов файл создается автоматически, если он еще не создан.
Мы еще вернемся к созданию собственных запросов.
Поле поиска
Следующий элемент – форма поиска узлов. Если начинать вводить буквы, BloodHound предлагает различные варианты. Также форма поиска показывает различные типы меток – они дают возможность видеть, к какому типу принадлежит узел. Функция полезна для поиска узлов по ключевым словам.
Внимание
По умолчанию поиск по ключевому слову ограничивается 10 узлами. Изменить количество узлов можно в Raw Query, если в настройках включен Query Debug Mode.
Кроме имени для поиска можно использовать свойство objectid.
Форма Поиск путей (Pathfinding)
Функция позволяет строить короткие пути. При нажатии на иконку появляется еще одна форма поиска, в первой строке указывается начальный узел, во второй – конечный (рис. 2.14).