Работает аналогично полю поиска, при нажатии стрелки формируется Cypher-запрос с построением коротких путей от первого узла до конечного.

Рис. 2.14. Форма поиска путей

Возврат (Back)

Кнопка в виде стрелки влево возвращает предыдущий граф, но без возврата самого запроса в Raw Query.

Фильтр связей (Filter Edge Types)

При нажатии на кнопку в виде воронки появляется новое окно с перечнем доступных связей, при снятии галки связь убирается из запроса при использовании формы Поиск путей (Pathfinding). Каждая группа имеет кнопки включения всех связей (две галки) и отключения всех связей (ластик).

Рис. 2.15. Фильтр связей

Меню состоит из следующих элементов:

● Обновление графа (Refresh)

● Экспорт графа (Export Graph)

● Импорт графа (Import Graph)

● Загрузка данных

● Статус загрузки (View Upload Status)

● Изменение отображения графа (Change Layout Type)

● Настройки

● Информация о программе (About)

Рис. 2.16. Меню

Обновление графа (Refresh)

Нажатие на эту кнопку позволяет вернуть граф в исходное состояние, которое было получено при выполнении запроса.

Экспорт графа (Export Graph)

Кнопка в виде стрелки вверх позволяет экспортировать граф. BloodHound поддерживает два формата – в виде картинки PNG или в формате JSON.

Данный функционал полезен для вставки картинки в отчет, а JSON-файл можно передать для анализа графа.

Импорт графа (Import Graph)

Кнопка в виде стрелки вниз позволяет загрузить ранее сохраненный граф в виде JSON-файла, в результате чего будет отрисован граф, созданный ранее.

Загрузка данных (Upload Data)

При нажатии на кнопку в виде стрелки вверх в круге появляется окно, в котором указываются файлы, сгенерированные SharpHound. Обычно SharpHound формирует ZIP-архив, в котором находятся файлы, разделенные по классу объектов домена.

BloodHound автоматически распаковывает архив и преобразовывает JSON в Cypher-запросы, тем самым загружая данные.

Статус загрузки (View Upload Status)

Кнопка в виде списка показывает статус загрузки данных. При нажатии на кнопку Clear Finished статус удаляется.

Изменение отображения графа (Change Layout Type)

Иконка в виде графика позволяет изменять отображение графа. BloodHound предоставляет два вида отображения – Направленное (Directed) и Иерархическое (Hierarchical) (рис. 2.17–2.18).

Изменение типа позволяет лучше рассмотреть граф, и в некоторых случаях BloodHound выстраивает красивые цепочки.

Рис. 2.17. Направленное отображение графа

Рис. 2.18. Иерархическое отображение графа

Настройки (Settings)

При нажатии на кнопку Настройки появляется окно с настройками, их немного.

Рис. 2.19. Окно с настройкам

Кратко рассмотрим представленные настройки.

Порог свертывания узлов (Collapse Threshold). В BloodHound есть механизм, который группирует узлы, имеющие одинаковую связь (только одну) с другим узлом. Это позволяет уменьшить нагрузку на отображение графа, но при этом можно упустить какой-то узел. Применяется к Группам (Group), Контейнерам (Container) и Подразделениям (OU). Данный параметр имеет числовое значение, по умолчанию это 5, что означает – если будет пять узлов или больше, то они объединятся в одну группу. В этой группе появится значок количества объектов внутри группы. Значение 0 отключает эту функцию.

Отображение названия связи (Edge Lable Display) – режим отображения названия связи.

Отображение названия узла (Node Lable Display) – режим отображения названия узла.

Режим отображения узлов и связей может иметь следующие варианты:

● Пороговое отображение (Threshold Display) – название появляется или исчезает при изменении масштаба графа.

● Всегда показывать (Always Display) – название всегда отображается.

● Никогда не показывать (Never Display) – название никогда не отображается.

Вне зависимости от выбранного режима отображения название появится при наведении курсора мыши на узел.