Рис. 2.4. Форма поиска
Форма поиска состоит из следующих элементов:
● Дополнительная информация (More Info)
● Поле поиска узлов
● Поиск путей (Pathfinding)
● Возврат (Back)
● Фильтрация типов связей (Filter Edge Types)
Дополнительная информация (More Info)
Этот объект является основным полем для получения информации о свойствах и некоторых связях узлов. При нажатии на кнопку More Info выпадает поле, состоящее из трех элементов.
Рис. 2.5. Вкладка «Дополнительная информация»
Database Info
Вкладка содержит статистические данные по количеству объектов в базе данных, а также некоторые инструменты для работы с базой данных (рис. 2.6).
Рис. 2.6. Статистика по узлам и связям
Ниже статистики находятся элементы для управления данными.
Рис. 2.7. Управление данными
Кратко рассмотрим эти элементы и их функционал:
● Refresh Database Stats – после загрузки данных или добавления информации через запросы Cypher статистика может быть неверной, эта кнопка обновляет статистические данные.
● Warm Up Database – по описанию от разработчиков, при нажатии этой кнопки данные из базы переносятся в оперативную память, что позволяет увеличить скорость работы с ними.
● Clear Sessions – при нажатии этой кнопки удаляются все связи HasSession. Эта функция бывает полезной перед загрузкой новых данных о сессиях пользователей.
● Clear Database – при нажатии этой кнопки удаляются все узлы и связи между ними.
Замечание
Интересно, что при очистке базы данных в браузере neo4j остаются ссылки на свойства объектов и названия связей.
Информация об узле (Node Info)
В этой вкладке отображаются свойства узла. Кроме того, в ней выполняются некоторые Cypher-запросы, которые предоставляют статистические данные, например, для пользователей и компьютеров выдается информация о сессиях или коротких путях до узлов высокой ценности.
Рис. 2.8. Информация об узле
Разные типы узлов содержат разную информацию. Так, например, групповые политики содержат информацию, к каким пользователям или компьютерам они применяются, а у пользователей и компьютеров отображается информация о правах на другие объекты или правах, связанных с боковым перемещением (рис. 2.9).
Рис. 2.9. Информация о группах и правах
Очень полезна информация о входящих и исходящих правах (ACL) на другие объекты, которые могут быть использованы во время работ.
Рис. 2.10. Входящие и исходящие ACL
Анализ (Analysis)
Вкладка Анализ (Analysis) содержит встроенные в BloodHound полезные запросы, с которых можно начать исследовать инфраструктуру Active Directory (рис. 2.11).
Рис. 2.11. Список встроенных запросов
Информация
Встроенные запросы находятся в файле >PrebuildQueries.json в директории >src\components\SearchContainer\Tabs.
Ниже находится раздел для добавления собственных Cypher-запросов, который содержит форму для их создания, а также список созданных запросов, разделенный по категориям.
Рис. 2.12. Раздел создания собственных запросов
При нажатии на кнопку в виде карандаша появляется форма для добавления запросов (рис. 2.13).
При переходе к полю выбора категории запроса можно создать собственную категорию или выбрать из существующих.
Информация
Файл >customqueries.json с собственными запросами находится в домашней директории пользователя, запустившего BloodHound, с путем >\AppData\Roaming\bloodhound\.
Рис. 2.13. Форма добавления собственных запросов
Информация
При вызове формы добавления собственных графов файл создается автоматически, если он еще не создан.
Мы еще вернемся к созданию собственных запросов.
Поле поиска
Следующий элемент – форма поиска узлов. Если начинать вводить буквы, BloodHound предлагает различные варианты. Также форма поиска показывает различные типы меток – они дают возможность видеть, к какому типу принадлежит узел. Функция полезна для поиска узлов по ключевым словам.