FalconHound 是一款蓝队多功能工具。它允许您以更自动化的方式利用和增强 BloodHound 的功能

FalconHound 是一款蓝队多功能工具。它允许您以更自动化的方式利用和增强 BloodHound 的功能。它旨在与 SIEM 或其他日志聚合工具结合使用。

BloodHound 的挑战性之一是它是时间快照。FalconHound 包含可用于使环境图表保持最新状态的功能。这可让您查看当前环境。这对于不断变化的环境尤其有用。

BloodHound 最难收集的关系之一是本地组成员和会话信息。作为蓝队成员，我们可以在日志中随时获取这些信息。FalconHound 可用于收集这些信息并将其添加到图表中，以便 BloodHound 使用它。

这只是 FalconHound 的使用示例。它可用于收集日志或安全工具中的任何信息，并将其添加到 BloodHound 图表中。

此外，该图还可用于触发警报或生成丰富列表。例如，如果将用户添加到某个组，则可以使用 FalconHound 查询图数据库，以查找通往敏感或高权限组的最短路径。如果有路径，则可以将其记录到 SIEM 或用于触发警报。

可以使用FalconHound的其他示例：

• 根据登录和注销事件，在图表中添加、删除或超时会话。
• 当 Sentinel 或 MDE 中发生事件时，在图表中将用户和计算机标记为受到损害。
• 添加 CVE 信息以及图表中是否有可用的公开漏洞。
• 各类 Azure 活动。
• 当用户添加到组或具有新角色时，重新计算到敏感组的最短路径。
• 向图表中添加新用户、组和计算机。
• 为 Sentinel 和 Splunk 生成丰富列表，例如 Kerberoastable 用户或拥有某些实体所有权的用户。

操作示例

除了查询日志以查找新的登录信息（这将导致用户和计算机之间产生新的HasSession边）之外，我们还可以做更多的事情。同样有趣的是创建新帐户、将其添加到组或为其分配角色等等。大多数这些操作已经创建，但欢迎向我们的存储库贡献更多内容。我们还在收集其他特殊事件，下面是一些示例。

拥有的资源

我们可以做的另一件事（我认为这真的很酷）是，我们可以同步连接到用户或计算机的安全产品的警报，并将其标记为owned数据库中的警报。对于每个新警报，owned都会在节点上设置属性，并将alertid添加到alerts该节点上的属性中。一旦警报得到解决或关闭，alertid将从alerts属性中删除。此外，还有一个清理操作，一旦属性为空，就会owned从节点中删除该属性。alerts

可利用资源

Microsoft Defender for Endpoint 能够扫描已安装设备上的漏洞。此外，Microsoft 维护一个包含 CVE 的数据库，并记录是否存在公开的漏洞，这使得该主机更有可能被利用。FalconHound 中有一个基于 MDE 的操作，它将在具有公开漏洞的计算机上查询新发现的 CVE。这些计算机将被标记为，exploitable并将具有exploits包含 CVE 的属性。

暴露的资源

Microsoft Defender for Endpoint 有一个日志源，可以显示计算机是否具有可供互联网公众使用的端口。其工作方式是，Microsoft 有几台计算机在互联网上运行端口扫描。他们为此使用不同云提供商的计算机，以确保不仅 Microsoft IP 块被允许访问。此扫描数据在后端与来自主机的成功入站连接信息相关联，这表明该计算机实际上可以从互联网成功访问。我们可以使用 MDE 操作查询此数据，对于生成的计算机，我们可以将它们标记为并exposed添加ports属性，并使用可访问端口填充它。

存储库中的操作仅查找远程连接方面较危险的端口（3389、445、389、636、135、139、161、53、21、22、23、1433），但这可以在操作中调整。

会话跟踪

由于我们正在将新会话同步到 BloodHound 数据库，因此一旦这些会话不再处于活动状态，删除它们也是有意义的。然而，在对警报或其他触发事件进行后续调查时，这也可能导致路径计算中出现潜在的盲点。

这就是为什么我引入了另一个优势，即HadSession 。这使我们能够删除计算机上用户的活动会话 ( HasSession )，并将其注册为该计算机上的先前会话。

HadSession 边缘示例。

这也为新路径发现提供了大量机会。当用户没有当前会话时，他们通常可能会返回该计算机并再次登录，重新建立活动会话。如果一条路径上的多台计算机都是这种情况，则假设该路径存在。然而，在传统的收集方式中，这不太可能出现。

虽然 BloodHound 目前不支持此边缘，但它会正常显示，并且应该纳入所有基于路径的计算中，除非您的查询中指定了边缘。

横向移动/路径遍历

由于 FalconHound 能够同步会话和警报，我们现在还可以发现跨路径的横向移动。当一条路径开始显示多个警报时，也可以预测攻击者下一步可能移动到哪里，并允许防御团队专注于调查下一跳；并可能切断该路径。攻击者很可能看到相同的路径信息，但不知道防御者也在使用它。

横向移动示例，其中通往高价值资产的路径上有一系列警报。

显然，还有更多丰富和路径发现的可能性；这只是一个开始。我们 FalconForce 相信这个附加平台对增强检测和响应能力的价值。我们将继续开发和改进工具和操作库，但也希望邀请您通过贡献来支持该项目。

https://github.com/FalconForceTeam/FalconHound