20/09/2024

Importer les données collectées dans BloodHound

À présent, nous avons tout ce qu'il faut pour commencer notre analyse ! Une fois l'archive ZIP sous la main, il nous faut la décompresser afin de retrouver différents fichiers JSON, plus ou moins volumineux en fonction de la taille de votre Active Directory :

Décompression de l'archive ZIP et obtention de différents fichires JSON.
Décompression de l'archive ZIP et obtention de différents fichiers JSON.

De retour sur l'interface web BloodHound et authentifié, nous allons nous rendre dans la roue crantée, puis dans "Administration" :

Accès au menu d'administration dans l'interface web de BloodHound.
Accès au menu d'administration dans l'interface web de BloodHound.

Nous irons ensuite dans le menu "File Ingest", puis cliquerons sur "Upload" pour voir apparaitre un menu nous permettant de glisser/déposer nos fichiers JSON :

Interface d'upload des fichiers JSON générés par SharpHound.
Interface d'upload des fichiers JSON générés par SharpHound.

Une fois déposés, nous pouvons cliquer sur "Upload" :

Dépôt des fichiers JSON dans l'interface BloodHound.
Dépôt des fichiers JSON dans l'interface BloodHound.

Un contrôle de structure est alors effectué sur nos différents fichiers afin de s'assurer qu'ils correspondent à ce qui est attendu par BloodHound. Si tout est vert, nous pouvons cliquer sur "Upload" à nouveau, puis encore "Upload" au message d'avertissement et enfin sur "Close".

Import des données en cours sur l'interface BloodHound.
Import des données en cours sur l'interface BloodHound.

Vous verrez alors que vos données sont marquées en Ingesting, cela signifie que l'opération d'import est en cours. Cette phase peut-être plus ou moins longue en fonction de la taille de votre Active Directory et des options de collecte utilisées.

Comme spécifié précédemment dans le cours, la collecte des données exporte certains objets et attributs d'objet de l'Active Directory vers des fichiers JSON. L'import des données dans BloodHound transfert les données des fichiers JSON vers la base de données Neo4j afin que l'on puisse facilement les interroger et les manipuler.

Une fois l'import terminé, vous verrez un Complete sur la ligne correspondante à votre import :

Fin de l'import des données dans BloodHound.
Fin de l'import des données dans BloodHound.

Dernière vérification avant de passer à l'analyse des données et la découverte de chemins d'attaque : vous pouvez vous rendre, au sein du panel d'administration, dans le menu "Data Quality" afin de voir le nombre de nodes présents dans la base de données :

Accès au menu "Data Quality"
Accès au menu "Data Quality"

Si vous voyez autre chose que "0" en face de la plupart des nodes (au moins "Users", "Computers" et "Groups"), c'est que l'import s'est effectivement bien passé. Vous pouvez également profiter de cette vue pour vous familiariser avec les icônes/couleurs qui représentent les types de nodes sur lesquels vous allez travailler.

Chapitre Précédent
Retour au Module
Module Suivante
author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
See Full Bio
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Arborescence

Empêcher Windows Update de redémarrer l’ordinateur

Florian BURNEL 0

pfSense : Activer l’accès à l’interface web depuis WAN

Florian BURNEL 7
Microsoft Patch Tuesday Septembre 2022

Patch Tuesday – Septembre 2022 : Microsoft corrige 63 failles de sécurité et 2 zero-day

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.