Versions et modèle économique
Ce cours est écrit au moment de la parution de la version BloodHound CE v5.5.0. Il s'agit de la version Community Edition. Gratuite, elle offre un accès aux principales fonctionnalités, dont celles de BloodHound Legacy (avant la version 5).
Il existe aussi une version BloodHound Enterprise depuis 2021, que je n'ai jamais testée. Quant à la version Legacy, il s'agit de toutes les versions avant la v5, sur laquelle un grand nombre de fonctionnalités et de nouveautés sont apparues.
Le détail des différences de fonctionnalités entre ces versions est présenté sur cette page BloodHound Version Feature Comparison.
Parmi les nouveautés de la version BloodHound CE sur les versions Legacy figurent :
| Fonctionnalité | Description |
| Data Collection - User Right Assigments (URA) | Collecte des privilèges spécifiques données aux objets (comme "SEDebugPrivilege" sur un objet "ordinateur"), notamment par GPO. |
| Data ingestion - Ingest data via API | Réception des données collectées par API plutôt que via l'interface graphique web |
| Data Analysis - Pre-built Cypher queries | Mise à disposition de requêtes Cypher pré-enregistrées pour l'Active Directory et Azure/Entra ID |
| Data Analysis - Automatically classify Tier Zero assets | Tag automatique de tous les utilisateurs appartenant au "Tier 0" (administrateur du domaine), même de façon indirecte au travers des relations et chemin d'attaque. |
| Architecture and Security - Multi-user support with RBAC | Possibilité de gérer plusieurs utilisateurs ainsi que leurs droits dans l'interface web BloodHound |
| Architecture and Security - 2FA Support | Support de l'authentification multifacteur |
| Architecture and Security - SAMLv2.0 support | Support du protocole SAMLv2 pour interfacer l'authentification de l'interface web avec des solutions SSO |
| Architecture and Security - Three-tier application with REST APIs | Mise à disposition d'une API REST |
Les principaux avantages de la version Enterprise semblent être la présence d'indicateurs de risques, des recommandations sur les chemins d'attaque découverts, des possibilités de merger des nouvelles données collectées avec des anciennes, une planification de la collecte des données, un support 24/7/365, etc.
Dans cet article, nous travaillerons bien entendu avec la version Community, qui est largement suffisante pour la plupart des contextes, particulièrement lorsque l'on débute.
