LogonTracer是一个通过可视化和分析WindowsActiveDirectory事件日志来调查恶意登录的工具。该工具将登录相关事件中发现的主机名(或IP地址)和账户名联系起来,并以图表形式显示。这样,就可以看到哪个账户发生了登录尝试,哪个主机被使用。
功能介绍
根据这项研究,这个工具可以将以下与Windows登录有关的事件ID可视化。
4624:登录成功
4625:登录失败
4768:Kerberos认证(TGT请求)。
4769:Kerberos服务票(ST请求
4776:NTLM认证
4672:分配特殊权限
更新日志
将Bootstrap版本从4改为5
更新至支持py2neo2021.1