不论是在攻防演练还是真实入侵对抗场景中，攻击者往往通过攻击域控获取特权管理权限进而横向控制企业内网，窃取重要资产和数据，凭借独特的管理优势，AD域被广泛应用于大型企业的IT基础设施的集中管理。

然而，传统的网络安全防御手段往往不足以抵御域渗透攻击身份凭证的威胁。由于AD域管理的集中性与特权管理特性，如何提升域安全性、识别域攻击威胁并保障办公安全也成为企业关注的重要环节之一。

基于十余年实战攻防经验，360以攻防、实战、对抗为导向，以“看见+处置”为核心，采取“集中化、统一化、平台化、服务化”的技术思想，帮助企业建立纵深防御体系，应对数字时代安全挑战。

360信息安全中心自主研发域安全入侵感知系统WatchAD，自2019年起正式对外开源，并在Defcon 27 Blue Team Village中分享了项目的核心技术，成为国内域安全检测领域的开拓者。四年来，360信息安全中心在WatchAD基础上升级再次开源WatchAD2.0，旨在帮助企业建立域环境安全防护体系，进一步提升企业应对域渗透威胁活动的能力。

 

工作原理

WatchAD2.0分为日志收集Agent、规则检测及分析引擎、缓存数据库和Web控制端四个部分。它通过采集域控产生的事件日志和Kerberos流量，利用流式处理引擎在特征匹配、协议分析、行为监测、敏感操作和蜜罐账户捕获等方面进行实时分析，及时发现并预警安全风险。目前，WatchAD2.0威胁检测项已覆盖了大部分常见的内网域渗透手法。

 

WatchAD2.0可实现AD域安全全生命周期的防护。在企业安全运营中，WatchAD2.0从陈旧对象、特权用户、信任关系、异常对象等多角度进行内容检测，检测范围全面覆盖域内漏洞、基线与后门，及时发现域安全防护体系中的风险，避免域控被攻击者利用而造成企业资产损失。

同时，WatchAD2.0可以有效识别用户异常行为，准确判定攻击行为。针对域信息收集探测、域账户权限提升、横向移动、权限维持、威胁扩散等域渗透攻击的不同阶段，WatchAD2.0都开放了相应的检测方法和规则，支持域渗透全路径的监测。

 

产品优势

WatchAD1.0自开源以来收获了多方的关注与好评，助力众多企业构建了自身域安全防御体系。而相较于1.0版本，WatchAD2.0以下多个方面均有提升：

1.更丰富的检测能力，覆盖广准确度高

结合360多年积累的攻防实战经验，WatchAD2.0在原有能力基础上，新增了账户可疑活动监测场景，加强了权限提升、权限维持等场景检测能力，涵盖了包括异常账户/活动、Zerologon提权、SPN劫持、影子票证等更多检测面。

2.基于Golang重构分析引擎，提升分析效率

WatchAD的开发语言从Python重构为Golang，利用其更高效的并发能力，提高对海量日志及流量等数据处理效率，确保告警检出及时有效。

3.开箱即用，系统稳定易用更高效

我们将Web平台和检测引擎整合，简化了部署过程，用户只依赖消息队列和存储组件即可完成WatchAD2.0的部署。在提高系统的性能和稳定性的同时，也使得系统更加高效和易用，为用户提供更好的体验。

开源共享

WatchAD2.0在360集团内部运行多年，内部攻防演练期间曾监测到PsloggedOn信息泄漏、黄金票据、Kerberoasting、NTLM Relay等多种攻击方式。现今，我们将WatchAD2.0事件日志检测能力再次开源，方便组织和个人爱好者研究和部署。

除开源版本外，WatchAD2.0企业版在基于事件日志检测能力的基础上，融合了流量检测和旁路检测，能够实时分析全流量中的域攻击行为，从而提供更为全面的域安全防护能力。

360本地安全大脑产品也已全面内置WatchAD2.0检测规则和安全能力，企业可根据自身需求与应用场景，依托360本地安全大脑构建集成域安全检测和防护能力的一体化运营平台，联动各类生态安全产品，实现域威胁监测和响应的可视化和智能化。

源码和教程链接：https://pan.baidu.com/s/1GLNNsQzoes19lzN7V81cAQ?pwd=9bnv

提取码：9bnv

360本地安全大脑：https://www.360.net/product-center/security-intelligence-brain/index

信息来源360官方