Modèle et collecte
Collecte contrôlée, graphe Active Directory/Entra, requêtes de risque et remédiation des chemins d’attaque.
Principe
BloodHound représente les utilisateurs, groupes, ordinateurs, sessions, ACL et relations sous forme de graphe. Il permet d’identifier des chemins de contrôle souvent invisibles dans une liste classique.
Avant la collecte
- valider les méthodes autorisées ;
- limiter les domaines et types de collecte ;
- utiliser un compte dédié ;
- éviter la collecte de sessions sur les postes sensibles si non nécessaire ;
- définir la conservation des données.
Collecteurs
BloodHound CE utilise des collecteurs adaptés à Active Directory et Entra ID. La syntaxe et les capacités évoluent ; utilise la documentation correspondant à la version déployée.
Données sensibles
Les fichiers de collecte décrivent les chemins de privilège. Traite-les comme des secrets : chiffrement, accès restreint, suppression après la période de conservation.
Une collecte large peut générer de nombreuses requêtes LDAP/SMB et exposer des informations sur les sessions. Commence par les méthodes de répertoire et augmente uniquement si le mandat le prévoit.