BloodHound
Requêtes et chemins de risque
Collecte contrôlée, graphe Active Directory/Entra, requêtes de risque et remédiation des chemins d’attaque.
Questions utiles
- quels utilisateurs contrôlent des groupes privilégiés ?
- quels postes hébergent des sessions administratives ?
- qui peut modifier une GPO liée à des serveurs ?
- quels comptes ont des chemins courts vers les Tier 0 ?
- quels objets sont contrôlés par
Everyone,Authenticated Usersou un groupe large ?
Requêtes intégrées
Commence par les analyses fournies par BloodHound : chemins vers Domain Admins, administrateurs locaux, utilisateurs Kerberoastables, délégations et sessions privilégiées.
Lecture d’un chemin
Utilisateur → Groupe → Droit sur GPO → OU → Serveur critique
Chaque arête doit être confirmée dans Active Directory. Un graphe peut contenir des données anciennes ou une session transitoire.
Priorisation
Priorise les chemins : courts, reproductibles, accessibles à un grand nombre, vers un actif critique et sans contrôle de détection solide.
Conseil de mission
Capture le chemin et exporte aussi la liste des objets concernés. Le propriétaire AD doit pouvoir corriger sans ouvrir l’outil Red Team.