我目前正在对使用BloodHound工具收集的 neo4j 数据库中的数据进行一些手动分析。
在进行手动查询时,我可以看到 BloodHound 文档中未介绍的“基本”类型节点。
MATCH (n) RETURN distinct labels(n)返回:
["Base", "User"]
["Base", "Group"]
["Base"]
["Base", "Computer"]
["Base", "Domain"]
["Base", "GPO"]
["Base", "OU"]
在检查 Base 节点的属性时,它们似乎采用了其他节点类型的属性。
我的问题是那些“基础”节点到底是什么?我试图在 BloodHound 和 Neo4j 文档中找到此信息,但没有成功。
您可以在图形数据库中创建具有多个标签的节点。我不熟悉猎犬,但它可能会在节点上添加一个额外的标签,"Base"以将其数据与现有数据区分开来,或者很有可能有几个较高的类别属于较低的类别,例如,, "User", .. . 落在. 通过这样做,您将匹配类别下的所有节点。"Group""Computer""Base"MATCH (n:Base)...."Base"
如前所述,Base 标签与 Neo 内部无关。
虽然该工具的文档没有涉及基本标签,但源代码提供了一些提示。我建议看看这些:
Base 似乎是一个方便的分组。任何节点都有多个标签是很常见的。例如,您可以拥有 UserAccount 节点 (~Base),这些节点还具有定义任何特定 UserAccount 角色的其他标签。