Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Générer un rapport de sécurité AD

tuto ad miner bloodhound rapport securite active directory
  • 22 octobre 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Vous cherchez à obtenir un rapport sur les points forts, les points faibles, les chemins d’attaque et les risques de votre Active Directory ? C’est ce que permet de faire AD-Miner, un outil utilisant BloodHound et le langage Cypher pour produire un rapport en quelques secondes.

Dans cet article, nous allons découvrir et apprendre à utiliser AD-Miner. Il s’agit d’un outil open source qui utilise la base de données de BloodHound pour réaliser une analyse globale de l’Active Directory, de ses objets et de sa sécurité. Il présente ses résultats dans un rapport web dynamique et bien organisé qui permet rapidement d’exposer les forces, les faiblesses et les métriques de sécurité de votre AD. Regardez plutôt :

Découverte du rapport AD-Miner.

Métriques de sécurité, chemins d’attaque, listes d’objets vulnérables, tout y est, dans un format facile à présenter devant des collaborateurs techniques comme non techniques. Découvrons cet outil !

II. L’Active Directory : le centre de sécurité du domaine

On ne présente plus l’Active Directory de Microsoft, présent dans la quasi-totalité des systèmes d’information, ses fonctionnalités et sa complexité sont ses forces et ses faiblesses. Il est à la fois le bastion de sécurité du SI, mais aussi la cible principale des attaquants souhaitant prendre la main sur la totalité du système d’information.

Il permet notamment de gérer les objets du SI et leurs attributs, comptes utilisateurs, postes de travail, serveurs… et donc leur sécurité. En interrogeant l’Active Directory, on peut avoir une vue quasi complète du niveau de sécurité du SI, c’est ce que font les outils comme BloodHound et AD-Miner que nous allons aborder ici.

III. AD-Miner et BloodHound

AD-Miner est écrit en Python, cela signifie que si vous souhaitez l’utiliser depuis un poste Windows, il vous faudra installer l’interpréteur Python ainsi que les dépendances nécessaires. Pas de panique, nous avons un tutoriel pour cela :

Il est néanmoins plus simple de l’installer sur un système UNIX, qui dispose généralement de Python par défaut. Voici la procédure à suivre si vous êtes sur un système Linux :

# Téléchargement des dépôts AD-Miner depuis Github
git clone https://github.com/AD-Security/AD_Miner.git
# Accès au répertoire AD_Miner
cd AD_Miner
# Installation des prérequis Python
pip install -r requirements

Pour aller encore plus vite, vous pouvez aussi passer par pipx, qui gérera l’environnement virtuel et l’installation des prérequis (Pip vs pipx : comprendre leurs différences pour mieux gérer vos projets Python) :

# Installation d’AD-Miner via pipx
pipx install git+https://github.com/Mazars-Tech/AD_Miner.git

AD-Miner est un super outil pour avoir rapidement des stats, métriques et recommandations sur la sécurité de l’AD. Le rapport web qu’il produit est explicite et bien organisé. Il faut savoir que pour faire son analyse, il repose sur un outil de collecte et d’analyse nommé BloodHound. Son utilisation est un peu technique, mais reste abordable.

BloodHound est une interface graphique avec une base de données Neo4j qui référence et organise les objets de l’AD pour y trouver des chemins d’attaque. Il est très utilisé pour les blue team comme les red teams.

Pour fonctionner, BloodHound requiert que l’on extrait les objets de l’AD et leurs attributs à l’aide d’un agent de collecte nommé SharpHound.exe qui est fourni avec. Exécutable depuis n’importe quel compte authentifié de l’AD (même non privilégié), il extrait un grand nombre d’informations dans des fichiers JSON regroupés en une archive ZIP. C’est cette archive ZIP que l’on envoie à BloodHound pour qu’il remplisse sa base Neo4j afin que l’on puisse travailler sur ces données sans interroger constamment l’AD.

AD-Miner va se connecter à la base Neo4j de BloodHound pour faire ses propres requêtes et analyses, puis produire son rapport web. Donc pour utiliser AD-Miner, il faut avoir fait cette partie extraction/importation avec SharpHound.exe et BloodHound.

Interactions d’AD-Miner avec BloodHound et sa base Neo4j.

Nous avons déjà un cours complet sur BloodHound qui vous permettra de prendre en main l’outil et de réaliser l’export des données via SharpHound :

Si vous n’avez pas le temps de consulter tout le cours, voici les principales étapes pour alimenter AD-Miner :

Une fois que l’archive ZIP produite par SharpHound est importée dans BloodHound, nous avons tout ce qu’il faut pour réaliser une analyse globale du niveau de sécurité de notre Active Directory avec AD-Miner, produire et explorer son rapport !

IV. Réaliser une analyse AD-Miner

A. Génération du rapport AD-Miner

L’idée est maintenant d’exécuter AD-Miner en lui indiquant les identifiants et l’adresse IP/port de la base Neo4j utilisée par BloodHound. Si vous utilisez AD-Miner sur le même système que celui hébergeant la base de données, il faut exécuter la ligne de commande suivante (l’option -cf permet de définir le nom du document de sortie) :

# Exécution d’AD-Miner avec les identifiants de la base Neo4j
$ AD-miner -cf Rapport_AD -u neo4j -p mypassword
[…]
[-] Done in 0.0s
[+] Generating control non-dc_with_unconstrained_delegations
[+] Generate paths to Kerberos Unconstrained Delegations
[-] Done in 0.0s
[+] Done in 16.52 s! Program finished. Report generated in render_Rapport_AD

Si au contraire, la base de données se trouve sur un autre système, il faut ajouter l’option permettant de spécifier son IP :

# Exécution d’AD-Miner avec les identifiants et l’IP de la base Neo4j
AD-miner -cf Rapport_AD -b bolt://IP:7687 -u neo4j -p mypassword

Quoi qu’il en soit, voici le retour attendu de la part d’AD-Miner :

L’analyse est assez rapide puisqu’elle se fait sur une base de données, et non directement sur l’Active Directory. Il existe également des options pour rendre l’analyse plus rapide si vous avez un très gros Active Directory.

Pour cette démonstration, j’utilise un lab cybersécurité intégrant de nombreux objets et vulnérabilités – GOAD : un lab d’entraînement complet pour maîtriser la sécurité de l’Active Directory

Suite à cette analyse, nous aurons dans le répertoire courant un rapport d’analyse au format web (attention, le nom du répertoire dépend du nom passé à l’option -cf) :

# Afficher le contenu du répertoire de rapport d’AD-Miner
$ tree -L 1 render_Rapport_AD

render_Rapport_AD
├── assets
├── css
├── csv
├── data_Rapport_AD_20251015.json
├── html
├── icons
├── index.html
└── js

B. Découverte du rapport

Nous pouvons à présent ouvrir notre rapport avec un navigateur web et voir ce qu’il y a à l’intérieur. Il nous suffit pour cela d’ouvrir le fichier index.html.

Nous ne pouvons couvrir la totalité du contenu d’un rapport dans cet article, mais l’idée est de vous présenter les principales sections et de vous donner envie de générer le rapport de votre propre Active Directory. Le rapport commence par présenter les métriques globales de sécurité de l’AD. Vous trouverez celles-ci à gauche du rapport (On-premise Risk rating) et au centre (Overview et Indicators of exposure breakdown).

Overview du niveau de sécurité de l’Active Directory et du domaine dans le rapport AD-Miner.

L’intérêt de ces métriques est d’avoir un aperçu rapide de l’état général de sécurité, et de constater d’éventuelles évolutions dans ces métriques depuis un précédent rapport. La carte Overview permet de se faire une idée des catégories qui contiennent le plus de points forts ou de points faibles, chaque nœud étant un contrôle spécifique (vous pouvez passer votre souris dessus pour voir le nom apparaitre au centre). L’Indicators of exposure breakdown propose, quand à lui, davantage de métriques en fonction de ces mêmes catégories :

Métriques de sécurité du domaine dans le rapport AD-Miner.

À droite, vous disposez de la liste des vulnérabilités, classées selon leur risque (immédiat, potentiel, mineur). Cliquer sur ces objets pourra vous mener vers la liste des objets concernés :

Liste des vulnérabilités et des objets concernés par une vulnérabilité.

Une fonction intéressante est la possibilité de télécharger ces listes au format CSV, ce qui permet ensuite de retravailler ces éléments ou de les inclure dans d’autres documents ou outils rapidement :

Export de la liste des objets au format CSV.

Certaines vulnérabilités mèneront aussi à des chemins d’attaques dynamiques, tels que ceux présents dans BloodHound :

Exemple de chemin d’attaque produit par AD-Miner.

Ceux qui sont familiers de BloodHound reconnaitront le chemin d’attaque classique dessiné par l’outil. Mais le rendu final parait un peu plus propre, ce n’est qu’une question de goût. Contrairement à un accès direct à BloodHound, on ne peut pas créer nos propres requêtes Cypher dans AD-Miner.

L’intérêt de cette visualisation est de représenter graphiquement l’évolution possible d’un attaquant au travers différents objets du domaine et leurs relations pour élever ses privilèges ou compromettre d’autres objets.

À titre d’exemple, voici quelques éléments intéressants, comme les comptes dormants (basés sur la date de dernière connexion) :

Liste des comptes inutilisés identifiés dans le rapport AD-Miner.

La liste des comptes potentiellement vulnérables à une attaque Kerberoasting :

Liste des comptes du domaine kerberoastables.

Ou encore la distribution des OS au sein du domaine, pour voir s’il vous reste des systèmes obsolètes (dans mon lab, je n’ai qu’un seul type d’OS) :

Graphique de la distribution des OS au sein du domaine.

Enfin, chose importante, vous pourrez en apprendre plus sur ces vulnérabilités en question sur l’icône formant un “i” encerclé :

Détails techniques et recommandations à propos d’une vulnérabilité dans le rapport AD-Miner.

Une amélioration possible pour ces rapports serait de fournir des liens vers des documentations externes pour aller encore plus loin dans la compréhension et les recommandations à appliquer.

V. Conclusion

Bien qu’il faille passer par SharpHound et BloodHound pour permettre à AD-Miner de faire une analyse, il a pour principal intérêt de structurer l’analyse de sécurité de l’AD en donnant des métriques et des visuels accessibles à des personnes moins techniques. Nous avons aussi vu que la force du rapport web d’AD-Miner et de proposer plusieurs fonctionnalités d’organisation des forces et des faiblesses, d’export des listes d’objets vulnérables et même de permettre le suivi de l’évolution de la sécurité de l’AD.

Je vous encourage à utiliser cet outil sur votre Active Directory afin d’avoir un œil sur son niveau de sécurité et ainsi entamer un chemin vers une meilleure sécurité. N’hésitez pas à nous partager dans les commentaires vos avis et expériences sur cet outil.

Co-fondateur d’IT-Connect.fr.
Auditeur/Pentester chez Orange Cyberdéfense.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *