手動搜尋追蹤流程

如要篩選符合特定字元字串或模式的事件,您可以在搜尋方塊中輸入運算式,以使用布林運算子 *ANDOR 改善結果。您可以用括號封裝 OR 陳述式來修改搜尋優先順序。搜尋功能會在 Active Directory 屬性中尋找任何特定值。

如要手動搜尋追蹤流程:

  1. Tenable Identity Exposure 中,按一下「追蹤流程」以開啟追蹤流程頁面。

  2. 在搜尋方塊中輸入查詢運算式。

  3. 您可以按如下方式篩選搜尋結果:

    • 按一下「日曆」方塊以選取開始日期和結束日期。

    • 按一下「n/n 網域」以選取樹系和網域。

  1. 按一下「搜尋」。

    Tenable Identity Exposure 將使用符合搜尋條件的結果更新清單。

範例:

以下範例搜尋:

  • 已停用的可能危及受監控的 AD 基礎架構的使用者帳戶。

  • 可疑活動和異常帳戶使用。

文法和語法

手動查詢運算式使用以下文法和語法:

  • 文法:EXPRESSION [OPERATOR EXPRESSION]*

  • 語法:__KEY__ __SELECTOR__ __VALUE__

    其中:

    • __KEY__ 指的是要搜尋的 AD 物件屬性 (如 CNuserAccountControlmembers 等)

    • __SELECTOR__ 指的是運算子::><>=<=。
    • __VALUE__ 指的是要搜尋的值。

      您可以使用更多索引鍵來尋找特定內容:

    • isDeviant 可尋找造成異常情況的事件。

您可以使用 ANDOR 運算子組合多個追蹤流程查詢運算式。

範例:

  • 尋找通用名稱屬性中包含 alice 字串的所有物件:cn:"alice"

  • 尋找通用名稱屬性中包含 alice 字串並且建立了特定異常情況的所有物件:isDeviant:"true" and cn:"alice"

  • 尋找名為「預設網域原則」的 GPO:objectClass:"groupPolicyContainer" and displayname:"Default Domain Policy"

  • 尋找 SID 中含有 S-1-5-21 的所有已停用帳戶: userAccountControl:"DISABLE" and objectSid:"S-1-5-21"

  • 尋找 Sysvol 中所有的 script.ini 檔案:globalpath:"sysvol" and types:"SCRIPTSini"

    注意:此處的 type 是指物件屬性,而非欄標頭。