搜尋異常物件
您可以手動搜尋異常物件,也可以使用精靈搜尋。
精靈搜尋
搜尋精靈可以協助您建立查詢運算式。
-
在搜尋方塊中使用常用運算式時,您可以將它們新增到書籤清單中以供日後使用。
-
當您在搜尋方塊中輸入運算式時,Tenable Identity Exposure 會將此運算式儲存在「歷史記錄」窗格中以供您重複使用。
如要使用精靈搜尋異常物件:
-
顯示 異常物件 清單。
-
按一下
圖示。「編輯查詢運算式」窗格會隨即開啟。
-
如要在面板中定義查詢運算式,請按一下「AND」或「OR」運算子按鈕 (1) 以套用到第一個條件。
-
從下拉式功能表中選取一個屬性並輸入其值 (2)。
-
執行下列任一動作:
-
如要新增屬性,請按一下「+ 新增規則」(3)。
-
如要新增另一個條件,請按一下「新增條件」「+AND」或 「+OR」運算子。從下拉式功能表中選取一個屬性並輸入其值。
-
如要將搜尋限制為異常物件,請按一下「僅限異常」切換為允許。選取「+AND」或「+OR」運算子將條件新增到查詢。
-
如要刪除條件或規則,請按一下
圖示。
-
-
按一下「驗證」以執行搜尋,或按一下「重設」以修改您的查詢運算式。
手動搜尋
如要篩選符合特定字元字串或模式的異常物件,您可以在搜尋方塊中輸入運算式,以使用布林運算子 *、AND 和 OR 縮小搜尋結果範圍。您可以用括號封裝 OR 陳述式來修改搜尋優先順序。搜尋功能會在 Active Directory 屬性中尋找任何特定值。如要手動搜尋追蹤流程:
如要手動搜尋異常物件:
-
顯示 異常物件 清單。
-
在搜尋方塊中輸入查詢運算式。
-
您可以按如下方式篩選搜尋結果:
-
按一下「日曆」方塊以選取開始日期和結束日期。
-
按一下「n/n 網域」以選取樹系和網域。
-
-
按一下「搜尋」。
Tenable Identity Exposure 將使用符合搜尋條件的結果更新清單。
文法和語法
手動查詢運算式使用以下文法和語法:
-
文法:EXPRESSION [OPERATOR EXPRESSION]*
-
語法:__KEY__ __SELECTOR__ __VALUE__
其中:
-
__KEY__ 指的是要搜尋的 AD 物件屬性 (如 CN、userAccountControl、members 等)
- __SELECTOR__ 指的是運算子::、>、<、>=、<=。
-
__VALUE__ 指的是要搜尋的值。
您可以使用更多索引鍵來尋找特定內容:
-
isDeviant 可尋找造成異常情況的事件。
-
您可以使用 AND 和 OR 運算子組合多個追蹤流程查詢運算式。
範例:
-
尋找通用名稱屬性中包含 alice 字串的所有物件:cn:"alice"
-
尋找通用名稱屬性中包含 alice 字串並且建立了特定異常情況的所有物件:isDeviant:"true" and cn:"alice"
-
尋找名為「預設網域原則」的 GPO:objectClass:"groupPolicyContainer" and displayname:"Default Domain Policy"
-
尋找 SID 中含有 S-1-5-21 的所有已停用帳戶: userAccountControl:"DISABLE" and objectSid:"S-1-5-21"
-
尋找 SYSVOL 中所有的 script.ini 檔案:globalpath:"sysvol" and types:"SCRIPTSini"
注意:此處的 type 是指物件屬性,而非欄標頭。
另請參閱