搜尋異常物件

搜尋精靈可以協助您建立查詢運算式。

• 在搜尋方塊中使用常用運算式時，您可以將它們新增到書籤清單中以供日後使用。

• 當您在搜尋方塊中輸入運算式時，Tenable Identity Exposure 會將此運算式儲存在「歷史記錄」窗格中以供您重複使用。

如要使用精靈搜尋異常物件：

1. 顯示 異常物件 清單。

2. 按一下 圖示。

   「編輯查詢運算式」窗格會隨即開啟。

   

3. 如要在面板中定義查詢運算式，請按一下「AND」或「OR」運算子按鈕 (1) 以套用到第一個條件。

4. 從下拉式功能表中選取一個屬性並輸入其值 (2)。

5. 執行下列任一動作：

   • 如要新增屬性，請按一下「+ 新增規則」(3)。

   • 如要新增另一個條件，請按一下「新增條件」「+AND」或 「+OR」運算子。從下拉式功能表中選取一個屬性並輸入其值。

   • 如要將搜尋限制為異常物件，請按一下「僅限異常」切換為允許。選取「+AND」或「+OR」運算子將條件新增到查詢。

   • 如要刪除條件或規則，請按一下 圖示。

6. 按一下「驗證」以執行搜尋，或按一下「重設」以修改您的查詢運算式。

如要篩選符合特定字元字串或模式的異常物件，您可以在搜尋方塊中輸入運算式，以使用布林運算子 *、AND 和 OR 縮小搜尋結果範圍。您可以用括號封裝 OR 陳述式來修改搜尋優先順序。搜尋功能會在 Active Directory 屬性中尋找任何特定值。如要手動搜尋追蹤流程：

如要手動搜尋異常物件：

1. 顯示 異常物件 清單。

   

2. 在搜尋方塊中輸入查詢運算式。

3. 您可以按如下方式篩選搜尋結果：

   • 按一下「日曆」方塊以選取開始日期和結束日期。

   • 按一下「n/n 網域」以選取樹系和網域。

4. 按一下「搜尋」。

   Tenable Identity Exposure 將使用符合搜尋條件的結果更新清單。

文法和語法

手動查詢運算式使用以下文法和語法：

• 文法：EXPRESSION [OPERATOR EXPRESSION]*

• 語法：__KEY__ __SELECTOR__ __VALUE__

  其中：

  • __KEY__ 指的是要搜尋的 AD 物件屬性 (如 CN、userAccountControl、members 等)

  • __SELECTOR__ 指的是運算子：:、>、<、>=、<=。

  • __VALUE__ 指的是要搜尋的值。

    您可以使用更多索引鍵來尋找特定內容：

  • isDeviant 可尋找造成異常情況的事件。

您可以使用 AND 和 OR 運算子組合多個追蹤流程查詢運算式。

範例：

• 尋找通用名稱屬性中包含 alice 字串的所有物件：cn:"alice"

• 尋找通用名稱屬性中包含 alice 字串並且建立了特定異常情況的所有物件：isDeviant:"true" and cn:"alice"

• 尋找名為「預設網域原則」的 GPO：objectClass:"groupPolicyContainer" and displayname:"Default Domain Policy"

• 尋找 SID 中含有 S-1-5-21 的所有已停用帳戶： userAccountControl:"DISABLE" and objectSid:"S-1-5-21"

• 尋找 Sysvol 中所有的 script.ini 檔案：globalpath:"sysvol" and types:"SCRIPTSini"

  注意：此處的 type 是指物件屬性，而非欄標頭。