曝險指標
Tenable Identity Exposure 會透過曝險指標 (IoE) 衡量您 AD 基礎架構的安全成熟度,並向其監控和分析的事件流程指派嚴重性等級。Tenable Identity Exposure 在偵測到安全性降低時會觸發警示。
如要顯示曝險指標 (IoE):
-
在 Tenable Identity Exposure 中,按一下導覽窗格中的「曝險指標」。
「曝險指標」窗格會隨即開啟。根據預設,Tenable Identity Exposure 僅顯示包含異常情況的曝險指標 (IoE)。
-
(選用) 如要顯示所有曝險指標,請按一下「顯示全部指標」切換為「是」。
Tenable Identity Exposure 曝險指標 (IoE) 具有一系列功能,可提升您的調查能力:
-
可供搜尋和篩選:套用樹系和網域的篩選器,輕鬆探索曝險指標 (IoE)。
-
匯出功能:異常情況物件讓您可匯出 CSV 格式的曝險指標 (IoE)。
-
對曝險指標 (IoE) 事件採取的措施:將暴露風險從白名單中移除/重新啟用。
曝險指標 (IoE) 的資料包括:
-
資訊部分:此部分提供每個曝險指標 (IoE) 的執行摘要,內容包括已知的攻擊工具、受影響的網域和相關說明文件。
-
弱點詳細資料:此部分提供更多關於 Active Directory 中錯誤設定的深入資訊。
-
異常物件:此部分著重於 Active Directory 中可能造成更廣泛攻擊破綻的錯誤設定。
-
建議:此部分引導您制定有效的設定策略,以盡可能減少攻擊破綻。
如要搜尋曝險指標 (IoE):
-
在「曝險指標」頁面頂端的「搜尋」方塊中輸入字串。可以是與曝險指標 (IoE) 相關的任何字詞,例如密碼、使用者、登入等等。
-
按 Enter 鍵。
曝險指標 (IoE) 頁面更新為與您的搜尋詞相關的指標。
如要篩選特定樹系或網域的曝險指標 (IoE):
-
按一下「n/n 網域」。
「樹系和網域」窗格會隨即開啟。
-
選取樹系或網域。
-
按一下「篩選選取的項目」。
嚴重性等級
嚴重性等級可協助您評估偵測到的弱點的嚴重性,並決定修復動作的優先順序。
「曝險指標」窗格會按照以下方式顯示曝險指標 (IoE):
-
按不同顏色的嚴重性等級。
-
垂直方向:嚴重性由高到低 (紅色代表優先順序最高,藍色代表優先順序最低)。
-
水平方向:複雜度由高到低。Tenable Identity Exposure 會以動態方式計算複雜度指標,指出修復異常曝險指標 (IoE) 的難度。
| 嚴重性 | 說明 |
|---|---|
| 嚴重:紅色 | 顯示如何防止某些無特權的使用者攻擊和入侵 Active Directory。 |
| 高度:橙色 |
表示導致憑證遭竊取或迴避安全機制的後滲透攻擊技術,或需要鏈結才具有危險性的滲透攻擊技術。 |
| 中度:黃色 | 指出對 Active Directory 基礎架構的有限風險。 |
| 低度:藍色 | 代表良好的安全做法。某些業務環境可能允許存在影響較小的異常情況,該類異常情況不一定會影響 AD 的安全性。只有在管理員犯了啟動非作用中帳戶等錯誤時,這些異常情況才會對 AD 造成影響。 |
異常情況解決與偵測日期
Tenable Identity Exposure 會將最近偵測顯示為針對異常物件記錄的最近更新,而非觸發異常情況的時間。
由於 AD 物件可彼此影響,因此某物件上的變更可能會導致或解決另一個物件上的異常情況。在這種情況下,即使觸發變更是發生在不同的物件上,Tenable Identity Exposure 仍會使用受影響物件最後記錄的事件日期。
範例
如果物件 A 變更並導致物件 B 發生異常情況,Tenable Identity Exposure 會將 B 的上次更新時間顯示為偵測日期。
這遵循 Tenable Identity Exposure 的標準快取邏輯:每個 AD 物件都會儲存自己的最新事件日期,而且 Tenable Identity Exposure 會在偵測或解決該物件的異常情況時使用此時間戳記。
Trailflow 指標
Tenable Identity Exposure 將 Trailflow「菱形」指示器附加至異常物件。如果該物件最近未更新,Tenable Identity Exposure 可能不會在目前的 Trailflow 檢視中顯示物件。
另請參閱