追蹤流程
Tenable Identity Exposure 的追蹤流程顯示對於影響 AD 基礎架構事件的即時監控和分析。您可以用它來識別嚴重弱點及其建議的修復方法。
使用追蹤流程頁面,您可以回到過去載入以前的事件或搜尋特定事件。您還可以使用頁面頂端的搜尋方塊來搜尋威脅和偵測惡意模式。
追蹤流程會追蹤下列事件:
-
使用者和群組變更:包括建立、刪除及修改帳戶和群組。
-
權限變更:包括修改檔案、資料夾和印表機等物件的存取控制。
-
系統設定調整:包括變更群組原則物件 (GPO) 和其他重要設定。
-
可疑活動:包括未經授權的嘗試、特權提升和其他會觸發紅色標記的事件。
Tenable Identity Exposure 提供以下功能,可用於有效運用追蹤流程資料:
-
可供搜尋和篩選:使用關鍵字或特定條件輕鬆瀏覽事件串流,有助於專注於相關活動上,盡可能減少無關資訊的干擾。
-
詳細的事件資訊:每個事件項目都有詳盡的資訊,包括受影響的物件、負責變更的使用者、使用的通訊協定,以及相關聯的曝險指標 (IoE)。
-
視覺化關係:可呈現事件之間的關係,說明看似不相關的活動如何引發更廣泛的攻擊活動。
如要存取追蹤流程:
-
在 Tenable Identity Exposure 中,按一下左側導覽列中的「追蹤流程」。
追蹤流程頁面會隨即開啟,其中包含事件清單。如需詳細資訊,請參閱追蹤流程表。
如要選取時間範圍:
-
在追蹤流程頁面頂端,按一下日曆方塊。
-
選取開始日期和結束日期。
-
按一下「搜尋」。
Tenable Identity Exposure 將使用選取的時間範圍更新追蹤流程表。
如要選取網域:
-
在追蹤流程頁面頂端,按一下「n/n 網域 >」。
「樹系和網域」窗格會隨即開啟。
-
選取樹系和網域。
-
按一下「篩選選取的項目」。
Tenable Identity Exposure 將使用所選的樹系和網域資訊更新追蹤流程表。
如要檢視事件:
-
在追蹤流程表中,按一下包含您要瀏覽之事件的行。
「事件詳細資料」窗格會隨即開啟。如需詳細資訊,請參閱事件詳細資料。
如要暫停和重新啟動追蹤流程:
-
執行下面的其中一項動作:
-
按一下
圖示可暫停追蹤流程。暫停追蹤流程會停止最近事件的自動垂直捲動,但分析會在幕後繼續執行,您還可以對事件執行搜尋。
-
按一下
圖示可重新啓動追蹤流程。
-
如要載入之後或之前的事件:
-
在追蹤流程頁面中,執行下面的一個動作:
-
按一下「載入之後的事件」
-
按一下「載入之前的事件」
-