追蹤流程表

Tenable Identity Exposure 會在事件發生時在追蹤流程表中持續列出您 Active Directory 中的事件。其中包括以下資訊:

資訊 說明
來源

指示 AD 基礎架構中任何安全性相關變更的來源。

可能有兩個來源:

  • 用於與您的 AD 基礎架構通訊的輕量型目錄存取通訊協定 (LDAP)。

  • 用於共用檔案、印表機等的伺服器訊息區 (SMB) 通訊協定。

Tenable Identity Exposure 會全面分析網路上的 LDAP 和 SMB 流量,以偵測異常情況和潛在威脅。

注意:Active Directory (AD) 允許管理員建立群組原則來控制部署在使用者和電腦帳戶上的設定。群組原則物件 (GPO) 儲存這些控制設定。Sysvol 資料夾儲存網域控制器上的 GPO 檔案。每個網域成員都可以使用較高等級權限套用或執行 GPO,所以監控 GPO 的內容對於 AD 的安全非常重要。
類型

顯示事件的特徵元素,例如:

  • ACL 已變更

  • SPN 已變更

  • 成員已移除

  • 新成員

  • 新信任

  • 已新增未知的檔案類型

  • 新物件

  • 物件已刪除

  • 密碼已變更

  • UAC 已變更

  • 已連結新的 GPO

  • GPO 連結已刪除

  • 所有者變更

  • 已重新命名檔案

  • 已建立 SPN

  • 驗證重設失敗

  • 驗證失敗
物件 指示與 AD 物件關聯的類或副檔名。您可以搜尋目錄物件 (使用者、電腦等) 或具有特定副檔名 (ini、XML、csv) 的檔案。
路徑

指示 AD 物件的完整路徑,以標識此物件在 AD 中的唯一位置。
目錄

指示 AD 基礎架構中變更的來源目錄。
日期

指示事件發生的時間。