追蹤流程
Tenable Identity Exposure 的追蹤流程顯示對於影響 AD 基礎架構事件的即時監控和分析。您可以用它來識別嚴重弱點及其建議的修復方法。
使用追蹤流程頁面,您可以回到過去載入以前的事件或搜尋特定事件。您還可以使用頁面頂端的搜尋方塊來搜尋威脅和偵測惡意模式。
追蹤流程會追蹤下列事件:
-
使用者和群組變更:包括建立、刪除及修改帳戶和群組。
-
權限變更:包括修改檔案、資料夾和印表機等物件的存取控制。
-
系統設定調整:包括變更群組原則物件 (GPO) 和其他重要設定。
-
可疑活動:包括未經授權的嘗試、權限提升和其他會觸發紅色標記的事件。
Tenable Identity Exposure 提供以下功能,可用於有效運用追蹤流程資料:
-
可供搜尋和篩選:使用關鍵字或特定條件輕鬆瀏覽事件串流,有助於專注於相關活動上,盡可能減少無關資訊的干擾。
-
詳細的事件資訊:每個事件項目都有詳盡的資訊,包括受影響的物件、負責變更的使用者、使用的通訊協定,以及相關聯的曝險指標 (IoE)。
-
視覺化關係:可呈現事件之間的關係,說明看似不相關的活動如何引發更廣泛的攻擊活動。
資料在追蹤流程中如何顯示?
-
當您在 Active Directory (AD) 介面中執行動作,例如:
-
建立新使用者帳戶
-
修改使用者的群組成員資格
-
重設密碼
-
停用帳戶
-
啟用帳戶
-
刪除帳戶
-
移動物件
-
修改權限
-
-
Active Directory (AD) 會自動產生事件記錄項目,以擷取操作的詳細資料,包括:
-
時間戳記
-
執行動作的系統管理員
-
受影響的物件
-
具體變更
-
-
Tenable Identity Exposure 會持續收集並分析這些事件記錄、關聯事件、識別模式,同時偵測異常情況。
-
追蹤流程頁面會將操作的流程和影響視覺化:
-
時間軸:依時間先後順序顯示事件序列,並醒目提示近期的操作。
-
物件詳細資料:提供有關受影響物件的屬性和關係等特定資訊。
-
變更歷史記錄:顯示物件修改歷史記錄,包括目前操作。
-
風險深入解析:識別與操作相關的潛在風險,例如過高權限或是敏感群組中的成員資格。
-
合規性資訊:指出與操作相關的任何違規行為。
-
另請參閱