追蹤流程
Tenable Identity Exposure 的追蹤流程顯示對於影響 AD 基礎架構事件的即時監控和分析。您可以用它來識別嚴重弱點及其建議的修復方法。
使用追蹤流程頁面,您可以回到過去載入以前的事件或搜尋特定事件。您還可以使用頁面頂端的搜尋方塊來搜尋威脅和偵測惡意模式。
追蹤流程會追蹤下列事件:
-
使用者和群組變更:包括建立、刪除及修改帳戶和群組。
-
權限變更:包括修改檔案、資料夾和印表機等物件的存取控制。
-
系統設定調整:包括變更群組原則物件 (GPO) 和其他重要設定。
-
可疑活動:包括未經授權的嘗試、特權提升和其他會觸發紅色標記的事件。
Tenable Identity Exposure 提供以下功能,可用於有效運用追蹤流程資料:
-
可供搜尋和篩選:使用關鍵字或特定條件輕鬆瀏覽事件串流,有助於專注於相關活動上,盡可能減少無關資訊的干擾。
-
詳細的事件資訊:每個事件項目都有詳盡的資訊,包括受影響的物件、負責變更的使用者、使用的通訊協定,以及相關聯的曝險指標 (IoE)。
-
視覺化關係:可呈現事件之間的關係,說明看似不相關的活動如何引發更廣泛的攻擊活動。
如要存取追蹤流程:
-
在 Tenable Identity Exposure 中,按一下左側導覽列中的「追蹤流程」。
追蹤流程頁面會隨即開啟,其中包含事件清單。如需詳細資訊,請參閱Trail Flow Table。
資料在追蹤流程中如何顯示?
-
當您在 Active Directory (AD) 介面中執行動作時,例如:
-
建立新使用者帳戶
-
修改使用者的群組成員資格
-
重設密碼
-
停用帳戶
-
啟用帳戶
-
刪除帳戶
-
移動物件
-
修改權限
-
-
Active Directory (AD) 會自動產生事件記錄項目,擷取作業的詳細資料,包括:
-
時間戳記
-
系統管理員執行動作
-
受影響的物件
-
進行的特定變更
-
-
Tenable Identity Exposure 會持續收集和分析這些事件記錄並關聯事件、識別模式、偵測異常情況。
-
追踪流程頁面可將作業的流程和影響視覺化:
-
時間軸:依時間先後順序顯示事件序列,並醒目提示最近的作業。
-
物件詳細資料:提供有關受影響物件的特定資訊,包括其屬性和關係。
-
變更歷程記錄:顯示物件修改歷程記錄,包括目前的作業。
-
風險見解:識別與作業相關的潛在風險,例如過度權限或敏感群組中的成員資格。
-
合規性資訊:指出與作業相關的任何合規性違規。
-
另請參閱