追蹤流程

Tenable Identity Exposure 的追蹤流程顯示對於影響 AD 基礎架構事件的即時監控和分析。您可以用它來識別嚴重弱點及其建議的修復方法。

使用追蹤流程頁面,您可以回到過去載入以前的事件或搜尋特定事件。您還可以使用頁面頂端的搜尋方塊來搜尋威脅和偵測惡意模式。

追蹤流程會追蹤下列事件:

  • 使用者和群組變更:包括建立、刪除及修改帳戶和群組。

  • 權限變更:包括修改檔案、資料夾和印表機等物件的存取控制。

  • 系統設定調整:包括變更群組原則物件 (GPO) 和其他重要設定。

  • 可疑活動:包括未經授權的嘗試、權限提升和其他會觸發紅色標記的事件。

Tenable Identity Exposure 提供以下功能,可用於有效運用追蹤流程資料:

  • 可供搜尋和篩選:使用關鍵字或特定條件輕鬆瀏覽事件串流,有助於專注於相關活動上,盡可能減少無關資訊的干擾。

  • 詳細的事件資訊:每個事件項目都有詳盡的資訊,包括受影響的物件、負責變更的使用者、使用的通訊協定,以及相關聯的曝險指標 (IoE)。

  • 視覺化關係:可呈現事件之間的關係,說明看似不相關的活動如何引發更廣泛的攻擊活動。

資料在追蹤流程中如何顯示?

  1. 當您在 Active Directory (AD) 介面中執行動作,例如:

    • 建立新使用者帳戶

    • 修改使用者的群組成員資格

    • 重設密碼

    • 停用帳戶

    • 啟用帳戶

    • 刪除帳戶

    • 移動物件

    • 修改權限

  1. Active Directory (AD) 會自動產生事件記錄項目,以擷取操作的詳細資料,包括:

    • 時間戳記

    • 執行動作的系統管理員

    • 受影響的物件

    • 具體變更

  1. Tenable Identity Exposure 會持續收集並分析這些事件記錄、關聯事件、識別模式,同時偵測異常情況。

  1. 追蹤流程頁面會將操作的流程和影響視覺化:

    • 時間軸:依時間先後順序顯示事件序列,並醒目提示近期的操作。

    • 物件詳細資料:提供有關受影響物件的屬性和關係等特定資訊。

    • 變更歷史記錄:顯示物件修改歷史記錄,包括目前操作。

    • 風險深入解析:識別與操作相關的潛在風險,例如過高權限或是敏感群組中的成員資格。

    • 合規性資訊:指出與操作相關的任何違規行為。

另請參閱