攻擊指標
Tenable Identity Exposure 當有最先進的惡意利用技術嘗試入侵您的 Active Directory (AD) 基礎架構時,攻擊指標 (IoA) 可協助您的組織偵測並立即採取行動,包括:
-
前 3 大資安事端:攻擊指標 (IoA) 的資訊統一呈現在單一介面中,包括即時時間軸、影響 AD 的前三大資安事端,以及攻擊的分布情況。
-
攻擊指標 (IoA) 的詳細資料:在 Tenable Identity Exposure 中,攻擊指標面板會提供在 AD 中所發生攻擊的相關資訊。
-
涉及攻擊指標 (IoA) 的資安事端:攻擊指標 (IoA) 資安事端清單提供有關以您的 AD 為目標的特定攻擊的完整詳細資訊。此資訊可讓您根據攻擊指標 (IoA) 的嚴重性等級做出適當回應。
攻擊指標功能隨附一系列功能,專為提升您的調查能力而設計:
-
可供搜尋和篩選:利用時間軸輕鬆探索攻擊指標 (IoA),或根據樹系、網域和重要性層級套用篩選器,以獲得有效且有針對性的結果。
-
匯出功能允許以 PDF、CSV 或 PPTX 格式匯出攻擊指標 (IoA) 資料。
-
修改圖表類型:提供變更圖表類型的選項,您可以選擇顯示攻擊嚴重性的分布或前三大攻擊及其各自的發生計數。
-
對攻擊指標 (IoA) 資安事端採取的措施:允許您選取要關閉或重新開啟的資安事端。
嚴重性等級
Tenable Identity Exposure 會偵測攻擊並指派嚴重性等級:
| 等級 | 說明 |
|---|---|
| 嚴重:紅色 | 偵測到經驗證的後滲透攻擊,此類攻擊需要以網域支配權作為先決條件。 |
| 高度:橙色 | 偵測到允許攻擊者取得網域支配權的重大攻擊。 |
| 中度:黃色 | 與此攻擊相關的攻擊指標 (IoA) 可導致危險的特權提升,或允許攻擊者存取敏感資源。 |
| 低度:藍色 | 與偵察動作或低影響資安事端相關的可疑行為警示。 |
修復的優先順序
識別符合您特定安全風險和疑慮的重大和高影響攻擊指標 (IoA)。
若要減輕誤報或疏忽合法攻擊的風險,請務必根據您的環境校正攻擊指標 (IoA)。這需要
-
調整閾值:校正攻擊指標 (IoA) 敏感度,以減少誤報,確保警示有意義且可執行。
-
將帳戶和活動列入白名單:將合法活動從觸發攻擊指標 (IoA) 的範圍中排除,以增強警示準確性並簡化調查。
-
關聯攻擊指標 (IoA):分析不同攻擊指標 (IoA) 之間的關係,以識別更廣泛的攻擊模式。
使用案例
-
在啟用攻擊指標 (IoA) 時,從導覽窗格選取「攻擊指標」,或按一下首頁右上角的鈴鐺圖示。
-
每個指標都會提供有關資安事端的詳細資訊,並允許您在檢閱後採取適當的行動:
-
攻擊發生的時間
-
攻擊描述
-
攻擊來源
-
攻擊目標
-
MITRE ATT&CK®資訊
-
YARA 偵測規則
-
其他資源
-
-
選取「詳細資料」以存取說明,如此範例所示,著重於「本機管理員列舉」。
-
「描述」索引標籤提供有關 Active Directory (AD) 上特定攻擊的資訊。
-
「YARA 偵測規則」索引標籤提供有關 Tenable Identity Exposure 用於在網路層級偵測 Active Directory 攻擊的 YARA 規則的資訊,進而增強 Tenable Identity Exposure 的整體偵測功能。
-
與 Active Directory 系統管理員或相關利害關係人合作,檢查並解決資安事端,決定是關閉還是重新開啟,並實作防止資安事端再次發生的措施。
-
如果這是已識別或授權的攻擊,您可以選擇相應地自訂攻擊指標 (IoA),以防止攻擊指標 (IoA) 在未來的情況下標記此攻擊。
另請參閱
-
Indicators of Attack
-
Customize an Indicator