攻擊指標
當有最先進的攻擊程式技術試圖入侵您的 Active Directory (AD) 基礎架構時,Tenable Identity Exposure 攻擊指標 (IoA) 可協助貴組織偵測威脅並立即採取行動,包括:
-
前 3 大資安事端:攻擊指標 (IoA) 的資訊統一呈現在單一介面中,包括即時時間軸、影響 AD 的前三大資安事端,以及攻擊的分布情況。
-
攻擊指標 (IoA) 詳情:在 Tenable Identity Exposure 中,攻擊指標面板會提供在 AD 中所發生攻擊的相關資訊。
-
涉及攻擊指標 (IoA) 的資安事端:攻擊指標 (IoA) 資安事端清單會完整詳列以您 AD 為目標之特定攻擊的資訊。您可以利用此資訊根據攻擊指標 (IoA) 的嚴重性等級進行適當應變。
攻擊指標具有一系列功能,可提升您的調查能力:
-
可供搜尋和篩選:利用時間軸輕鬆探索攻擊指標 (IoA),或根據樹系、網域和重要性層級套用篩選條件,以有效率地獲得針對性結果。
-
匯出功能:允許以 PDF、CSV 或 PPTX 格式匯出攻擊指標 (IoA) 資料。
-
修改圖表類型:提供變更圖表類型的選項,您可以選擇顯示攻擊嚴重性的分布或前三大攻擊及其各自的發生計數。
-
處理攻擊指標 (IoA) 資安事端:允許您選取要關閉或重新開啟的資安事端。
Tenable Identity Exposure 會偵測攻擊並指派嚴重性等級:
等級 | 說明 |
---|---|
嚴重 - 紅色 | 偵測到經驗證的後滲透攻擊,此類攻擊需要以網域支配權作為先決條件。 |
高度 - 橙色 | 偵測到允許攻擊者取得網域支配權的重大攻擊。 |
中度 - 黃色 | 與此攻擊相關的攻擊指標 (IoA) 可導致危險的特權提升,或允許攻擊者存取敏感資源。 |
低度 - 藍色 | 與偵察動作或低影響資安事端相關的可疑行為警示。 |
識別符合您特定安全性風險和疑慮的嚴重和高影響攻擊指標 (IoA)。
若要減輕誤報或疏忽合法攻擊帶來的風險,請務必根據您的環境校正攻擊指標 (IoA)。為此,您需要:
-
調整臨界值:校正攻擊指標 (IoA) 敏感度以減少誤報,確保警示合理且可作為行動依據。
-
將帳戶和活動列入白名單:將合法活動從觸發攻擊指標 (IoA) 的範圍中排除,以增強警示準確性並簡化調查流程。
-
關聯攻擊指標 (IoA):分析不同攻擊指標 (IoA) 之間的關係,以識別更多的攻擊模式。
-
在啟用攻擊指標 (IoA) 時,從導覽窗格選取「攻擊指標」,或按一下首頁右上角的鈴鐺圖示。
-
每個指標均提供資安事端的詳細資訊,您在檢閱後便可採取適當行動:
-
攻擊發生的時間
-
攻擊說明
-
攻擊來源
-
攻擊目標
-
MITRE ATT&CK® 資訊
-
YARA 偵測規則
-
其他資源
-
-
選取「詳細資料」以存取說明,如下圖所示,重點放在「本機管理員列舉」部分。
-
「說明」索引標籤提供有關在 Active Directory (AD) 發生之特定攻擊的資訊。
-
「YARA 偵測規則」索引標籤提供有關 Tenable Identity Exposure 用於在網路層級偵測 Active Directory 攻擊的 YARA 規則的資訊,進而增強 Tenable Identity Exposure 的整體偵測功能。
-
與 Active Directory 系統管理員或相關利害關係人合作,檢查並解決資安事端,決定要關閉或是重新開啟,並實施防止資安事端再次發生的措施。
-
如果這是已識別或授權的攻擊,您可以選擇相應地自訂攻擊指標 (IoA),以防止攻擊指標 (IoA) 在未來情況下再次標記攻擊。
另請參閱
-
Indicators of Attack
-
Customize an Indicator