手动搜索“跟踪事件流”

若要过滤与特定字符串或模式匹配的事件,可以在搜索框中输入表达式,以使用布尔运算符 *ANDOR 优化结果。可以将 OR 语句放在括号中,以便修改搜索优先级。搜索操作会查找 Active Directory 属性中的任何特定值。

若要手动搜索跟踪事件流,请执行以下操作:

  1. Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。

  2. 在搜索框中,输入查询表达式。

  3. 可以按如下方式过滤搜索结果:

    • 点击“日历”框以选择开始日期和结束日期。

    • 点击“n/n 个域”以选择林和域。

  1. 点击“搜索”。

    Tenable Identity Exposure 使用与搜索条件匹配的结果更新列表。

示例:

以下示例可搜索:

  • 可危及受监控 AD 基础设施的已停用的用户帐户。

  • 可疑活动和异常帐户使用。

语法和句法

手动查询表达式会使用以下语法和句法:

  • 语法:EXPRESSION [OPERATOR EXPRESSION]*

  • 句法:__KEY__ __SELECTOR__ __VALUE__

    其中:

    • __KEY__ 指的是要搜索的 AD 对象属性(如 CNuserAccountControlmembers 等)。

    • __SELECTOR__ 指运算符 ><>=<=
    • __VALUE__ 指要搜索的值。

      可以使用更多键来查找特定内容:

    • isDeviant 可查找造成异常行为的事件。

可以使用 ANDOR 运算符组合多个跟踪事件流查询表达式。

示例:

  • 在通用名称属性中查找包含字符串 alice 的所有对象:cn:"alice"

  • 在通用名称属性中查找每个包含字符串 alice 且创建了特定异常行为的所有对象:isDeviant:"true" and cn:"alice"

  • 查找 GPO 命名的默认域政策:objectClass:"groupPolicyContainer" and displayname:"Default Domain Policy"

  • 查找 SID 中包含 S-1-5-21 的所有已停用帐户: userAccountControl:"DISABLE" 和 objectSid:"S-1-5-21"

  • 在 Sysvol 中查找所有 script.ini 文件:globalpath:"sysvol" and types:"SCRIPTSini"

    注意:此处,types 是指对象属性,而不是列标头。