攻击指标事件

事件的攻击指标 (IoA) 列表提供有关针对 Active Directory (AD) 的特定攻击的详细信息。这让您可以根据 IoA 的严重性级别采取所需的操作。

若要查看攻击事件:

  1. Tenable Identity Exposure 中,点击导航窗格中的“ 攻击指标”。

    攻击指标”窗格随即打开。

  2. 点击任意域磁贴。

    事件列表”窗格随即出现,其中包含域中所发生事件的列表。

  3. 在此列表中,您可以执行以下任一操作:

    • 定义搜索条件以搜索特定的事件❶。

    • 查看对影响 AD 的攻击的详细说明❷。

    • 关闭或重新打开事件❸。

    • 下载显示所有事件的报告❹。

若要搜索事件:

  1. 搜索框中,键入来源或目标的名称。

  2. 点击日期选择器,以选择事件的开始日期和结束日期。

  3. 点击“n/n 个指标”以选择相关指标。

  4. 点击“已关闭事件”,切换至“”以将搜索范围限制为已关闭的事件。

  5. 点击“刷新”。

    Tenable Identity Exposure 使用匹配的事件更新列表。

若要关闭事件:

  1. 从事件列表中选择要关闭或重新打开的事件。

  1. 在窗格底部,点击下拉菜单并选择“关闭所选事件”。

  1. 点击“确定”。

    此时会显示一条消息,要求您确认关闭。

  1. 点击“确认”。

    一条消息确认 Tenable Identity Exposure 已关闭该事件,且不再显示该事件。

若要重新打开事件:

  1. 在“事件列表”窗格中,点击“已关闭事件”,切换为“”。

    Tenable Identity Exposure 使用已关闭的事件更新列表。

  2. 选择要重新打开的事件。

  3. 在窗格底部,点击下拉菜单并选择“重新打开所选事件”。

  4. 点击“确定”。

    一条消息确认 Tenable Identity Exposure 已重新打开事件。

提示:您可以批量关闭或重新打开事件。在窗格底部,点击“选择显示的对象”。

事件详细信息

事件列表中的每个条目都显示以下信息:

  • 日期 - 触发 IoA 的事件发生的日期。Tenable Identity Exposure 在时间线顶部显示最近的事件。

  • 来源 - 发起攻击的来源及其 IP 地址。

  • 攻击向量 — 解释攻击期间发生的情况。

    提示:将鼠标悬停在攻击向量上可查看有关 IoA 的更多信息。
  • 目标 - 攻击的目标及其 IP 地址。

  • 攻击名称 - 攻击的专业名称。

  • - 攻击影响的范围。

    提示:当您点击事件列表中的多个交互式元素(链接、操作按钮等)时,Tenable Identity Exposure 最多可显示五个窗格。若要同时关闭所有窗格,请点击页面上的任意位置。

攻击详细信息

从事件列表中,您可以深入了解特定攻击并采取必要的操作进行修复。

若要显示攻击详细信息:

  1. 从事件列表中选择要深入了解哪个事件的详细信息。

  2. 点击“详细信息”。

    Tenable Identity Exposure 将显示与该攻击相关的详细信息:

另请参阅: