攻击指标

所需许可证:攻击指标

Tenable Identity Exposure攻击指标 (IoA) 功能让您能够检测针对 Active Directory (AD) 的攻击。

攻击指标的合并视图在单个窗格中显示时间线、实时影响 AD 的前 3 个事件以及攻击分布情况。您可以执行以下操作:

  • 从准确的攻击时间线对每个威胁进行可视化。

  • 深入分析有关 AD 攻击的详细信息。

  • 直接从检测到的事件探索 MITRE ATT&CK 描述。

有关特定 IoA 的更多信息,请参阅 Indicators of Attack and the Active Directory。

注意:如果您发现检测到了大量攻击,请与您的管理员确认是否通过应用各种 IoA 选项的建议值来正确调整攻击指标。如需了解更多信息,请参阅调整 IoA

若要显示攻击指标,请执行以下操作:

  1. Tenable Identity Exposure 中,点击导航窗格中的“ 攻击指标”。

    攻击指标”窗格随即打开。

  1. 默认情况下,Tenable Identity Exposure 显示所有 AD 林和域。若要调整此视图,请执行以下任一操作:

    • 选择要显示的时间段 - 点击“小时”、“”(默认)、“”或“”。

    • 沿时间线移动 - 点击向左或向右箭头,可在时间线上前进或后退。

  • 选择特定时间 - 点击日期选择器以选择小时、日、月或年。

  • 返回到当前日期和时间 - 点击日期选择器旁的 图标。

  • 选择域 - 点击“n/n 个域”。

  1. 在“ 林和域” 窗格中,选择域。

  2. 单击“按所选结果筛选”。

    Tenable Identity Exposure 更新视图。

  • 选择 IoA - 点击“n/n 个指标”。

    1. 在“攻击指标”窗格中,选择 IoA。

    2. 单击“按所选结果筛选”。

      Tenable Identity Exposure 更新视图。

  • 对 IoA 磁贴进行排序 - 在“排序方式”框中,点击箭头以显示包含以下选项的下拉列表:重要性

  • 搜索域或攻击 - 在搜索框中键入域名或攻击。

  • 仅显示受攻击的域 - 点击“仅显示受攻击的域”,切换为“”。

  • 导出攻击报告 - 点击“导出”。

    出现“导出卡”窗格。

    1. 在“导出格式”框中,点击下拉列表箭头以选择格式:PDFCSVPPTX

    2. 点击“导出”。

      Tenable Identity Exposure 将报告下载到本地计算机。

严重程度

Tenable Identity Exposure 检测攻击并为其分配严重程度:

等级 描述
严重 - 红色 检测到经证实的后渗透利用攻击,攻击者需要先控制域才能实施该攻击。
高危 - 橙色 检测到允许攻击者控制域的重大攻击。
中危 - 黄色 IoA 与可导致危险的特权提升或允许访问敏感资源的攻击有关。
低危 - 蓝色 通过警报提醒存在与侦察操作或低影响事件相关的可疑行为。

另请参阅: