事件详细信息

Tenable Identity Exposure 中的“跟踪事件流”可提供有关影响 Active Directory (AD) 的每个事件的详细信息。可以在特定事件的详细信息中查看技术信息,并采取风险暴露指标 (IoE) 的严重程度所需的修复措施。

若要查看事件详细信息,请执行以下操作:

  1. Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。

  2. 点击以选择“跟踪事件流”表中的一个条目。

    事件详细信息”窗格随即打开。

IoE、事件和异常对象

  • 风险暴露指标 (IoE) 描述的是一种影响 AD 的威胁。Tenable Identity Exposure 的 IoE 可在收到事件后实时评估安全级别。IoE 可能包含数个技术漏洞。IoE 可针对检测到的漏洞、关联的异常对象和修复措施建议提供相关信息。

  • 事件”表示与 AD 中出现的安全功能相关的变更。该变更可能是密码更改、用户创建、新 GPO 或修改后的 GPO、新的委派权限等。事件可将 IoE 的合规性状态从合规变为不合规。

  • 异常对象是一种技术元素,既可单独使用,亦可与另一个异常对象关联,以便 IoE 的攻击向量有效。

属性表

“属性”表包含以下列:

说明
属性 指示与已在“跟踪事件流”表中选择的事件关联的 AD 对象的属性。属性描述对象特性。多种属性可描述单个 AD 对象。
事件发生时的值 指示事件发生时的属性值。
当前值 指示用户查看 AD 时其中的属性值。
提示:若要显示事件发生前的属性值,请将鼠标悬停在左侧的蓝点上(如有)。

若要搜索属性,请执行以下操作:

  • 在“事件详细信息”窗格的搜索框中输入字符串。

    Tenable Identity Exposure 将列表缩小到与搜索字符串匹配的属性。

有关更多信息,请参阅“属性更改”。

异常行为

如果“跟踪事件流”中的某个事件包含异常行为,“事件详细信息”窗格也会显示这些异常行为,以便深入了解问题根源。

若要显示异常行为,请执行以下操作:

  1. Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。

  2. 点击以选择“跟踪事件流”表中的一个条目。

    事件详细信息”窗格随即打开。

  3. 选择“异常行为”选项卡。

    Tenable Identity Exposure 显示异常行为及触发此类行为的 IoE 的列表。

若要深入了解 IoE 的详细信息,请执行以下操作:

  1. 在“异常行为”选项卡中,点击异常行为原因下方的 IoE 磁贴。

    指标详细信息”窗格随即打开,其中包含异常对象列表和以下信息:

    • IoE 的名称

    • IoE 的严重程度(严重、高危、中危、低危)

    • IoE 状态

    • 最新检测的时间戳

  1. 点击以下任一选项卡:

    • 信息”:包含关于此 IoE 的内部和外部资源。

    • 漏洞详细信息”:包括对在 AD 中检测到的漏洞的说明。

    • 异常对象”:包括技术详细信息和用于过滤对象的搜索框。

    • 建议”:有关如何解决此问题的提示。