风险暴露指标
Tenable Identity Exposure 通过风险暴露指标 (IoE) 衡量 AD 基础设施的安全成熟度,并为监控和分析的事件流分配严重程度。Tenable Identity Exposure 在检测到安全回退时触发警报。
若要显示 IoE,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击导航窗格中的“风险暴露指标”。
此时会打开“风险暴露指标”窗格。默认情况下,Tenable Identity Exposure 仅显示包含异常行为的 IoE。
-
(可选)要显示所有 IoE,点击以将“显示全部指标”开关切换为“是”。
Tenable Identity Exposure IoE 附带一系列旨在提升您调查能力的功能:
-
可搜索和可筛选:根据林和域应用筛选器,轻松探索 IoE。
-
导出功能:异常对象允许以 CSV 格式导出 IoE。
-
对 IoE 事件采取操作:从白名单中删除风险暴露项/重新启用。
IoE 的数据包括:
-
“信息”部分:此部分提供每个风险暴露指标 (IoE) 的执行概述,包括已知的攻击工具、受影响的域以及相关文档。
-
漏洞详细信息:此部分提供有关 Active Directory 中的错误配置的更深入信息。
-
异常对象:此部分重点介绍 Active Directory 中可能导致攻击面扩大的错误配置。
-
建议:此部分指导您通过有效的配置策略来最小化攻击面。
若要搜索 IoE,请执行以下操作:
-
在“风险暴露指标”页面的顶部,在搜索框中输入一个字符串。该字符串可以是与 IoE 相关的任何术语,如密码、用户、登录等。
-
按 Enter。
IoE 页面会随与搜索词关联的指标更新。
若要过滤特定林或域的 IoE,请执行以下操作:
-
点击“n/n 个域”。
“林和域”窗格随即打开。
-
选择林或域。
-
单击“按所选结果筛选”。
严重程度
严重程度允许评估检测到的漏洞的严重程度,并确定修复措施的优先级。
“风险暴露指标”窗格按照如下方式显示 IoE:
-
使用颜色代码按严重程度显示。
-
垂直方向:从最严重到最不严重(红色表示优先级最高,蓝色表示优先级最低)。
-
水平方向:从最复杂到最不复杂。Tenable Identity Exposure 可动态计算复杂程度指标,以指示修复异常 IoE 的难易程度。
| 严重程度 | 描述 |
|---|---|
| 严重 - 红色 | 显示如何防止某些非特权用户对 Active Directory 的攻击和危害。 |
| 高危:橙色 |
处理后渗透利用技术攻击(导致凭据窃取或安全绕过),或者处理需要链接才能带来危险的渗透利用技术。 |
| 中危 - 黄色 | 表示 Active Directory 基础设施的风险有限。 |
| 低危 - 蓝色 | 显示良好的安全实践。某些业务环境可能会导致低影响异常行为,但不一定影响会 AD 安全。仅当管理员做出错误行为(例如激活不活动帐户)时,这些异常行为才会对 AD 产生影响。 |
异常行为解决和检测日期
Tenable Identity Exposure 显示的“最新检测”是指异常对象被记录的最近更新时间,而非异常行为被触发的时刻。
由于 AD 对象之间可以相互影响,因此一个对象的变更可能导致另一个对象产生或消除异常行为。在此类情况下,Tenable Identity Exposure 会使用受影响对象最后一次被记录的事件日期,即使触发变更发生在其他对象上亦然。
示例
如果对象 A 发生变更且导致对象 B 出现异常行为,Tenable Identity Exposure 会将对象 B 的最后更新时间显示为检测日期。
这符合 Tenable Identity Exposure 的标准缓存逻辑:每个 AD 对象都会存储自己的最近事件日期,并且 Tenable Identity Exposure 会在检测到或解决该对象的异常行为时使用此时间戳。
跟踪事件流指标
Tenable Identity Exposure 会将跟踪事件流“菱形”指标附加到异常对象。如果该对象最近未更新,Tenable Identity Exposure 可能不会在当前的跟踪事件流视图中显示该对象。
另请参阅: