风险暴露指标
Tenable Identity Exposure 通过风险暴露指标 (IoE) 衡量 AD 基础设施的安全成熟度,并为监控和分析的事件流分配严重程度。Tenable Identity Exposure 在检测到安全回退时触发警报。
若要显示 IoE,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击导航窗格中的“风险暴露指标”。
此时会打开“风险暴露指标”窗格。默认情况下,Tenable Identity Exposure 仅显示包含异常行为的 IoE。
-
(可选)要显示所有 IoE,点击以将“显示全部指标”开关切换为“是”。
Tenable Identity Exposure IoE 附带一系列旨在提升您调查能力的功能:
-
搜索和筛选:根据林和域应用筛选条件,轻松探索 IoE。
-
导出功能:异常对象允许以 CSV 格式导出 IoE。
-
对 IoE 事件采取操作:从白名单中删除风险暴露项/重新启用。
IoE 的数据包括:
-
“信息”部分:此部分提供每个风险暴露指标 (IoE) 的执行概述,包括已知的攻击工具、受影响的域以及相关文档。
-
漏洞详细信息:此部分提供有关 Active Directory 中的错误配置的更深入信息。
-
异常对象:此部分重点介绍 Active Directory 中可能导致攻击面扩大的错误配置。
-
建议:此部分指导您通过有效的配置策略来最小化攻击面。
若要搜索 IoE,请执行以下操作:
-
在“风险暴露指标”页面的顶部,在搜索框中输入一个字符串。该字符串可以是与 IoE 相关的任何术语,如密码、用户、登录等。
-
按 Enter。
IoE 页面会随与搜索词关联的指标更新。
若要过滤特定林或域的 IoE,请执行以下操作:
-
点击“n/n 个域”。
“林和域”窗格随即打开。
-
选择林或域。
-
单击“按所选结果筛选”。
严重程度
严重程度允许评估检测到的漏洞的严重程度,并确定修复措施的优先级。
“风险暴露指标”窗格按照如下方式显示 IoE:
-
使用颜色代码按严重程度显示。
-
垂直方向:从最严重到最不严重(红色表示优先级最高,蓝色表示优先级最低)。
-
水平方向:从最复杂到最不复杂。Tenable Identity Exposure 可动态计算复杂程度指标,以指示修复异常 IoE 的难易程度。
| 严重程度 | 说明 |
|---|---|
| 严重:红色 | 显示如何防止某些非特权用户对 Active Directory 的攻击和危害。 |
| 高危:橙色 |
处理后渗透利用技术攻击(导致凭据窃取或安全绕过),或者处理需要链接才能带来危险的渗透利用技术。 |
| 中危 - 黄色 | 表示 Active Directory 基础设施的风险有限。 |
| 低危 - 蓝色 | 显示良好的安全实践。某些业务环境可能会导致低影响异常行为,但不一定影响会 AD 安全。仅当管理员做出错误行为(例如激活不活动帐户)时,这些异常行为才会对 AD 产生影响。 |
异常行为解决和检测日期
Tenable Identity Exposure 有时会使用不同的解决方式或与实际事件日期不同的检测日期。之所以发生这种情况,是因为 Tenable Identity Exposure 存储的最近事件日期会在缓存过程中影响每个 Active Directory (AD) 对象。
当 Tenable Identity Exposure 检测到并解决影响 AD 对象的异常行为时,会将该对象的最近事件日期分配为解决日期。
例如,用户的群组成员资格变更时,Tenable Identity Exposure 会记录群组而非用户的事件日期。如果影响用户的异常行为通过群组成员身份变更得到解决,Tenable Identity Exposure 将使用用户上次记录的事件日期,而不是群组成员身份变更的日期。
另请参阅