事件详细信息
Tenable Identity Exposure 中的“跟踪事件流”可提供有关影响 Active Directory (AD) 的每个事件的详细信息。可以在特定事件的详细信息中查看技术信息,并采取风险暴露指标 (IoE) 的严重程度所需的修复措施。
若要查看事件详细信息,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。
-
点击以选择“跟踪事件流”表中的一个条目。
“事件详细信息”窗格随即打开。
IoE、事件和异常对象
-
风险暴露指标 (IoE) 描述的是一种影响 AD 的威胁。Tenable Identity Exposure 的 IoE 可在收到事件后实时评估安全级别。IoE 可能包含数个技术漏洞。IoE 可针对检测到的漏洞、关联的异常对象和修复措施建议提供相关信息。
-
“事件”表示与 AD 中出现的安全功能相关的变更。该变更可能是密码更改、用户创建、新 GPO 或修改后的 GPO、新的委派权限等。事件可将 IoE 的合规性状态从合规变为不合规。
-
异常对象是一种技术元素,既可单独使用,亦可与另一个异常对象关联,以便 IoE 的攻击向量有效。有关更多信息,请参阅“风险暴露指标”。
属性表
“属性”表包含以下列:
| 列 | 描述 |
|---|---|
| 属性 | 指示与已在“跟踪事件流”表中选择的事件关联的 AD 对象的属性。属性描述对象特性。多种属性可描述单个 AD 对象。 |
| 事件发生时的值 | 指示事件发生时的属性值。 |
| 当前值 | 指示用户查看 AD 时其中的属性值。 |
若要搜索属性,请执行以下操作:
-
在“事件详细信息”窗格的搜索框中输入字符串。
Tenable Identity Exposure 将列表缩小到与搜索字符串匹配的属性。
有关更多信息,请参阅“属性更改”。
异常行为
如果“跟踪事件流”中的某个事件包含异常行为,“事件详细信息”窗格也会显示这些异常行为,以便深入了解问题根源。
Tenable Identity Exposure 将异常行为与根对象相关联,并可将其链接到多个会造成危害的属性。当您解决其中一个属性时,Tenable Identity Exposure 会解决根对象上的异常行为。然后,它为根对象创建新的异常行为,保持相同的原因,但仅包含未解决的属性。
例如,Tenable Identity Exposure 出于单一原因将异常行为关联到对象 A,但该原因连接到多个相关对象(B、C 和 D)。当您解决对象 C 上的会造成危害的属性时,Tenable Identity Exposure 会解决对象 A 上的异常行为。然后,它为对象 A 创建新的异常行为,将其链接到相同的原因,但仅包括对象 B 和 D。
在此过程中,Tenable Identity Exposure 可生成跟踪事件流事件,该事件显示多个异常行为在同一时间戳被标记为已解决并重新打开。
若要显示异常行为,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。
-
点击以选择“跟踪事件流”表中的一个条目。
“事件详细信息”窗格随即打开。
-
选择“异常行为”选项卡。
Tenable Identity Exposure 显示异常行为及触发此类行为的 IoE 的列表。
若要深入了解 IoE 的详细信息,请执行以下操作:
-
在“异常行为”选项卡中,点击异常行为原因下方的 IoE 磁贴。
“指标详细信息”窗格随即打开,其中包含异常对象列表和以下信息:
-
IoE 的名称
-
IoE 的严重程度(严重、高危、中危、低危)
-
IoE 状态
-
最新检测的时间戳
-
-
点击以下任一选项卡:
-
“信息”:包含关于此 IoE 的内部和外部资源。
-
“漏洞详细信息”:包括对在 AD 中检测到的漏洞的说明。
-
“异常对象”:包括技术详细信息和用于过滤对象的搜索框。
-
“建议”:有关如何解决此问题的提示。
-