事件详细信息
Tenable Identity Exposure 中的“跟踪事件流”可提供有关影响 Active Directory (AD) 的每个事件的详细信息。可以在特定事件的详细信息中查看技术信息,并采取风险暴露指标 (IoE) 的严重程度所需的修复措施。
若要查看事件详细信息,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。
-
点击以选择“跟踪事件流”表中的一个条目。
“事件详细信息”窗格随即打开。
IoE、事件和异常对象
-
风险暴露指标 (IoE) 描述的是一种影响 AD 的威胁。Tenable Identity Exposure 的 IoE 可在收到事件后实时评估安全级别。IoE 可能包含数个技术漏洞。IoE 可针对检测到的漏洞、关联的异常对象和修复措施建议提供相关信息。
-
“事件”表示与 AD 中出现的安全功能相关的变更。该变更可能是密码更改、用户创建、新 GPO 或修改后的 GPO、新的委派权限等。事件可将 IoE 的合规性状态从合规变为不合规。
-
异常对象是一种技术元素,既可单独使用,亦可与另一个异常对象关联,以便 IoE 的攻击向量有效。
属性表
“属性”表包含以下列:
| 列 | 说明 |
|---|---|
| 属性 | 指示与已在“跟踪事件流”表中选择的事件关联的 AD 对象的属性。属性描述对象特性。多种属性可描述单个 AD 对象。 |
| 事件发生时的值 | 指示事件发生时的属性值。 |
| 当前值 | 指示用户查看 AD 时其中的属性值。 |
若要搜索属性,请执行以下操作:
-
在“事件详细信息”窗格的搜索框中输入字符串。
Tenable Identity Exposure 将列表缩小到与搜索字符串匹配的属性。
有关更多信息,请参阅“属性更改”。
异常行为
如果“跟踪事件流”中的某个事件包含异常行为,“事件详细信息”窗格也会显示这些异常行为,以便深入了解问题根源。
若要显示异常行为,请执行以下操作:
-
在 Tenable Identity Exposure 中,点击“跟踪事件流”以打开“跟踪事件流”页面。
-
点击以选择“跟踪事件流”表中的一个条目。
“事件详细信息”窗格随即打开。
-
选择“异常行为”选项卡。
Tenable Identity Exposure 显示异常行为及触发此类行为的 IoE 的列表。
若要深入了解 IoE 的详细信息,请执行以下操作:
-
在“异常行为”选项卡中,点击异常行为原因下方的 IoE 磁贴。
“指标详细信息”窗格随即打开,其中包含异常对象列表和以下信息:
-
IoE 的名称
-
IoE 的严重程度(严重、高危、中危、低危)
-
IoE 状态
-
最新检测的时间戳
-
-
点击以下任一选项卡:
-
“信息”:包含关于此 IoE 的内部和外部资源。
-
“漏洞详细信息”:包括对在 AD 中检测到的漏洞的说明。
-
“异常对象”:包括技术详细信息和用于过滤对象的搜索框。
-
“建议”:有关如何解决此问题的提示。
-