跟踪事件流
Tenable Identity Exposure 的“跟踪事件流”显示影响 AD 基础设施的事件的实时监控和分析。它允许您识别严重漏洞及其建议的修复过程。
通过“跟踪事件流”页面,您可以回溯历史记录,并加载过往事件或搜索特定事件。还可以使用此页面顶部的搜索框搜索威胁和检测恶意模式。
“跟踪事件流”会跟踪以下事件:
-
用户和组更改:包括帐户与组的创建、删除和修改。
-
权限变更:包含对文件、文件夹和打印机等对象的访问控制的修改。
-
系统配置调整:涉及变更组策略对象 (GPO) 及其他关键设置。
-
可疑活动:包含未经授权的尝试、特权提升及其他引发危险信号的事件。
Tenable Identity Exposure 提供以下功能以利用跟踪事件流数据:
-
可搜索和可筛选:使用关键词或特定条件轻松浏览事件流,专注于相关活动,同时减少无关信息的干扰。
-
详细的事件信息:每个事件条目都提供详尽的详细信息,包括受影响的对象、负责变更的用户、使用的协议以及相关的风险暴露指标 (IoE)。
-
关系可视化:通过清晰展示不同事件之间的关系,揭示看似无关的活动如何共同促成更广泛的攻击活动。
若要访问“跟踪事件流”,请执行以下步骤:
-
在 Tenable Identity Exposure 中,点击左侧导航栏中的“跟踪事件流”。
“跟踪事件流”页面随即打开,其中包含事件列表。有关更多信息,请参阅“跟踪事件流表”。
若要选择时间范围,请执行以下操作:
-
在“跟踪事件流”页面顶部,点击日历框。
-
选择开始日期和结束日期。
-
点击“搜索”。
Tenable Identity Exposure 使用所选时间范围更新“跟踪事件流”表。
若要选择域,请执行以下操作:
-
在“跟踪事件流”页面的顶部,点击“n/n 个域 >”。
“林和域”窗格随即打开。
-
选择林和域。
-
单击“按所选结果筛选”。
Tenable Identity Exposure 使用所选林和域的信息更新“跟踪事件流”表。
若要查看事件,请执行以下操作:
-
在“跟踪事件流”表中,点击包含要了解的事件的行。
“事件详细信息”窗格随即打开。有关更多信息,请参阅“事件详细信息”。
若要暂停和重新启动“跟踪事件流”,请执行以下操作:
-
请执行下列操作之一:
-
点击
图标可暂停“跟踪事件流”。暂停“跟踪事件流”会停止最近事件的自动垂直滚动,同时分析会在后台继续运行,并允许针对事件进行搜索。
-
点击
图标可重新启动“跟踪事件流”。
-
若要加载后面的或以前的事件,请执行以下操作:
-
在“跟踪事件流”页面中,执行下列操作之一:
-
点击“加载后面的事件”
-
点击“加载以前的事件”
-