跟踪事件流表

Tenable Identity Exposure 会在事件发生时,在“跟踪事件流”表中持续列出 Active Directory 中的事件。它包含以下信息:

信息 说明

指示 AD 基础设施中任何与安全相关的更改的源。

有两个可能的来源:

  • 用于与 AD 基础设施通信的轻型目录访问协议 (LDAP)。

  • 用于共享文件、打印机等内容的服务器消息块 (SMB) 协议。

Tenable Identity Exposure 会彻底分析网络上的 LDAP 和 SMB 流量,以检测异常情况和潜在威胁。

注意:Active Directory (AD) 允许管理员创建组策略,以控制在用户和计算机帐户上部署的设置。组策略对象 (GPO) 可存储这些控制设置。Sysvol 文件夹会在域控制器上存储 GPO 文件。为了 AD 的安全性,监控 GPO 的内容非常重要,因为每个域成员都可以高级特权应用或执行这些内容。
类型

显示事件的特征元素,如:

  • 已更改 ACL

  • 已更改 SPN

  • 已删除成员

  • 新成员

  • 新的信任

  • 添加了未知文件类型

  • 新对象

  • 已删除对象

  • 已更改密码

  • 已更改 UAC

  • 链接了新的 GPO

  • 已删除 GPO 链接

  • 所有者更改

  • 已重命名文件

  • 已创建 SPN

  • 身份验证重设失败

  • 身份验证失败

对象 指示与 AD 对象关联的类或文件扩展名。可以搜索目录对象(用户、计算机等)或具有特定文件扩展名 (ini、xml、csv) 的文件。
路径

指示 AD 对象的完整路径,以在 AD 中标识此对象的唯一位置。

目录

指示 AD 基础设施中的更改来自哪个目录。

日期

指示事件的时间。