跟踪事件流

Tenable Identity Exposure 的“跟踪事件流”显示影响 AD 基础设施的事件的实时监控和分析。它允许您识别危急漏洞及其建议的修复过程。

可以使用“跟踪事件流”页面,返回到过去并加载以前的事件或搜索特定事件。还可以使用此页面顶部的搜索框搜索威胁和检测恶意模式。

“跟踪事件流”会跟踪以下事件:

  • 用户和组更改:包括帐户与组的创建、删除和修改。

  • 权限变更:包含对文件、文件夹和打印机等对象的访问控制的修改。

  • 系统配置调整:涉及变更组策略对象 (GPO) 及其他关键设置。

  • 可疑活动:包含未经授权的尝试、特权提升及其他引发危险信号的事件。

Tenable Identity Exposure 提供以下功能以利用跟踪事件流数据:

  • 可搜索和可筛选:通过使用关键词或特定条件轻松导航事件流,使重点集中在相关活动上,同时最大限度地减少无关信息的干扰。

  • 详细的事件信息:每个事件条目都提供详尽的详细信息,包括受影响的对象、负责变更的用户、使用的协议以及相关的风险暴露指标 (IoE)。

  • 关系可视化:展示事件之间的关系,阐明看似无关的活动如何促成更广泛的攻击活动。

在“跟踪事件流”中,数据如何显示?

  1. 当您在 Active Directory (AD) 界面中执行以下操作时:

    • 创建新的用户帐户

    • 修改用户的组成员身份

    • 重置密码

    • 禁用帐户

    • 启用帐户

    • 删除帐户

    • 移动对象

    • 修改权限

  1. Active Directory (AD) 会自动生成事件日志条目,以捕获操作的详细信息,包括:

    • 时间戳

    • 执行操作的管理员

    • 受影响的对象

    • 具体的更改

  1. Tenable Identity Exposure 会持续收集和分析这些事件日志、关联事件、识别模式以及检测异常。

  1. “跟踪事件流”页面会直观呈现操作流及其影响:

    • 时间线:显示按时间顺序排列的事件,并突出显示最近的操作。

    • 对象详细信息:提供受影响对象的具体信息,包括其属性和关系。

    • 变更历史记录:显示对象被修改的历史记录,包括当前操作。

    • 风险见解:识别与操作相关的潜在风险,例如权限或敏感组中的成员资格。

    • 合规性信息:表示与操作相关的任何违规行为。

另请参阅