跟踪事件流
Tenable Identity Exposure 的“跟踪事件流”显示影响 AD 基础设施的事件的实时监控和分析。它允许您识别严重漏洞及其建议的修复过程。
通过“跟踪事件流”页面,您可以回溯历史记录,并加载过往事件或搜索特定事件。还可以使用此页面顶部的搜索框搜索威胁和检测恶意模式。
“跟踪事件流”会跟踪以下事件:
-
用户和组更改:包括帐户与组的创建、删除和修改。
-
权限变更:包含对文件、文件夹和打印机等对象的访问控制的修改。
-
系统配置调整:涉及变更组策略对象 (GPO) 及其他关键设置。
-
可疑活动:包含未经授权的尝试、特权提升及其他引发危险信号的事件。
Tenable Identity Exposure 提供以下功能以利用跟踪事件流数据:
-
可搜索和可筛选:使用关键词或特定条件轻松浏览事件流,专注于相关活动,同时减少无关信息的干扰。
-
详细的事件信息:每个事件条目都提供详尽的详细信息,包括受影响的对象、负责变更的用户、使用的协议以及相关的风险暴露指标 (IoE)。
-
关系可视化:通过清晰展示不同事件之间的关系,揭示看似无关的活动如何共同促成更广泛的攻击活动。
若要访问“跟踪事件流”,请执行以下步骤:
-
在 Tenable Identity Exposure 中,点击左侧导航栏中的“跟踪事件流”。
“跟踪事件流”页面随即打开,其中包含事件列表。有关更多信息,请参阅“Trail Flow Table”。
在“跟踪事件流”中,数据如何显示?
-
当您在 Active Directory (AD) 界面中执行某项操作时,例如:
-
创建新的用户帐户
-
修改用户的组成员身份
-
重置密码
-
禁用帐户
-
启用帐户
-
删除帐户
-
移动对象
-
修改权限
-
-
Active Directory (AD) 会自动生成事件日志条目,以捕获操作的详细信息,包括:
-
时间戳
-
执行操作的管理员
-
受影响对象
-
已执行的具体变更
-
-
Tenable Identity Exposure 会持续收集和分析这些事件日志、关联相关事件、识别模式及检测异常。
-
“跟踪事件流”页面会直观呈现操作流及其影响:
-
时间线:按时间顺序显示事件,并突出显示最近的操作。
-
对象详细信息:提供受影响对象的具体信息,包括其属性和相互关系。
-
变更历史记录:显示对象被修改的历史记录,包括当前操作。
-
风险见解:识别与操作相关的潜在风险,例如权限过高或敏感组成员身份。
-
合规性信息:指明与操作相关的任何违规情况。
-
另请参阅
