跟踪事件流
Tenable Identity Exposure 的“跟踪事件流”显示影响 AD 基础设施的事件的实时监控和分析。它允许您识别危急漏洞及其建议的修复过程。
可以使用“跟踪事件流”页面,返回到过去并加载以前的事件或搜索特定事件。还可以使用此页面顶部的搜索框搜索威胁和检测恶意模式。
“跟踪事件流”会跟踪以下事件:
-
用户和组更改:包括帐户与组的创建、删除和修改。
-
权限变更:包含对文件、文件夹和打印机等对象的访问控制的修改。
-
系统配置调整:涉及变更组策略对象 (GPO) 及其他关键设置。
-
可疑活动:包含未经授权的尝试、特权提升及其他引发危险信号的事件。
Tenable Identity Exposure 提供以下功能以利用跟踪事件流数据:
-
可搜索和可筛选:通过使用关键词或特定条件轻松导航事件流,使重点集中在相关活动上,同时最大限度地减少无关信息的干扰。
-
详细的事件信息:每个事件条目都提供详尽的详细信息,包括受影响的对象、负责变更的用户、使用的协议以及相关的风险暴露指标 (IoE)。
-
关系可视化:展示事件之间的关系,阐明看似无关的活动如何促成更广泛的攻击活动。
若要访问“跟踪事件流”,请执行以下步骤:
-
在 Tenable Identity Exposure 中,点击左侧导航栏中的“跟踪事件流”。
“跟踪事件流”页面随即打开,其中包含事件列表。有关更多信息,请参阅“Trail Flow Table”。
在“跟踪事件流”中,数据如何显示?
-
当您在 Active Directory (AD) 界面中执行以下操作时:
-
创建新的用户帐户
-
修改用户的组成员身份
-
重置密码
-
禁用帐户
-
启用帐户
-
删除帐户
-
移动对象
-
修改权限
-
-
Active Directory (AD) 会自动生成事件日志条目,以捕获操作的详细信息,包括:
-
时间戳
-
执行操作的管理员
-
受影响的对象
-
具体的更改
-
-
Tenable Identity Exposure 会持续收集和分析这些事件日志、关联事件、识别模式以及检测异常。
-
“跟踪事件流”页面会直观呈现操作流及其影响:
-
时间线:显示按时间顺序排列的事件,并突出显示最近的操作。
-
对象详细信息:提供受影响对象的具体信息,包括其属性和关系。
-
变更历史记录:显示对象被修改的历史记录,包括当前操作。
-
风险见解:识别与操作相关的潜在风险,例如过多权限或敏感组中的成员资格。
-
合规性信息:表示与操作相关的任何违规行为。
-
另请参阅