Indicators of Attack

Erforderliche Lizenz: Indicators of Attack

Mit dem Modul Indicators of Attack (IoA) von Tenable Identity Exposure können Sie Angriffe auf Ihr Active Directory (AD) erkennen.

Eine konsolidierte Ansicht von Indicators of Attack zeigt eine Zeitleiste, eine Echtzeit-Ansicht der Top 3-Vorfälle, von denen Ihr AD betroffen war, sowie die Angriffsverteilung in einem einzigen Fensterbereich. Sie haben folgende Möglichkeiten:

  • Jede Bedrohung anhand einer genauen Angriffszeitleiste visualisieren.

  • Detaillierte Informationen zu einem AD-Angriff analysieren.

  • MITRE ATT&CK-Beschreibungen direkt von erkannten Vorfällen aus untersuchen.

Weitere Informationen zu bestimmten IoAs finden Sie unter Indicators of Attack and the Active Directory.

Hinweis: Wenn Sie eine hohe Anzahl erkannter Angriffe beobachten, überprüfen Sie, ob Ihr Administrator die Indicators of Attack durch Anwendung der empfohlenen Werte für die verschiedenen IoA-Optionen korrekt kalibriert hat. Weitere Informationen finden Sie unter So kalibrieren Sie IoAs.

So zeigen Sie Indicators of Attack an:

  1. Klicken Sie in Tenable Identity Exposure im Navigationsbereich auf Indicators of Attack.

    Der Fensterbereich Indicators of Attack wird geöffnet.

  1. Standardmäßig zeigt Tenable Identity Exposure alle Ihre AD-Gesamtstrukturen und -Domänen an. Um diese Ansicht anzupassen, können Sie einen der folgenden Schritte ausführen:

    • Den anzuzeigenden Zeitraum auswählen – Klicken Sie auf Stunde, Tag (Standardeinstellung), Monat oder Jahr.

    • Sich entlang der Zeitleiste bewegen – Klicken Sie auf den Nach-links- oder Nach-rechts-Pfeil, um sich vorwärts oder rückwärts durch die Zeitleiste zu bewegen.

  • Einen bestimmten Zeitpunkt auswählen – Klicken Sie auf die Datumsauswahl, um eine Stunde, einen Tag, einen Monat oder ein Jahr zu wählen.

  • Zum aktuellen Datum und zur aktuellen Zeit zurückkehren – Klicken Sie neben der Datumsauswahl auf das Symbol .

  • Die Domänen auswählen – Klicken Sie auf n/n Domänen.

  1. Wählen Sie die Domänen im Fensterbereich Gesamtstrukturen und Domänen aus.

  2. Klicken Sie auf Auswahlbasierter Filter.

    Tenable Identity Exposure aktualisiert die Ansicht.

  • IoAs auswählen – Klicken Sie auf n/n Indikatoren.

    1. Wählen Sie die IoAs im Fensterbereich „Indicators of Attack“ aus.

    2. Klicken Sie auf Auswahlbasierter Filter.

      Tenable Identity Exposure aktualisiert die Ansicht.

  • Die IoA-Kacheln sortieren – Klicken Sie auf den Pfeil im Feld Sortieren nach, um eine Dropdown-Liste mit Auswahloptionen anzuzeigen: Domäne, Kritikalität und Gesamtstruktur.

  • Nach Domäne oder Angriff suchen – Geben Sie im Feld Suche den Domänennamen oder Angriff ein.

  • Nur angegriffene Domänen anzeigen – Legen Sie den Umschalter Nur angegriffene Domänen anzeigen auf Ja fest.

  • Angriffsbericht exportieren – Klicken Sie auf Exportieren.

    Der Fensterbereich Karten exportieren wird angezeigt.

    1. Klicken Sie im Feld Exportformat auf den Pfeil der Dropdown-Liste, um ein Format auszuwählen: PDF, CSV oder PPTX.

    2. Klicken Sie auf Exportieren.

      Tenable Identity Exposure lädt den Bericht auf den lokalen Computer herunter.

Schweregrad

Tenable Identity Exposure erkennt Angriffe und weist ihnen einen Schweregrad zu:

Schweregrad Beschreibung
Kritisch – Rot Es wurde ein nachweislicher Post-Exploitation-Angriff erkannt, für den Domänendominanz eine Voraussetzung ist.
Hoch – Orange Es wurde ein größerer Angriff erkannt, über den ein Angreifer Domänendominanz erlangen kann.
Mittel – Gelb Der IoA hängt mit einem Angriff zusammen, der zu einer gefährlichen Rechteausweitung führen oder den Zugriff auf sensible Ressourcen ermöglichen könnte.
Gering – Blau Warnt vor verdächtigem Verhalten in Zusammenhang mit Auskundschaftung oder Vorfällen mit geringen Auswirkungen.

Siehe auch