Abweichende Objekte suchen

Mit dem Suchassistenten können Sie Abfrageausdrücke erstellen.

• Wenn Sie häufige Ausdrücke im Suchfeld verwenden, können Sie diese für eine spätere Verwendung zu einer Liste von Lesezeichen hinzufügen.

• Wenn Sie einen Ausdruck in das Suchfeld eingeben, speichert Tenable Identity Exposure diesen Ausdruck im Fensterbereich „Verlauf“, damit Sie ihn wiederverwenden können.

So suchen Sie mit dem Assistenten nach einem abweichenden Objekt:

1. Zeigen Sie die Liste Abweichende Objekte an.

2. Klicken Sie auf das Symbol .

   Der Fensterbereich Abfrageausdruck bearbeiten wird geöffnet.

   

3. Um den Abfrageausdruck im Bereich zu definieren, klicken Sie zunächst auf die AND- oder OR-Operatorschaltfläche (1), um die erste Bedingung anzuwenden.

4. Wählen Sie ein Attribut aus dem Dropdown-Menü und geben Sie den Wert ein (2).

5. Führen Sie einen der folgenden Schritte aus:

   • Um ein Attribut hinzuzufügen, klicken Sie auf + Neue Regel hinzufügen (3).

   • Um eine weitere Bedingung hinzuzufügen, klicken Sie auf Neue Bedingung hinzufügen+AND- oder +OR-Operator. Wählen Sie ein Attribut aus dem Dropdown-Menü und geben Sie den Wert ein.

   • Um die Suche auf abweichende Objekte einzuschränken, klicken Sie zum Aktivieren auf den Schalter Nur Abweichungen. Wählen Sie den Operator +AND oder +OR aus, um die Bedingung zur Abfrage hinzuzufügen.

   • Um eine Bedingung oder Regel zu löschen, klicken Sie auf das Symbol .

6. Klicken Sie auf Validieren, um die Suche auszuführen, oder auf Zurücksetzen, um die Abfrageausdrücke zu ändern.

Um abweichende Objekte zu filtern, die mit bestimmten Zeichenfolgen oder Mustern übereinstimmen, können Sie einen Ausdruck in das Suchfeld eingeben und so die Ergebnisse mit den booleschen Operatoren *, AND und OR präzisieren. Sie können OR-Anweisungen in Klammern einschließen, um die Suchpriorität zu ändern. Bei der Suche wird nach einem bestimmten Wert in einem Active Directory-Attribut gesucht. So können Sie den Trail Flow manuell durchsuchen:

So suchen Sie manuell nach einem abweichenden Objekt:

1. Zeigen Sie die Liste der Abweichende Objekte an.

   

2. Geben Sie im Suchfeld einen Abfrageausdruck ein.

3. Sie können die Suchergebnisse wie folgt filtern:

   • Klicken Sie auf das Feld Kalender, um ein Start- und ein Enddatum auszuwählen.

   • Klicken Sie auf n/n Domänen, um Gesamtstrukturen und Domänen auszuwählen.

4. Klicken Sie auf Suchen.

   Tenable Identity Exposure aktualisiert die Liste mit den Ergebnissen, die Ihren Suchkriterien entsprechen.

Grammatik und Syntax

Ein manueller Abfrageausdruck verwendet die folgende Grammatik und Syntax:

• Grammatik: EXPRESSION [OPERATOR EXPRESSION]*

• Syntax: __KEY__ __SELECTOR__ __VALUE__

  wobei Folgendes gilt:

  • __KEY__ bezieht sich auf das zu durchsuchende AD-Objektattribut (wie CN, userAccountControl, members usw.)

  • __SELECTOR__ bezieht sich auf den Operator: :, >, <, >=, <=.

  • __VALUE__ bezieht sich auf den zu suchenden Wert.

    Sie können mehr Schlüsselwörter verwenden, um nach bestimmten Inhalten zu suchen:

  • isDeviant sucht nach Ereignissen, die eine Abweichung verursacht haben

Sie können mehrere Trail Flow-Abfrageausdrücke mit den Operatoren AND und OR kombinieren.

Beispiele:

• Suche nach allen Objekten, die die Zeichenfolge alice im Attribut für den allgemeinen Namen enthalten: cn:"alice"

• Suche nach allen Objekten, die die Zeichenfolge alice im Attribut für den allgemeinen Namen enthalten und zu einer konkreten Abweichung geführt haben: isDeviant:"true" and cn:"alice"

• Suche nach einem GPO mit dem Namen „Default Domain Policy“: objectClass: "groupPolicyContainer" and displayname: "Default Domain Policy"

• Suche nach allen deaktivierten Konten mit einer SID, die S-1-5-21 enthält: userAccountControl: "DISABLE" und objectSid: "S-1-5-21"

• Suche nach allen script.ini-Dateien in Sysvol: globalpath: "sysvol" and types: "SCRIPTSini"

  Hinweis: Hier bezieht sich types auf das Objektattribut und nicht auf die Spaltenüberschrift.