Trail Flow-Abfragen anpassen

Mit dem Trail Flow können Sie die Funktionen von Tenable Identity Exposure über die standardmäßige Überwachung von Indicators of Exposure und Indicators of Attack hinaus erweitern. Sie können benutzerdefinierte Abfragen erstellen, um Daten schnell abzurufen. Außerdem können Sie die Abfrage als benutzerdefinierte Warnung verwenden, die Tenable Identity Exposure an Ihr Security Information and Event Management (SIEM)-System senden kann.

Die folgenden Beispiele zeigen praktische benutzerdefinierte Abfragen in Tenable Identity Exposure.

Anwendungsfall Beschreibung
Überwachung von Binärdateien zum Starten und Herunterfahren von GPOs und Überwachung des globalen SYSVOL-Pfads Überwacht auf Skripts im Systemstartpfad und/oder im globalen SYSVOL-Replikationspfad. Angreifer nutzen diese Skripte häufig, um native AD-Dienste zu missbrauchen und Ransomware schnell in einer Umgebung zu verbreiten.

  • Abfrage für Skripts im Startpfad:

    globalpath: "sysvol" AND types: "Scriptsini"

    Hinweis: Hier bezieht sich types auf das Objektattribut und nicht auf die Spaltenüberschrift.

  • Abfrage für SYSVOL-Überwachung:

    globalpath:"sysvol" AND (globalpath:".ps1" OR globalpath:".msi" OR globalpath:".bat" OR globalpath:".exe")
Änderungen der GPO-Konfiguration Überwacht auf Änderungen an GPO-Konfigurationen. Angreifer verwenden diese Methode häufig, um Sicherheitseinstellungen herunterzustufen und so eine Persistenz und/oder Kontoübernahme zu ermöglichen.

  • Abfrage für GPO-Überwachung:

    gptini-displayname:"Neues Gruppenrichtlinienobjekt" AND changetype:"Geändert"
Fehlgeschlagene Authentifizierung und Passwortrücksetzung

Überwacht auf mehrere fehlgeschlagene Authentifizierungsversuche, die zu einer Sperre führen, was als Frühwarnkennzeichen für Brute-Force-Versuche dienen kann.

Hinweis: Sie müssen die Sperrrichtlinie und die Datums-/Uhrzeitvariablen festlegen. Weitere Informationen finden Sie unter Authentifizierung über ein Tenable Identity Exposure-Konto.
  • Abfrage für fehlgeschlagene Authentifizierung: 

    useraccountcontrol:"Normal" AND badpwdcount:"<SCHWELLENWERT_FÜR_KONTOSPERRE>" AND badpasswordtime:"<DATUMS-/UHRZEITSTEMPEL>"

  • Abfrage für Passwortrücksetzung:

    pwdlastset:" <DATUMS-/UHRZEITSTEMPEL>"

Objektberechtigungen hinzugefügt, entfernt oder geändert

Überwacht auf nicht autorisierte Änderungen an ACL-Rechten und zugehörigen Objektberechtigungssätzen. Angreifer missbrauchen diese Methode, um Berechtigungen zu erhöhen.

Hinweis: Sie müssen die Datums-/Uhrzeitvariable angeben.

  • Abfrage für Objektberechtigungen:

    ntsecuritydescriptor:0 AND whenchanged:"DATUMS-/UHRZEITSTEMPEL"

Änderungen an Administratoren, die zu einer Abweichung führen

Integrierte Administratorgruppen und benutzerdefinierte Gruppen sind sensible Gruppen, die eine genaue Überwachung auf Abweichungen oder Konfigurationsänderungen erfordern, die ein Risiko darstellen können. Mit dieser Abfrage können Sie schnell die letzten Änderungen überprüfen, die sich negativ auf die Sicherheitseinstellungen in der Administratorengruppe ausgewirkt haben könnten.

  • Abfrage für Änderungen an Administratoren:

    isDeviant:true AND cn:"admins"

Siehe auch