Trail Flow manuell durchsuchen

Um Ereignisse zu filtern, die mit bestimmten Zeichenfolgen oder Mustern übereinstimmen, können Sie einen Ausdruck in das Suchfeld eingeben, um die Ergebnisse mit den booleschen Operatoren *, AND und OR zu präzisieren. Sie können OR-Anweisungen in Klammern einschließen, um die Suchpriorität zu ändern. Bei der Suche wird nach einem bestimmten Wert in einem Active Directory-Attribut gesucht.

So können Sie den Trail Flow manuell durchsuchen:

  1. Klicken Sie in Tenable Identity Exposure auf Trail Flow, um die Seite „Trail Flow” zu öffnen.

  2. Geben Sie im Suchfeld einen Abfrageausdruck ein.

  3. Sie können die Suchergebnisse wie folgt filtern:

    • Klicken Sie auf das Feld Kalender, um ein Start- und ein Enddatum auszuwählen.

    • Klicken Sie auf n/n Domänen, um Gesamtstrukturen und Domänen auszuwählen.

  1. Klicken Sie auf Suchen.

    Tenable Identity Exposure aktualisiert die Liste mit den Ergebnissen, die Ihren Suchkriterien entsprechen.

Beispiel:

In diesem Beispiel wird nach Folgendem gesucht:

  • Deaktivierte Benutzerkonten, die überwachte AD-Infrastrukturen gefährden können.

  • Verdächtige Aktivitäten und anormale Kontonutzung.

Grammatik und Syntax

Ein manueller Abfrageausdruck verwendet die folgende Grammatik und Syntax:

  • Grammatik: EXPRESSION [OPERATOR EXPRESSION]*

  • Syntax: __KEY__ __SELECTOR__ __VALUE__

    Bedeutung:

    • __KEY__ bezieht sich auf das zu durchsuchende AD-Objektattribut (wie CN, userAccountControl, members usw.)

    • __SELECTOR__ bezieht sich auf den Operator: :, >, <, >=, <=.
    • __VALUE__ bezieht sich auf den zu suchenden Wert.

      Sie können mehr Schlüsselwörter verwenden, um nach bestimmten Inhalten zu suchen:

    • isDeviant sucht nach Ereignissen, die eine Abweichung verursacht haben

Sie können mehrere Trail Flow-Abfrageausdrücke mit den Operatoren AND und OR kombinieren.

Beispiele:

  • Suche nach allen Objekten, die die Zeichenfolge alice im Attribut für den allgemeinen Namen enthalten: cn:"alice"

  • Suche nach allen Objekten, die die Zeichenfolge alice im Attribut für den allgemeinen Namen enthalten und zu einer konkreten Abweichung geführt haben: isDeviant:"true" and cn:"alice"

  • Suche nach einem GPO mit dem Namen „Default Domain Policy“: objectClass: "groupPolicyContainer" and displayname: "Default Domain Policy"

  • Suche nach allen deaktivierten Konten mit einer SID, die S-1-5-21 enthält: userAccountControl: "DISABLE" und objectSid: "S-1-5-21"

  • Suche nach allen script.ini-Dateien in Sysvol: globalpath: "sysvol" and types: "SCRIPTSini"

    Hinweis: Hier bezieht sich types auf das Objektattribut und nicht auf die Spaltenüberschrift.