Ereignisdetails

Der Trail Flow in Tenable Identity Exposure liefert detaillierte Informationen zu jedem Ereignis, das Ihr Active Directory (AD) betrifft. Anhand der Details zu einem bestimmten Ereignis können Sie die technischen Informationen überprüfen und die jeweiligen Maßnahmen ergreifen, die der Schweregrad des Indicator of Exposure (IoE) erfordert.

IoE, Ereignis und abweichendes Objekt

  • Ein Indicator of Exposure (IoE) beschreibt eine Bedrohung, die das AD betrifft. Die IoEs von Tenable Identity Exposure bewerten das Sicherheitsniveau nach Erhalt eines Ereignisses in Echtzeit. IoEs können verschiedene technische Schwachstellen umfassen. IoEs liefern Informationen über erkannte Schwachstellen, zugehörige abweichende Objekte und Empfehlungen für Behebungsmaßnahmen.

  • Ein Ereignis zeigt eine sicherheitsrelevante Änderung an, die in einem AD auftreten kann. Dabei kann es sich um eine Passwortänderung, die Erstellung eines Benutzers, ein neues oder geändertes GPO, ein neues delegiertes Recht usw. handeln. Ein Ereignis kann den Compliance-Status eines IoE ändern, von konform zu nicht konform.

  • Ein abweichendes Objekt ist ein technisches Element, das (allein oder in Verbindung mit einem anderen abweichenden Objekt) das Funktionieren des Angriffsvektors eines IoE ermöglicht. Weitere Informationen finden Sie unter Indicators of Exposure.

Tabelle „Attribute“

Die Tabelle „Attribute“ enthält die folgenden Spalten:

Spalte Beschreibung
Attribute Zeigt die Attribute des AD-Objekts an, das mit dem Ereignis verknüpft ist, das Sie in der Tabelle „Trail Flow“ ausgewählt haben. Attribute beschreiben die Merkmale des Objekts. Für die Beschreibung eines einzelnen AD-Objekts können mehrere Objekte verwendet werden.
Wert bei Ereignis Gibt den Attributwert zum Zeitpunkt des Eintretens des Ereignisses an.
Aktueller Wert Zeigt den Wert des Attributs im AD zu dem Zeitpunkt an, zu dem der Benutzer es betrachtet.
Tipp: Um den Wert des Attributs vor dem Eintreten des Ereignisses anzuzeigen, bewegen Sie den Mauszeiger über den blauen Punkt auf der linken Seite (falls vorhanden).

Abweichungen

Wenn ein Ereignis im Trail Flow Abweichungen enthält, werden diese auch im Fensterbereich „Ereignisdetails” angezeigt, damit Sie die Ursache des Problems aufschlüsseln können.

Tenable Identity Exposure verbindet eine Abweichung mit einem Stammobjekt und kann sie mit mehreren belastenden Attributen verknüpfen. Wenn Sie eines dieser Attribute auflösen, behebt Tenable Identity Exposure die Abweichung im Stammobjekt. Anschließend wird eine neue Abweichung für das Stammobjekt erstellt, wobei der Grund beibehalten wird, aber nur die nicht aufgelösten Attribute eingeschlossen werden.

Beispielsweise verbindet Tenable Identity Exposure eine Abweichung für einen einzigen Grund mit Objekt A, der mit mehreren zugehörigen Objekten (B, C und D) verbunden ist. Wenn Sie das belastende Attribut in Objekt C auflösen, behebt Tenable Identity Exposure die Abweichung in Objekt A. Dann wird eine neue Abweichung für Objekt A erstellt und mit demselben Grund verknüpft, wobei jedoch nur die Objekte B und D eingeschlossen werden.

Während dieses Vorgangs kann Tenable Identity Exposure ein Trail Flow-Ereignis generieren, das mehrere Abweichungen mit dem gleichen Zeitstempel für „aufgelöst“ und „erneut geöffnet“ anzeigt.