Trail Flow-Tabelle

Tenable Identity Exposure listet die Ereignisse in Ihrem Active Directory in der Trail Flow-Tabelle kontinuierlich auf, sobald sie auftreten. Sie enthält die folgenden Informationen:

Informationen Beschreibung
Quelle

Hier wird der Ursprung jeder sicherheitsrelevanten Änderung an Ihren AD-Infrastrukturen aufgeführt.

Es gibt zwei mögliche Quellen:

  • Das Lightweight Directory Access Protocol (LDAP), das für die Kommunikation mit Ihrer AD-Infrastruktur verwendet wird.

  • Das SMB-Protokoll (Server Message Block), das für die gemeinsame Nutzung von Dateien, Druckern usw. verwendet wird.

Tenable Identity Exposure führt sorgfältige Analysen des LDAP- und SMB-Datenverkehrs in Ihrem Netzwerk durch, um Anomalien und potenzielle Bedrohungen zu erkennen.

Hinweis: Mit Active Directory (AD) können Administratoren Gruppenrichtlinien erstellen, die Einstellungen für Benutzer- und Computerkonten steuern. Das Gruppenrichtlinienobjekt (Group Policy Object, GPO) speichert diese Steuerungseinstellungen. GPO-Dateien werden im Sysvol-Ordner auf dem Domänencontroller gespeichert. Es ist wichtig, den Inhalt von GPOs im Hinblick auf die Sicherheit Ihres AD zu überwachen, da jedes Domänenmitglied mit hohen Berechtigungen sie anwenden oder ausführen kann.
Typ

Zeigt die charakteristischen Elemente eines Ereignisses an, zum Beispiel:

  • ACL geändert

  • SPN geändert

  • Mitglied entfernt

  • Neues Mitglied

  • Neue Vertrauensstellung

  • Unbekannter Dateityp hinzugefügt

  • Neues Objekt

  • Objekt entfernt

  • Passwort geändert

  • UAC geändert

  • Neues GPO verlinkt

  • GPO-Link entfernt

  • Besitzerwechsel

  • Datei umbenannt

  • SPN erstellt

  • Zurücksetzen der Authentifizierung fehlgeschlagen

  • Authentifizierung fehlgeschlagen
Objekt Gibt die Klasse oder Dateierweiterung an, die mit einem AD-Objekt verknüpft ist. Sie können nach einem Verzeichnisobjekt (Benutzer, Computer usw.) oder nach einer Datei mit einer bestimmten Dateinamenerweiterung (INI, XML, CSV) suchen.
Pfad

Gibt den vollständigen Pfad zu einem AD-Objekt an, um den eindeutigen Standort dieses Objekts im AD zu identifizieren.
Verzeichnis

Gibt an, aus welchem Verzeichnis die Änderung in Ihrer AD-Infrastruktur stammt.
Datum

Gibt den Zeitpunkt des Ereignisses an.