Trail Flow
Im Trail Flow in Tenable Identity Exposure wird die Echtzeitüberwachung und Analyse der Ereignisse angezeigt, die Ihre AD-Infrastruktur betreffen. Sie können damit kritische Schwachstellen und die empfohlenen Behebungsmaßnahmen identifizieren.
Auf der Seite Trail Flow können Sie in der Zeit zurückgehen und frühere Ereignisse laden oder nach bestimmten Ereignissen suchen. Sie können auch das Suchfeld oben auf der Seite verwenden, um nach Bedrohungen zu suchen und bösartige Muster zu erkennen.
Der Trail Flow verfolgt die folgenden Ereignisse:
-
Benutzer- und Gruppenänderungen: Umfasst die Erstellung, Löschung und Änderung von Konten und Gruppen.
-
Berechtigungsänderungen: Umfasst Änderungen an der Zugriffssteuerung für Objekte wie Dateien, Ordner und Drucker.
-
Anpassungen der Systemkonfiguration: Umfasst Änderungen an Gruppenrichtlinienobjekten (GPOs) und anderen kritischen Einstellungen.
-
Verdächtige Aktivitäten: Umfasst nicht autorisierte Versuche, Rechteausweitungen und andere Ereignisse, die Warnhinweise auslösen.
Tenable Identity Exposure bietet die folgenden Funktionen zur Nutzung der Trail Flow-Daten:
-
Durchsuchbar und filterbar: Benutzer können mithilfe von Schlüsselwörtern oder bestimmten Kriterien mühelos durch den Ereignisstrom navigieren. So können sie ihre Aufmerksamkeit auf relevante Aktivitäten konzentrieren und gleichzeitig irrelevante Störungen minimieren.
-
Detaillierte Ereignisinformationen: Jeder Ereigniseintrag liefert umfassende Details, darunter das betroffene Objekt, den für die Änderung verantwortlichen Benutzer, das verwendete Protokoll und die zugehörigen Indicators of Exposure (IoEs).
-
Visualisierte Beziehungen: Das Tool bietet die Möglichkeit, die Beziehungen zwischen Ereignissen zu veranschaulichen und so aufzuzeigen, dass auch scheinbar nicht im Zusammenhang stehende Aktivitäten ggf. zu einer umfassenderen Angriffskampagne beitragen.
Wie werden die Daten im Trail Flow angezeigt?
-
Wenn Sie eine Aktion in Ihrer Active Directory (AD)-Oberfläche durchführen, wie z. B.:
-
Neues Benutzerkonto erstellen
-
Gruppenmitgliedschaft eines Benutzers ändern
-
Passwort zurücksetzen
-
Konto deaktivieren
-
Konto aktivieren
-
Konto löschen
-
Objekt verschieben
-
Berechtigungen ändern
-
-
Active Directory (AD) generiert automatisch einen Ereignisprotokolleintrag, der Details des Vorgangs erfasst, einschließlich:
-
Zeitstempel
-
Administrator, der die Aktion durchführt
-
Betroffene(s) Objekt(e)
-
Spezifische Änderungen
-
-
Tenable Identity Exposure erfasst und analysiert diese Ereignisprotokolle kontinuierlich und korreliert Ereignisse, identifiziert Muster und erkennt Anomalien.
-
Auf der Seite „Trail Flow” werden der Ablauf und die Auswirkungen des Vorgangs visualisiert:
-
Zeitleiste: Zeigt eine chronologische Abfolge von Ereignissen an und hebt den letzten Vorgang hervor.
-
Objektdetails: Bietet spezifische Informationen über die betroffenen Objekte, einschließlich ihrer Attribute und Beziehungen.
-
Änderungsverlauf: Zeigt einen Verlauf der Änderungen, die an den Objekten vorgenommen wurden, einschließlich des aktuellen Vorgangs.
-
Risk Insights: Identifiziert potenzielle Risiken im Zusammenhang mit dem Vorgang, wie z. B. übermäßige Berechtigungen oder Mitgliedschaft in sensiblen Gruppen.
-
Compliance-Informationen: Gibt alle Compliance-Verstöße im Zusammenhang mit dem Vorgang an.
-
Siehe auch
-
Trail Flow-Übersicht
-
Trail Flow Use Cases