Indicateurs d'attaque

Licence requise : Indicators of Attack

Les indicateurs d'attaque (IoA) de Tenable Identity Exposure permettent de détecter les attaques contre votre infrastructure Active Directory (AD).

Une vue consolidée des indicateurs d'attaque affiche, dans un même volet, une chronologie, les 3 principaux incidents qui ont impacté votre infrastructure AD en temps réel et la distribution des attaques. Vous pouvez effectuer les opérations suivantes :

  • Visualiser chaque menace à partir d'une chronologie d'attaque précise.

  • Analyser en profondeur les détails d'une attaque AD.

  • Explorer les descriptions MITRE ATT&CK directement à partir des incidents détectés.

Pour plus d'informations sur des IoA spécifiques, consultez Indicators of Attack and the Active Directory.

Remarque : si vous observez un nombre élevé d'attaques détectées, vérifiez que votre administrateur a correctement calibré les indicateurs d'attaque en appliquant les valeurs recommandées pour les différentes options d'IoA. Pour plus d'informations, voir Pour calibrer les IoA.

Pour afficher les indicateurs d'attaque :

  1. Dans Tenable Identity Exposure, cliquez sur Indicateurs d'attaque dans le volet de navigation.

    Le volet Indicateurs d'attaque apparaît.

  1. Par défaut, Tenable Identity Exposure affiche toutes vos forêts et tous vos domaines AD. Pour ajuster cette vue, vous pouvez procéder de différentes manières :

    • Sélectionner la période à afficher : cliquez sur Heure, Jour (par défaut), Mois ou Année.

    • Parcourir la chronologie : cliquez sur la flèche gauche ou droite pour avancer ou reculer dans la chronologie.

  • Sélectionner une heure spécifique : cliquez sur le sélecteur de date pour choisir une heure, un jour, un mois ou une année.

  • Revenir à la date et à l'heure actuelles : cliquez sur l'icône  à côté du sélecteur de date.

  • Sélectionner les domaines : cliquez sur n/n domaines.

  1. Dans le volet Forêt et domaines, sélectionnez les domaines.

  2. Cliquez sur Filtrer sur la sélection.

    Tenable Identity Exposure met à jour la vue.

  • Sélectionner les IoA : cliquez sur n/n indicateurs.

    1. Dans le volet Indicateurs d'attaque, sélectionnez les IoA.

    2. Cliquez sur Filtrer sur la sélection.

      Tenable Identity Exposure met à jour la vue.

  • Trier les tuiles IoA : dans la zone Tri par, cliquez sur la flèche pour afficher une liste déroulante d'options : Domaine, Criticité ou Forêt.

  • Rechercher un domaine ou une attaque : dans la zone de recherche, saisissez le nom du domaine ou l'attaque.

  • Afficher uniquement les domaines attaqués : cliquez sur le curseur N'afficher que les domaines attaqués pour activer l'option Oui.

  • Exporter un rapport d'attaque : cliquez sur Exporter.

    Le volet Exporter les cartes apparaît.

    1. Dans la zone Format d'exportation, cliquez sur la flèche de liste déroulante pour sélectionner un format : PDF, CSV ou PPTX.

    2. Cliquez sur Exporter.

      Tenable Identity Exposure télécharge le rapport sur la machine locale.

Niveau de sévérité

Tenable Identity Exposure détecte et attribue des niveaux de sévérité aux attaques :

Niveau Description
Critique – Rouge Détection d'une attaque post-exploitation prouvée dont la domination de domaine est une condition préalable.
Élevé – Orange Détection d'une attaque majeure qui permet à un attaquant d'atteindre la domination de domaine.
Moyen – Jaune L'IoA est liée à une attaque qui pourrait conduire à une élévation dangereuse des privilèges ou permettre l'accès à des ressources sensibles.
Faible – Bleu Alertes sur les comportements suspects liés aux actions de reconnaissance ou aux incidents à faible impact.

Voir aussi