Recherche manuelle dans Trail Flow

Pour filtrer les événements qui correspondent à des chaînes de caractères ou à des modèles spécifiques, vous pouvez saisir une expression dans la zone de recherche afin d'affiner les résultats à l'aide des opérateurs booléens *, AND et OR. Vous pouvez encapsuler des instructions OR avec des parenthèses pour modifier la priorité de recherche. La recherche identifie une valeur spécifique dans un attribut Active Directory.

Pour effectuer une recherche manuelle dans Trail Flow :

  1. Dans Tenable Identity Exposure, cliquez sur Trail Flow pour ouvrir la page Trail Flow.

  2. Dans la zone de recherche, saisissez une expression de requête.

  3. Vous pouvez filtrer les résultats de la recherche comme suit :

    • Cliquez dans la zone Calendrier pour sélectionner une date de début et une date de fin.

    • Cliquez sur n/n domaines pour sélectionner des forêts et des domaines.

  1. Cliquez sur Rechercher.

    Tenable Identity Exposure met à jour la liste avec les résultats correspondant à vos critères de recherche.

Exemple :

L'exemple suivant recherche ce qui suit :

  • Comptes utilisateur désactivés pouvant mettre en danger les infrastructures AD surveillées.

  • Activités suspectes et utilisation anormale de compte.

Grammaire et syntaxe

Une expression de requête manuelle utilise la grammaire et la syntaxe suivantes :

  • Grammaire : EXPRESSION [OPERATOR EXPRESSION]*

  • Syntaxe : __KEY__ __SELECTOR__ __VALUE__

    où :

    • __KEY__ désigne l'attribut d'objet AD à rechercher (par exemple, CN, userAccountControl, membres, etc.)

    • __SELECTOR__ désigne l'opérateur : :, >, <, >=, <=.
    • __VALUE__ désigne la valeur à rechercher.

      Vous pouvez utiliser davantage de clés pour rechercher un contenu spécifique :

    • isDeviant recherche les événements qui ont créé une déviance.

Vous pouvez combiner plusieurs expressions de requête Trail Flow à l'aide des opérateurs AND et OR.

Exemples :

  • Rechercher tous les objets contenant la chaîne alice dans l'attribut de nom commun : cn:"alice"

  • Rechercher tous les objets contenant la chaîne alice dans l'attribut de nom commun et ayant créé une déviance spécifique : isDeviant:"true" and cn:"alice"

  • Rechercher la GPO nommée Politique de domaine par défaut : objectClass:"groupPolicyContainer" and displayname:"Politique de domaine par défaut"

  • Rechercher tous les comptes désactivés avec un SID contenant S-1-5-21 : userAccountControl:"DISABLE" and objectSid:"S-1-5-21"

  • Rechercher tous les fichiers script.ini dans Sysvol : globalpath:"sysvol" and types:"SCRIPTSini"

    Remarque : ici, types fait référence à l'attribut d'objet et non pas à l'en-tête de colonne.