Rechercher des objets déviants

L'assistant de recherche permet de créer des expressions de requête.

• Lorsque vous utilisez des expressions fréquentes dans la zone de recherche, vous pouvez les ajouter à une liste de favoris pour les réutiliser ultérieurement.

• Lorsque vous saisissez une expression dans la zone de recherche, Tenable Identity Exposure enregistre l'expression dans son volet Historique pour que vous puissiez la réutiliser.

Pour rechercher un objet déviant à l'aide de l'assistant :

1. Affichez la liste des Objets déviants.

2. Cliquez sur l'icône .

   Le volet Modifier l'expression de requête apparaît.

   

3. Pour définir l'expression de la requête dans le panneau, cliquez sur le bouton de l'opérateur AND ou OR (1) pour l'appliquer à la première condition.

4. Sélectionnez un attribut dans le menu déroulant et saisissez sa valeur (2).

5. Effectuez l'une des opérations suivantes :

   • Pour ajouter un attribut, cliquez sur + Ajouter une nouvelle règle (3).

   • Pour ajouter une autre condition, cliquez sur Ajouter une nouvelle condition et sur l'opérateur +AND ou +OR. Sélectionnez un attribut dans le menu déroulant et saisissez sa valeur.

   • Pour limiter la recherche aux objets déviants, cliquez sur le bouton Déviants uniquement. Sélectionnez l'opérateur +AND ou +OR pour ajouter la condition à la requête.

   • Pour supprimer une condition ou une règle, cliquez sur l'icône .

6. Cliquez sur Valider pour lancer la recherche ou sur Réinitialiser pour modifier les expressions de requête.

Pour filtrer les objets déviants qui correspondent à des chaînes de caractères ou à des modèles spécifiques, vous pouvez saisir une expression dans le champ de recherche, afin d'affiner les résultats à l'aide des opérateurs booléens *, AND et OR. Vous pouvez encapsuler des instructions OR avec des parenthèses pour modifier la priorité de recherche. La recherche identifie une valeur spécifique dans un attribut Active Directory. Pour effectuer une recherche manuelle dans Trail Flow :

Pour rechercher manuellement un objet déviant :

1. Affichez la liste des Objets déviants.

   

2. Dans la zone de recherche, saisissez une expression de requête.

3. Vous pouvez filtrer les résultats de la recherche comme suit :

   • Cliquez dans la zone Calendrier pour sélectionner une date de début et une date de fin.

   • Cliquez sur n/n domaines pour sélectionner des forêts et des domaines.

4. Cliquez sur Rechercher.

   Tenable Identity Exposure met à jour la liste avec les résultats correspondant à vos critères de recherche.

Grammaire et syntaxe

Une expression de requête manuelle utilise la grammaire et la syntaxe suivantes :

• Grammaire : EXPRESSION [OPERATOR EXPRESSION]*

• Syntaxe : __KEY__ __SELECTOR__ __VALUE__

  Dans ces commandes :

  • __KEY__ désigne l'attribut d'objet AD à rechercher (par exemple, CN, userAccountControl, membres, etc.)

  • __SELECTOR__ désigne l'opérateur : :, >, <, >=, <=.

  • __VALUE__ désigne la valeur à rechercher.

    Vous pouvez utiliser davantage de clés pour rechercher un contenu spécifique :

  • isDeviant recherche les événements qui ont créé une déviance.

Vous pouvez combiner plusieurs expressions de requête Trail Flow à l'aide des opérateurs AND et OR.

Exemples :

• Rechercher tous les objets contenant la chaîne alice dans l'attribut de nom commun : cn:"alice"

• Rechercher tous les objets contenant la chaîne alice dans l'attribut de nom commun et ayant créé une déviance spécifique : isDeviant:"true" and cn:"alice"

• Rechercher la GPO nommée Politique de domaine par défaut : objectClass:"groupPolicyContainer" and displayname:"Politique de domaine par défaut"

• Rechercher tous les comptes désactivés avec un SID contenant S-1-5-21 : userAccountControl:"DISABLE" and objectSid:"S-1-5-21"

• Rechercher tous les fichiers script.ini dans Sysvol : globalpath:"sysvol" and types:"SCRIPTSini"

  Remarque : ici, types fait référence à l'attribut d'objet et non pas à l'en-tête de colonne.