Détails d'un événement

Le flux de suivi (Trail Flow) dans Tenable Identity Exposure fournit des informations détaillées sur chaque événement qui affecte votre infrastructure Active Directory (AD). Les détails d'un événement permettent d'examiner les informations techniques et de prendre les mesures correctives requises par le niveau de sévérité de l'indicateur d'exposition (IoE).

IoE, événement et objet déviant

Un indicateur d'exposition (IoE) décrit une menace qui affecte l'infrastructure AD. Les IoE de Tenable Identity Exposure évaluent les niveaux de sécurité après avoir reçu un événement en temps réel. Les IoE peuvent inclure plusieurs vulnérabilités techniques. Ils fournissent des informations sur les vulnérabilités détectées, les objets déviants associés et des recommandations en termes d'actions correctives.
Un événement indique une modification de la sécurité qui peut apparaître dans une infrastructure AD. Il peut s'agir d'un changement de mot de passe, de la création d'un utilisateur, de la création ou de la modification d'une GPO, de la création d'un droit délégué, etc. Un événement peut rendre non conforme un IoE conforme.
Un objet déviant est un élément technique, seul ou associé à un autre objet déviant, qui permet au vecteur d'attaque de l'IoE de fonctionner. Pour plus d'informations, voir Indicateurs d'exposition.

Tableau des attributs

Le tableau Attributs contient les colonnes suivantes :

Colonne	Description
Attributs	Indique les attributs de l'objet AD associé à l'événement que vous avez sélectionné dans le tableau Trail Flow. Les attributs décrivent les caractéristiques de l'objet. Plusieurs attributs peuvent décrire un seul objet AD.
Valeur à l'événement	Indique la valeur de l'attribut au moment de l'événement.
Valeur actuelle	Indique la valeur de l'attribut dans l'infrastructure AD au moment où vous le visualisez.

Conseil : pour afficher la valeur de l'attribut avant l'occurrence de l'événement, survolez le point bleu à gauche (le cas échéant).

Déviances

Si un événement du Trail Flow contient des déviances, le volet Détails de l'événement les affiche également pour vous permettre d'accéder à la source du problème.

Tenable Identity Exposure lie une déviance à un objet racine et peut l'associer à plusieurs attributs incriminants. Lorsque vous résolvez l'un de ces attributs, Tenable Identity Exposure résout la déviance sur l'objet racine. Il crée ensuite une nouvelle déviance pour l'objet racine, en gardant le même motif mais en incluant uniquement les attributs non résolus.

Par exemple, Tenable Identity Exposure lie une déviance à l'objet A pour un motif unique qui se connecte à plusieurs objets associés (B, Cet D). Lorsque vous résolvez l'attribut incriminant sur l'objet C, Tenable Identity Exposure résout la déviance sur l'objet A. Il crée ensuite une nouvelle déviance pour l'objet A, en la liant au même motif mais en incluant uniquement les objets B et D.

Au cours de ce processus, Tenable Identity Exposure peut générer un événement Trail Flow qui affiche plusieurs déviances comme étant résolues et rouvertes au même horodatage.

Pour accéder aux détails de l'IoE :

Dans l'onglet Déviances, cliquez sur la tuile IoE sous la raison de la déviance.

Le volet Détails de l'indicateur apparaît avec la liste des objets déviants et les informations suivantes :
- Nom de l'IoE
- Sévérité de l'IoE (critique, élevée, moyenne, faible)
- Statut de l'IoE
- Horodatage de la dernière détection

Cliquez sur l'un des onglets suivants :
- Informations : contient les ressources internes et externes sur l'IoE.
- Détails de la vulnérabilité : fournit des explications sur la faille détectée dans votre infrastructure AD.
- Objets déviants : contient des détails techniques et une zone de recherche pour filtrer les objets.
- Recommandations : contient des conseils sur la façon de résoudre le problème.