Trail Flow

Le Trail Flow de Tenable Identity Exposure affiche la surveillance et l'analyse en temps réel des événements qui affectent votre infrastructure AD. Il permet d'identifier les vulnérabilités critiques et les mesures correctives recommandées.

Dans la page Trail Flow, vous pouvez remonter dans le temps et charger des événements antérieurs ou rechercher des événements spécifiques. Vous pouvez également utiliser sa zone de recherche en haut de la page pour rechercher des menaces et détecter des modèles malveillants.

Le Trail Flow suit les événements suivants :

  • Modifications d'utilisateurs et de groupes : inclut la création, la suppression et la modification de comptes et de groupes.

  • Modifications d'autorisations : inclut les modifications apportées aux contrôles d'accès sur des objets tels que des fichiers, des dossiers et des imprimantes.

  • Ajustements de la configuration système : implique les modifications des stratégies de groupe (GPO) et d'autres paramètres critiques.

  • Activités suspectes : inclut les tentatives non autorisées, les élévations de privilèges et d'autres événements qui déclenchent des signaux d'alerte.

Tenable Identity Exposure propose les fonctionnalités suivantes pour exploiter les données du Trail Flow :

  • Recherche et filtrage : navigation simple dans le flux d'événements à l'aide de mots-clés ou de critères spécifiques, permettant ainsi de concentrer l'attention sur des activités pertinentes tout en minimisant le bruit superflu.

  • Informations détaillées sur les événements : chaque entrée d'événement fournit des détails exhaustifs qui incluent l'objet affecté, l'utilisateur responsable de la modification, le protocole utilisé et les indicateurs d'exposition (IoE) associés.

  • Relations visualisées : les relations entre les événements sont représentées graphiquement pour éclairer la manière dont des activités, apparemment indépendantes les unes des autres, peuvent contribuer à une campagne d'attaque plus large.

  • Dans Tenable Identity Exposure, cliquez sur Trail Flow dans la barre de navigation sur la partie gauche.

    La page Trail Flow apparaît avec une liste d'événements. Pour plus d'informations, voir Tableau Trail Flow.

  1. En haut de la page Trail Flow, cliquez sur la zone du calendrier.

  2. Sélectionnez une date de début et une date de fin.

  3. Cliquez sur Rechercher.

    Tenable Identity Exposure met à jour le tableau Trail Flow avec la période sélectionnée.

  1. En haut de la page Trail Flow, cliquez sur n/n domaines >.

    Le volet Forêts et domaines apparaît.

  2. Sélectionnez les forêts et les domaines.

  3. Cliquez sur Filtrer sur la sélection.

    Tenable Identity Exposure met à jour le tableau Trail Flow et affiche des informations concernant la forêt et le domaine sélectionnés.

  • Dans le tableau Trail Flow, cliquez sur une ligne contenant l'événement à explorer.

    Le volet Détails de l'événement apparaît. Pour plus d'informations, voir Détails d'un événement.

  • Effectuez l'une des actions suivantes :

    • Cliquez sur l'icône pour suspendre le Trail Flow.

      La suspension du Trail Flow arrête le défilement vertical automatique des événements les plus récents, mais l'analyse continue de s'exécuter en arrière-plan et permet d'effectuer une recherche sur les événements.

    • Cliquez sur l'icône pour redémarrer le Trail Flow.

  • Sur la page Trail Flow, effectuez l'une des opérations suivantes :

    • Cliquez sur Charger les événements suivants

    • Cliquez sur Charger les événements précédents