Trail Flow

Le Trail Flow de Tenable Identity Exposure affiche la surveillance et l'analyse en temps réel des événements qui affectent votre infrastructure AD. Il permet d'identifier les vulnérabilités critiques et les mesures correctives recommandées.

Dans la page Trail Flow, vous pouvez remonter dans le temps et charger des événements antérieurs ou rechercher des événements spécifiques. Vous pouvez également utiliser sa zone de recherche en haut de la page pour rechercher des menaces et détecter des modèles malveillants.

Le Trail Flow suit les événements suivants :

  • Modifications d'utilisateurs et de groupes : inclut la création, la suppression et la modification de comptes et de groupes.

  • Modifications d'autorisations : inclut les modifications apportées aux contrôles d'accès sur des objets tels que des fichiers, des dossiers et des imprimantes.

  • Ajustements de la configuration système : implique les modifications des stratégies de groupe (GPO) et d'autres paramètres critiques.

  • Activités suspectes : inclut les tentatives non autorisées, les élévations de privilèges et d'autres événements qui déclenchent des signaux d'alerte.

Tenable Identity Exposure propose les fonctionnalités suivantes pour exploiter les données du Trail Flow :

  • Recherche et filtrage : navigation simple dans le flux d'événements à l'aide de mots-clés ou de critères spécifiques, permettant ainsi de concentrer l'attention sur des activités pertinentes tout en minimisant le bruit superflu.

  • Informations détaillées sur les événements : chaque entrée d'événement fournit des détails exhaustifs qui incluent l'objet affecté, l'utilisateur responsable de la modification, le protocole utilisé et les indicateurs d'exposition (IoE) associés.

  • Relations visualisées : les relations entre les événements sont représentées graphiquement pour éclairer la manière dont des activités, apparemment indépendantes les unes des autres, peuvent contribuer à une campagne d'attaque plus large.

Comment les données sont-elles affichées dans le Trail Flow ?

  1. Lorsque vous effectuez une action au sein de votre interface Active Directory (AD), par exemple :

    • Création d'un nouveau compte utilisateur

    • Modification de l'appartenance d'un utilisateur à un groupe

    • Réinitialisation d'un mot de passe

    • Désactivation d'un compte

    • Activation d'un compte

    • Suppression d'un compte

    • Déplacement d'un objet

    • Modification d'autorisations

  1. L'interface Active Directory (AD) génère automatiquement une entrée de journal d'événements qui consigne les détails de l'opération, et notamment :

    • Un horodatage

    • L'administrateur effectuant l'action

    • Le ou les objets affectés

    • Les modifications spécifiques apportées

  1. Tenable Identity Exposure collecte et analyse ces journaux d'événements, met les événements en corrélation, identifie des tendances et détecte les anomalies, tout cela en continu.

  1. La page Trail Flow affiche le flux et l'impact de l'opération :

    • Chronologie : affiche une séquence chronologique des événements, avec mise en évidence de l'opération la plus récente.

    • Détails de l'objet : fournit des informations spécifiques sur les objets affectés, notamment leurs attributs et leurs relations.

    • Historique des modifications : affiche l'historique des modifications apportées aux objets, y compris l'opération en cours.

    • Informations sur les risques : identifie les risques potentiels associés à l'opération, comme des autorisations excessives ou l'appartenance à des groupes sensibles.

    • Informations sur la conformité : indique toute violation de conformité liée à l'opération.

Voir aussi