攻撃経路のノードタイプ

Tenable Identity Exposure の攻撃経路機能は、Active Directory 環境内で攻撃者が利用可能な攻撃経路をビジュアル化したグラフを表示します。このグラフは、攻撃関係を表すエッジと、Active Directory (LDAP/SYSVOL) オブジェクトを表すノードで構成されています。

次のリストは、攻撃経路グラフで表示される可能性のあるすべてのノードタイプを示しています。

ノードタイプ 場所 アイコン 説明

ユーザー

LDAP

user クラスを含むが computer は含まない objectClass 属性を持つ LDAP オブジェクト。

グループ LDAP

class グループを含む objectClass 属性を持つ LDAP オブジェクト。

デバイス LDAP

computer クラスを含むが msDS-GroupManagedServiceAccount は含まない objectClass 属性を持つ LDAP オブジェクト。

その primaryGroupID 属性が 516 (DC) または 521 (RODC) と等しくない。

注意: Tenable 製品を区別するために、このカテゴリは「コンピューター」ではなく、より一般的な「デバイス」と呼ばれています。

組織単位 (OU) LDAP

クラス organizationalUnit を含む objectClass 属性を持つ LDAP オブジェクト。container クラスのオブジェクトと、任意の Active Directory (AD) オブジェクトがコンテナとして機能することがある (つまり、他のオブジェクトを含めることができる) という事実を混同しないようにしてください。

ドメイン LDAP

クラス domainDNS と特定の属性を含む objectClass 属性を持つ LDAP オブジェクト。

ドメインコントローラー (DC) LDAP

objectClass 属性にクラス computer を含み、その primaryGroupID が 516 と等しい LDAP オブジェクト (したがって、RODC ではない)。

読み取り専用ドメインコントローラー (RODC) LDAP

objectClass 属性にクラス computer を含み、その primaryGroupID が 521 と等しい LDAP オブジェクト (したがって、ノーマル DC ではない)。

グループポリシー (GPC) LDAP

groupPolicyContainer を含む objectClass 属性を持つ LDAP オブジェクト。

GPO ファイル SYSVOL

特定の GPO の SYSVOL 共有で見つかったファイル (例: "\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ ScheduledTasks.xml"。)

GPO フォルダー SYSVOL

特定の GPO の SYSVOL 共有で見つかったフォルダー。GPO ごとに 1 つ存在します (例: "\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup"。)

グループ管理サービスアカウント (gMSA) LDAP

msDS-GroupManagedServiceAccount を含む objectClass 属性を持つ LDAP オブジェクト。

エンタープライズ NtAuth ストア LDAP

certificationAuthority を含む objectClass 属性を持つ LDAP オブジェクト。

PKI 証明書テンプレート LDAP

pKICertificateTemplate を含む objectClass 属性を持つ LDAP オブジェクト。

未解決のセキュリティプリンシパル LDAP

関係を構築する際のある時点で objectSid または DistinguishedName 属性が使用されるが、それに対応する LDAP セキュリティプリンシパルオブジェクトが不明である LDAP オブジェクト (「未解決の SID」の典型的なケース)。

また、それらに関連付けられている特定のセキュリティプリンシパルの種類 (ユーザー、コンピューター、グループなど) に関する情報もなく、SID/DN のみが判明している。

特殊 ID LDAP Windows と Active Directory は、内部的に既知となっている ID を使用します。これらの ID はグループと似たように働きをしますが、AD はそれらをグループとして宣言しません。詳細は、特殊 ID グループを参照してください。
その他   現在、上記のカテゴリに分類されないすべての AD/SYSVOL オブジェクト。