イベント情報を手動で検索

特定の文字列またはパターンに一致するイベントをフィルタリングするには、検索ボックスに式を入力し、ブール演算子 *ANDOR を使用して結果を絞り込みます。検索の優先順位を変更したい場合は、括弧を使用して OR ステートメントをカプセル化できます。検索では、Active Directory 属性の特定の値が検索されます。

イベント情報を手動で検索するには

  1. Tenable Identity Exposure で、[イベント情報] をクリックして [イベント情報] ページを開きます。

  2. 検索ボックスに、クエリ式を入力します。

  3. 次のように検索結果をフィルタリングできます。

    • [カレンダー] ボックスをクリックして、開始日と終了日を選択します。

    • [n/n 個のドメイン] をクリックして、フォレストとドメインを選択します。

  1. [検索] をクリックします。

    Tenable Identity Exposure は、検索条件に一致する結果でリストを更新します。

以下の例では、次のイベント情報を検索します。

  • 監視対象の AD インフラを危険にさらす可能性のある、非アクティブのユーザーアカウント

  • 不審なアクティビティおよびアカウントの異常な使用

文法と構文

手動クエリ式は、次の文法と構文を使用します。

  • 文法: EXPRESSION [OPERATOR EXPRESSION]*

  • 構文: __KEY__ __SELECTOR__ __VALUE__

    各部の説明

    • __KEY__: 検索する AD オブジェクト属性を表します (CNuserAccountControlmembers など)。

    • __SELECTOR__: 演算子 (:><>=<=) を表します。
    • __VALUE__: 検索する値を表します。

      特定のコンテンツを検索する場合は、さらに多くのキーを使用できます。

    • isDeviant: 逸脱を引き起こしたイベントを検索します。

ANDOR 演算子を使用して、イベント情報のクエリ式を複数組み合わせることができます。

  • 共通の名前属性で文字列 alice を含むすべてのオブジェクトを検索: cn:"alice"

  • 共通の名前属性で文字列 alice を含み、かつ特定の逸脱を引き起こしたすべてのオブジェクトを検索: isDeviant: "true" AND cn: "alice"

  • Default Domain Policy という名前の GPO を検索: objectClass:"groupPolicyContainer" AND displayname:"Default Domain Policy"

  • S-1-5-21 を含む SID を持つすべての非アクティブ化されたアカウントを検索: userAccountControl:"DISABLE" AND objectSid:"S-1-5-21"

  • Sysvol 内のすべての script.ini ファイルを検索: globalpath:"sysvol" AND types:"SCRIPTSini"

    注意: ここの types は列ヘッダーではなくオブジェクト属性のことです。