イベントフロー
Tenable Identity Exposure のイベントフローは、AD インフラに影響を与えるイベントをリアルタイムで監視し分析した結果を表示します。イベントフローを使用して、重大な脆弱性と推奨される修正方法を特定できます。
[イベントフロー] ページを使用して、時間を遡って以前のイベントをロードしたり、特定のイベントを検索したりできます。ページの上部にある検索ボックスを使用して、脅威を検索したり悪意のあるパターンを検出したりすることもできます。
イベントフローは次のイベントを追跡します。
-
ユーザーやグループの変更: アカウントやグループの作成、削除、変更が含まれます。
-
アクセス許可の変更: ファイル、フォルダー、プリンターなどのオブジェクトに対するアクセス制御の変更が含まれます。
-
システム設定の調整: グループポリシーオブジェクト (GPO) やその他の重要な設定への変更が含まれます。
-
疑わしいアクティビティ: 不正な試行、権限昇格、および危険信号を示すその他のイベントが含まれます。
Tenable Identity Exposure は、次のような機能を提供して、イベントフローのデータを活用できるようにしています。
-
検索・フィルタリング可能: キーワードや特定の条件を使用してイベントストリームを簡単にナビゲーションできるため、無関係な結果を最小限に抑えながら、関連するアクティビティに注意を集中的に向けることができます。
-
詳細なイベント情報: 各イベントエントリには、影響を受けているオブジェクト、変更を担当したユーザー、使用されているプロトコル、関連する露出インジケーター (IoE) などの詳細情報が記載されています。
-
関係の視覚化: イベント間の関係を図示する機能により、一見無関係に見えるアクティビティが、より広範な攻撃キャンペーンにどのようにつながる可能性があるかを明らかにします。
イベントフローにアクセスするには
-
Tenable Identity Exposure で、左側のナビゲーションバーの [イベントフロー] をクリックします。
[イベントフロー] ページが開き、イベントのリストが表示されます。詳細は、イベントフローのテーブルを参照してください。
タイムフレームを選択するには、次のようにします。
-
[イベントフロー] ページの上部で、カレンダーボックスをクリックします。
-
開始日と終了日を選択します。
-
[検索] をクリックします。
Tenable Identity Exposure は、選択されたタイムフレームでイベントフローのテーブルをアップデートします。
ドメインを選択するには、次のようにします。
-
[イベントフロー] ページの上部で、[n/n 個のドメイン >] をクリックします。
[フォレストとドメイン] ペインが開きます。
-
フォレストとドメインを選択します。
-
[選択内容でフィルター] をクリックします。
Tenable Identity Exposure は、選択したフォレストとドメインの情報でイベントフローのテーブルをアップデートします。
イベントを表示するには、次のようにします。
-
イベントフローのテーブルで、調査するイベントが含まれている行をクリックします。
[イベントの詳細] ペインが表示されます。詳細は、イベントの詳細を参照してください。
イベントフローを一時停止して再開するには、次のようにします。
-
次のいずれかを実行します。
-
アイコンをクリックして、イベントフローを一時停止します。イベントフローを一時停止すると、最新イベントの自動の縦スクロールが停止しますが、分析はバックグラウンドで引き続き実行され、イベントの検索は実行できます。
-
アイコンをクリックして、イベントフローを再開します。
-
次のイベントまたは前のイベントを読み込むには、次のようにします。
-
[イベントフロー] ページで、次のいずれかを行います。
-
[次のイベントを読み込む] をクリックします。
-
[前のイベントを読み込む] をクリックします。
-