イベントフローのテーブル

Tenable Identity Exposure は、Active Directory のイベントが発生次第、それらをイベントの詳細テーブルに継続的に一覧表示します。イベントの詳細テーブルには以下の情報が含まれています。

情報 説明
ソース

AD インフラで起きたセキュリティ関連の変更の発生源を示しています。

可能性のある発生源は 2 種類あります。

  • AD インフラとの通信に使用されている Lightweight Directory Access Protocol (LDAP)

  • ファイルやプリンターなどの共有に使用されている Server Message Block (SMB) プロトコル

Tenable Identity Exposure はネットワーク上の LDAP と SMB のトラフィックを徹底的に分析し、異常や潜在的な脅威を検出します。

注意: Active Directory (AD) の管理者は、ユーザーアカウントやマシンアカウントにデプロイされた設定を制御するグループポリシーを作成できます。グループポリシーオブジェクト (GPO)は、こうした制御設定を保存します。Sysvol フォルダーは、ドメインコントローラー (DC) の GPO ファイルを保存します。各ドメインメンバーは高レベルの権限を使って GPO を適用したり実行したりできるため、AD のセキュリティのために GPO の内容を監視することは重要です。
タイプ

以下のようなイベントの特徴的な要素を表示します。

  • ACL の変更

  • SPN の変更

  • メンバーの削除

  • 新しいメンバー

  • 新しい信頼

  • 不明な種類のファイルの追加

  • 新しいオブジェクト

  • オブジェクトの削除

  • パスワードの変更

  • UAC の変更

  • 新しい GPO のリンク

  • GPO のリンクの削除

  • 所有者の変更

  • ファイル名の変更

  • SPN の作成

  • 認証リセットの失敗

  • 認証の失敗
オブジェクト AD オブジェクトに関連付けられたクラスまたはファイル拡張子を示します。ディレクトリオブジェクト (ユーザー、コンピューターなど) や、ファイル名に特定の拡張子 (ini、XML、csv) が含まれるファイルを検索できます。
パス

AD オブジェクトへのフルパスを示し、そのオブジェクトの AD 内の一意の場所を特定できるようにします。
ディレクトリ

AD インフラに対する変更元となったディレクトリを示します。
日付

イベントが発生した時間を示します。