공격 경로 노드 유형

Tenable Identity Exposure의 공격 경로 기능에는 Active Directory 환경 내에서 공격자에게 열려 있는 공격 경로를 나타낸 그래프가 표시됩니다. 이 그래프는 공격 관계를 나타내는 경계와 Active Directory(LDAP/SYSVOL) 개체를 나타내는 노드로 구성됩니다.

다음 목록에서는 공격 경로 그래프에 표시될 것으로 예상할 수 있는 가능한 모든 노드 유형을 설명합니다.

노드 유형 위치 아이콘 설명

사용자

LDAP

objectClass 특성에 user 클래스는 포함하지만 computer는 없는 LDAP 개체입니다.

그룹 LDAP

objectClass 특성에 class 그룹을 포함하는 LDAP 개체입니다.

장치 LDAP

objectClass 특성에 computer 클래스는 포함하지만 msDS-GroupManagedServiceAccount는 없는 LDAP 개체입니다.

이것의 primaryGroupID 특성은 516(DC) 또는 521(RODC)과 같지 않습니다.

참고: Tenable 제품을 구분하기 위해, 이 카테고리를 "컴퓨터" 대신 더 포괄적인 "장치"로 칭합니다.

조직 단위(OU) LDAP

objectClass 특성에 organizationalUnit 클래스를 포함하는 LDAP 개체입니다. container 클래스의 개체를 컨테이너 역할을 할 수 있는 모든 Active Directory(AD) 개체와 혼동하여 여기에 다른 개체를 포함하도록 허용하면 안 됩니다.

도메인 LDAP

objectClass 특성에 domainDNS 클래스 및 특정 특성을 포함하는 LDAP 개체입니다.

도메인 컨트롤러(DC) LDAP

objectClass 특성에 computer 클래스를 포함하며 primaryGroupID 특성이 516과 같은(따라서 RODC가 아닌) LDAP 개체입니다.

읽기 전용 도메인 컨트롤러(RODC) LDAP

objectClass 특성에 computer 클래스를 포함하고 primaryGroupID 특성이 521과 같은(따라서 일반 DC가 아닌) LDAP 개체입니다.

그룹 정책(GPC) LDAP

objectClass 특성에 groupPolicyContainer 클래스를 포함하는 LDAP 개체입니다.

GPO 파일 SYSVOL

특정 GPO의 SYSVOL 공유에서 찾은 파일(예: "\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml")

GPO 폴더 SYSVOL

특정 GPO의 SYSVOL 공유에서 찾은 폴더입니다. GPO마다 하나씩 있음(예: "\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup")

그룹 관리 서비스 계정(gMSA) LDAP

objectClass 특성에 msDS-GroupManagedServiceAccount 클래스를 포함하는 LDAP 개체입니다.

Enterprise NtAuth 스토어 LDAP

objectClass 특성에 certificationAuthority 클래스를 포함하는 LDAP 개체입니다.

PKI 인증서 템플릿 LDAP

objectClass 특성에 pKICertificateTemplate 클래스를 포함하는 LDAP 개체입니다.

확인되지 않은 보안 주체 LDAP

관계를 빌드할 때 어느 시점에 objectSid 또는 DistinguishedName 특성이 사용된 LDAP 개체입니다. 단, 이에 대해 알려지지 않은 해당 LDAP 보안 주체 개체가 있습니다(전형적인 "확인되지 않은 SID" 사례).

또한 이와 연관된 특정 보안 주체 유형(사용자, 컴퓨터, 그룹 등)에 관한 정보가 없고, SID/DN만 알려져 있습니다.

특수 ID LDAP Windows와 Active Directory는 내부에서 잘 알려진 ID를 사용합니다. 이러한 ID는 그룹과 비슷하게 작동하지만, AD가 이를 그룹으로 선언하지는 않습니다. 자세한 내용은 특수 ID 그룹을 참조하십시오.
기타   현재 앞서 언급한 카테고리에 속하지 않는 모든 AD/SYSVOL 개체입니다.