일탈 개체 검색

검색 마법사를 사용하면 쿼리 식을 만들 수 있습니다.

• 검색 상자에서 식을 자주 사용하는 경우, 책갈피 목록에 추가하여 나중에 사용할 수 있습니다.

• 검색 상자에 식을 입력하면 다시 사용할 수 있도록 Tenable Identity Exposure에서 이 식을 기록 창에 저장합니다.

마법사를 사용하여 일탈 개체를 검색하는 방법:

1. 일탈 개체의 목록을 표시합니다.

2. 아이콘을 클릭합니다.

   쿼리 식 편집 창이 시작됩니다.

   

3. 패널에서 쿼리 식을 정의하려면 AND 또는 OR 연산자 버튼(1)을 클릭하여 첫 번째 조건에 적용합니다.

4. 드롭다운 메뉴에서 특성을 하나 선택한 다음 그 값(2)을 입력합니다.

5. 다음 중 작업을 수행합니다.

   • 특성을 추가하려면 + 새 규칙 추가(3)를 클릭합니다.

   • 또 다른 조건을 추가하려면 새 조건 추가+AND 또는 +OR 연산자를 클릭합니다. 드롭다운 메뉴에서 특성을 선택하고 그 값을 입력합니다.

   • 검색을 일탈 개체로 제한하려면 일탈만 토글을 허용으로 클릭합니다. +AND 또는 +OR 연산자를 선택하여 해당 조건을 쿼리에 추가합니다.

   • 조건 또는 규칙을 삭제하려면 아이콘을 클릭합니다.

6. 유효성 검사를 클릭하여 검색을 실행하거나 초기화하여 쿼리 식을 수정합니다.

특정 문자열 또는 패턴과 일치하는 일탈 개체를 필터링하려면 검색 상자에 식을 입력하여 부울 연산자 *, AND 및 OR를 사용하여 결과를 상세 검색하면 됩니다. OR 문을 괄호로 감싸면 검색 우선 순위를 수정할 수 있습니다. 검색으로 Active Directory 특성에서 특정 값을 찾습니다. Trail Flow를 수동으로 검색하는 방법:

수동으로 일탈 개체를 검색하는 방법:

1. 일탈 개체의 목록을 표시합니다.

   

2. 검색 상자에 쿼리 식을 입력합니다.

3. 검색 결과를 다음과 같이 필터링할 수 있습니다.

   • 캘린더 상자를 클릭하여 시작 날짜와 종료 날짜를 선택합니다.

   • n/n 도메인을 클릭하여 포리스트와 도메인을 선택합니다.

4. 검색을 클릭합니다.

   Tenable Identity Exposure에서 검색 기준과 일치하는 결과로 목록을 업데이트합니다.

문법 및 구문

수동 쿼리 식은 다음과 같은 문법과 구문을 사용합니다.

• 문법: EXPRESSION [OPERATOR EXPRESSION]*

• 구문: __KEY__ __SELECTOR__ __VALUE__

  여기에서:

  • __KEY__는 검색할 AD 개체 특성을 가리킵니다(예: CN, userAccountControl, members 등).

  • __SELECTOR__는 연산자(:, >, <, >=, <=)를 가리킵니다.

  • __VALUE__는 검색할 값을 가리킵니다.

    특정 콘텐츠를 찾는 데 이외의 키를 사용할 수 있습니다.

  • isDeviant는 일탈을 만든 이벤트를 찾습니다.

AND 및 OR 연산자를 사용하면 여러 개의 Trail Flow 쿼리 식을 조합할 수 있습니다.

예:

• 공통 이름 속성으로 alice 문자열을 포함하는 모든 객체를 찾기: cn:"alice"

• 공통 이름 특성에 문자열 alice를 포함하고 특정 일탈을 만든 모든 개체 찾기: isDeviant:"true" and cn:"alice"

• 이름이 Default Domain Policy인 GPO 찾기: objectClass:"groupPolicyContainer" and displayname:"Default Domain Policy"

• SID에 S-1-5-21을 포함하는 모든 비활성화된 계정 찾기: userAccountControl:"DISABLE" and objectSid:"S-1-5-21"

• Sysvol에서 모든 script.ini 파일 찾기: globalpath:"sysvol" and types:"SCRIPTSini"

  참고: 여기서 types는 열 머리글이 아니라 개체 속성을 나타냅니다.